啟用 Security Hub - AWSSecurity Hub
為AWS組織啟用 Security Hub在獨立帳戶中啟用 Security Hub

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

啟用 Security Hub

您可以為任何 啟用 Security HubAWS 帳戶。文件的本節說明為 AWS組織或獨立帳戶啟用 Security Hub 所需的所有步驟。

為AWS組織啟用 Security Hub

本節包含三個步驟:

  • 步驟 1 中,AWS組織管理帳戶會為其AWS組織指定委派管理員、建立委派管理員政策,並選擇性地為其自己的帳戶啟用 Security Hub。

  • 步驟 2 中,組織的委派管理員會為自己的帳戶啟用 Security Hub。

  • 步驟 3 中,組織的委派管理員會為 Security Hub 和其他支援的安全服務設定組織中的所有成員帳戶。

步驟 1. 委派管理員帳戶,並選擇性地在AWS組織管理帳戶中啟用 Security Hub

注意

此步驟只需要在組織管理帳戶的一個區域中完成。

為 Security Hub 指派委派管理員帳戶時,您可以為委派管理員選擇的帳戶將取決於您如何為 Security Hub CSPM 設定委派管理員。如果您已為 Security Hub CSPM 設定委派管理員,且該帳戶不是組織管理帳戶,則該帳戶將自動設定為 Security Hub 委派管理員,且無法選擇不同的帳戶。如果 Security Hub CSPM 的委派管理員帳戶設定為組織管理帳戶,或完全未設定,您可以選擇哪個帳戶將成為您的 Security Hub 委派管理員帳戶,但組織管理帳戶除外。

如需有關在 Security Hub 中指定委派管理員的資訊,請參閱在 Security Hub 中指定委派管理員帳戶。如需有關在 Security Hub 中建立委派管理員政策的資訊,請參閱在 Security Hub 中建立委派管理員政策

指定 Security Hub 的 admistrator

  1. 使用您的AWS組織管理AWS帳戶登入資料登入您的帳戶。開啟位於 https://https://console.aws.amazon.com/securityhub/v2/home 的 Security Hub 主控台。

  2. 在 Security Hub 首頁中,選取 Security Hub,然後選擇開始使用

  3. 委派管理員區段中,根據提供的選項選擇管理員帳戶。根據最佳實務,我們建議在安全服務之間使用相同的委派管理員,以實現一致的控管。

  4. 選擇信任存取核取方塊。選擇此選項可讓委派的管理員帳戶能夠在成員帳戶中設定特定功能,例如 GuardDuty 惡意軟體防護。如果您取消勾選此選項,Security Hub 將無法代表您啟用這些功能,而且您將需要直接透過與功能相關聯的服務啟用這些功能。

  5. (選用) 針對帳戶啟用,選取方塊以啟用您AWS帳戶的 Security Hub。

  6. 針對委派管理員政策,選擇下列其中一個選項來新增政策陳述式。

    1. (選項 1) 選擇為我更新此項目。選取政策陳述式下的方塊,確認 Security Hub 會自動建立委派政策,將所有必要的許可授予委派管理員。

    2. (選項 2) 選擇我想要手動連接此項目。選擇複製並連接。在 AWS Organizations主控台的委派管理員AWS Organizations下,選擇委派,然後在委派政策編輯器中貼上資源政策。選擇建立政策。開啟您在 Security Hub 主控台中的標籤。

  7. 選擇設定

步驟 2. 在委派的管理員帳戶中啟用 Security Hub

委派的管理員帳戶會完成此步驟。在AWS組織管理帳戶為其組織指定委派管理員之後,委派管理員必須為自己的帳戶啟用 Security Hub,才能為整個AWS組織啟用 。

在委派管理員帳戶中啟用 Security Hub

  1. 使用您的委派管理員登入AWS資料登入您的帳戶。開啟位於 https://https://console.aws.amazon.com/securityhub/v2/home 的 Security Hub 主控台。

  2. 從 Security Hub 首頁中選擇開始使用

  3. 安全功能區段概述自動啟用的功能,並包含在 Security Hub 的每個資源基本價格中

  4. (選用) 對於標籤,判斷是否要將鍵/值對新增至帳戶設定。

  5. 選擇啟用 Security Hub 以完成啟用 Security Hub。

  6. (建議) 從彈出視窗中選擇設定我的組織並繼續步驟 3。

啟用 Security Hub 後,會在您的帳戶中建立稱為 AWSServiceRoleForSecurityHubV2 的服務連結角色,以及服務連結記錄器。服務連結記錄器是由 AWS服務管理的一種AWS Config記錄器類型,可在服務特定資源上記錄組態資料。使用服務連結記錄器,Security Hub 可啟用事件驅動型方法,以取得暴露分析涵蓋範圍和報告資源庫存所需的資源組態項目。服務連結記錄器是根據 AWS 帳戶和 設定AWS 區域。對於全域資源類型,會在主區域中自動建立額外的服務連結記錄器,以記錄全域資源的組態變更,因為 AWS Config只會記錄其指定主區域中的全域資源類型。如需詳細資訊,請參閱服務連結組態記錄器和錄製區域和全域資源的考量https://docs.aws.amazon.com/config/latest/developerguide/select-resources.html#select-resources-all

步驟 3。建立在所有成員帳戶中啟用 Security Hub 的政策

在組織的委派管理員帳戶中使用 Security Hub 後,您需要建立政策,以定義在組織成員帳戶中啟用哪些服務和功能。如需詳細資訊,請參閱啟用具有 政策類型的組態

在獨立帳戶中啟用 Security Hub

此程序說明如何在獨立帳戶中啟用 Security Hub。獨立帳戶是AWS 帳戶尚未啟用AWS組織的 。

在獨立帳戶中啟用 Security Hub

  1. 使用AWS您的帳戶登入資料登入您的帳戶。開啟位於 https://https://console.aws.amazon.com/securityhub/v2/home 的 Security Hub 主控台。

  2. 在 Security Hub 首頁中,選取開始使用

  3. 安全功能區段中,執行下列其中一項操作:

    1. (選項 1) 選擇啟用所有功能。這將開啟所有 Security Hub 基本功能、威脅分析和其他功能。

    2. (選項 2) 選擇自訂功能。選取威脅分析和其他應開啟的功能。您無法取消選取屬於 Security Hub 基本計劃功能的任何功能。

  4. 區域區段中,選擇啟用所有區域啟用特定區域。如果您選擇啟用所有區域,您可以決定是否自動啟用新區域。如果您選擇啟用特定區域,您必須選擇要啟用的區域。

  5. (選用) 對於資源標籤,將標籤新增為鍵值對,以協助您輕鬆識別組態。

  6. 選擇 Enable Security Hub (啟用 Security Hub)

啟用 Security Hub 後,會在您的帳戶中建立稱為 AWSServiceRoleForSecurityHubV2 的服務連結角色,以及服務連結記錄器。服務連結記錄器是由 AWS服務管理的一種AWS Config記錄器類型,可在服務特定資源上記錄組態資料。使用服務連結記錄器,Security Hub 可啟用事件驅動型方法,以取得暴露分析涵蓋範圍和報告資源庫存所需的資源組態項目。服務連結記錄器是根據 AWS 帳戶和 設定AWS 區域。對於全域資源類型,會在主區域中自動建立額外的服務連結記錄器,以記錄全域資源的組態變更,因為 AWS Config只會記錄其指定主區域中的全域資源類型。如需詳細資訊,請參閱服務連結組態記錄器和錄製區域和全域資源的考量https://docs.aws.amazon.com/config/latest/developerguide/select-resources.html#select-resources-all