啟用 Security Hub - AWS Security Hub
為組織啟用 Security Hub為委派管理員啟用 Security Hub為獨立帳戶啟用 Security Hub

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

啟用 Security Hub

注意

Security Hub 處於預覽版本,可能會有所變更。

您可以為任何 啟用 Security Hub AWS 帳戶。本主題中的程序說明如何從 AWS 組織管理帳戶、委派管理員帳戶和獨立帳戶啟用 Security Hub。

注意

啟用 Security Hub 之後,您環境中的暴露會立即進行分析。不過,您可以等待最多 6 小時來接收資源的公開調查結果。

為組織啟用 Security Hub

本節中的程序說明如何為 AWS 組織管理帳戶啟用 Security Hub。此程序假設您已為 Security Hub CSPM 設定委派管理員,並包含可在 Security Hub 中為組織設定委派管理員的步驟。如需在 Security Hub 中設定委派管理員的詳細資訊,請參閱在 Security Hub 中設定委派管理員帳戶

如果您決定在啟用期間為 Security Hub 設定委派管理員,則需要在 AWS Organizations 主控台中建立資源政策,允許委派管理員代表您的組織執行動作。您可以針對委派管理員帳戶使用下列範例資源政策。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Statement",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::delegated-administrator-account-id:root"
      },
      "Action": [
        "organizations:AttachPolicy",
        "organizations:CreatePolicy",
        "organizations:DetachPolicy",
        "organizations:DeletePolicy",
        "organizations:UpdatePolicy",
        "organizations:ListPolicies",
        "organizations:ListPoliciesForTarget",
        "organizations:ListTargetsForPolicy",
        "organizations:DescribePolicy",
        "organizations:DescribeEffectivePolicy",
        "organizations:DisablePolicyType",
        "organizations:EnablePolicyType"
      ],
      "Resource": "*"
    }
  ]
}

如果您未設定委派管理員,稍後可以設定委派管理員。如需詳細資訊,請參閱在 Security Hub 中設定委派管理員帳戶。主題包含一個程序,說明如何從 Security Hub 主控台的一般頁面為您的組織設定委派管理員。

下列程序說明如何在 Security Hub 中為您的組織設定委派管理員帳戶。

為 AWS 組織管理帳戶啟用 Security Hub

  1. 使用您的 AWS 組織管理 AWS 帳戶登入資料登入您的帳戶。開啟位於 https://https://console.aws.amazon.com/securityhub/v2/home 的 Security Hub 主控台。

  2. 在 Security Hub 首頁中,選取 Security Hub。選擇開始使用

  3. (選用) 對於委派管理員帳戶,請根據提供的選項設定委派管理員。根據最佳實務,我們建議在安全服務之間使用相同的委派管理員,以實現一致的控管。如需設定委派管理員帳戶的詳細資訊,請參閱在 Security Hub 中設定委派管理員帳戶

  4. (選用) 針對帳戶啟用,選取方塊以啟用您 AWS 帳戶的 Security Hub。

  5. 選擇複製並連接以開啟組織設定。在 Organizations 主控台中,選取 AWS Organizations委派管理員下的委派,然後貼上資源政策。選擇建立政策

  6. 前往 Security Hub 主控台。選擇設定

當您啟用 Security Hub 時,會在您的帳戶中建立名為 AWSServiceRoleForSecurityHubV2 的服務連結角色,並將服務連結記錄器新增至您的帳戶。服務連結記錄器是由 AWS 服務管理的一種 AWS Config 記錄器類型,可在服務特定資源上記錄組態資料。使用服務連結記錄器時,Security Hub 會啟用事件驅動型方法來取得公開分析涵蓋範圍所需的資源組態項目。服務連結記錄器是根據 AWS 帳戶 和 設定 AWS 區域。

注意

如果您設定委派管理員,委派管理員可以建立並套用政策,允許其啟用和停用 Security Hub 的成員帳戶。如需詳細資訊,請參閱建立政策做為委派管理員來管理成員帳戶

為委派管理員啟用 Security Hub

如果 AWS 組織管理帳戶為其組織設定委派管理員,委派管理員必須為其帳戶啟用 Security Hub。委派管理員必須完成下列程序,但前提是委派管理員尚未為其帳戶啟用 Security Hub。如需設定委派管理員的資訊,請參閱在 Security Hub 中設定委派管理員帳戶

為委派管理員帳戶啟用 Security Hub

  1. 使用您的委派管理員登入資料登入 AWS 您的帳戶,然後開啟位於 https://https://console.aws.amazon.com/securityhub/v2/home 的 Security Hub 主控台。

  2. 在 Security Hub 首頁中,選取 Security Hub,然後選擇開始使用

  3. 選擇 啟用

  4. (選用) 對於標籤,判斷是否要將鍵/值對新增至帳戶設定。

  5. 選擇移至 Security Hub

當您啟用 Security Hub 時,會在您的帳戶中建立名為 AWSServiceRoleForSecurityHubV2 的服務連結角色,並將服務連結記錄器新增至您的帳戶。服務連結記錄器是由 AWS 服務管理的一種 AWS Config 記錄器類型,可在服務特定資源上記錄組態資料。使用服務連結記錄器時,Security Hub 會啟用事件驅動型方法來取得公開分析涵蓋範圍所需的資源組態項目。服務連結記錄器是根據 AWS 帳戶 和 設定 AWS 區域。

注意

身為組織的委派管理員,您可以建立和套用政策,以啟用和停用 Security Hub 的成員帳戶。如需詳細資訊,請參閱建立政策做為委派管理員來管理成員帳戶

為獨立帳戶啟用 Security Hub

下列程序說明如何為獨立帳戶啟用 Security Hub。有兩種類型的獨立帳戶可以啟用 Security Hub: AWS 帳戶 不在組織內部,在組織 AWS 帳戶 內部。 AWS 組織 AWS 帳戶 內部的 可以是 AWS 帳戶 委派管理員將 AWS Organizations 政策連接到 的 AWS 帳戶。如需詳細資訊,請參閱AWS Organizations 《 使用者指南》中的 Security Hub 政策

為獨立帳戶啟用 Security Hub

  1. 使用您的登入資料登入 AWS 您的帳戶,然後開啟位於 https://https://console.aws.amazon.com/securityhub/v2/home 的 Security Hub 主控台。

  2. 在 Security Hub 首頁中,選取 Security Hub,然後選擇開始使用

  3. 選擇 啟用

當您啟用 Security Hub 時,會在您的帳戶中建立名為 AWSServiceRoleForSecurityHubV2 的服務連結角色,並將服務連結記錄器新增至您的帳戶。服務連結記錄器是由 AWS 服務管理的一種 AWS Config 記錄器類型,可在服務特定資源上記錄組態資料。使用服務連結記錄器時,Security Hub 會啟用事件驅動型方法來取得公開分析涵蓋範圍所需的資源組態項目。服務連結記錄器是根據 AWS 帳戶 和 設定 AWS 區域。