啟用 Security Hub - AWS Security Hub

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

啟用 Security Hub

注意

Security Hub 處於預覽版本,可能會有所變更。

您可以為任何 啟用 Security Hub AWS 帳戶。本主題中的程序說明如何從 AWS 組織管理帳戶、委派管理員帳戶和獨立帳戶啟用 Security Hub。

為組織啟用 Security Hub

本節包含三個步驟。在步驟 1 中, AWS 組織管理帳戶會啟用 Security Hub、為其組織指定委派管理員,並建立委派管理員政策。在步驟 2 中,組織的委派管理員會啟用 Security Hub。在步驟 3 中,組織的委派管理員會建立政策,為組織中的所有成員帳戶啟用 Security Hub。

步驟 1. 在 AWS 組織管理帳戶中啟用 Security Hub

此步驟包含兩個程序。如果您啟用 Security Hub CSPM 並在 Security Hub CSPM 中指定委派管理員,則第一個程序說明如何啟用 Security Hub。如果您尚未啟用 Security Hub CSPM 並在 Security Hub CSPM 中指定委派管理員,第二個程序說明如何啟用 Security Hub。在這兩個程序中,如果您略過步驟來指定委派管理員,則必須略過步驟來建立委派管理員政策。您只能在指定委派管理員之後建立委派管理員政策。如需有關在 Security Hub 中指定委派管理員的資訊,請參閱在 Security Hub 中指定委派管理員帳戶。如需有關在 Security Hub 中建立委派管理員政策的資訊,請參閱在 Security Hub 中建立委派管理員政策

Enable Security Hub with Security Hub CSPM

此程序假設 AWS 組織管理帳戶先前已啟用 Security Hub CSPM,並在 Security Hub CSPM 中指定委派管理員。

啟用 Security Hub
  1. 使用您的 AWS 組織管理 AWS 帳戶登入資料登入您的帳戶。開啟位於 https://https://console.aws.amazon.com/securityhub/v2/home 的 Security Hub 主控台。

  2. 在 Security Hub 首頁中,選取 Security Hub,然後選擇開始使用

  3. (選用) 對於委派管理員帳戶,根據提供的選項選擇管理員帳戶。根據最佳實務,我們建議在安全服務之間使用相同的委派管理員,以實現一致的控管。

  4. (選用) 針對帳戶啟用,選取方塊以啟用您 AWS 帳戶的 Security Hub。

  5. (選用) 針對委派管理員政策,選擇下列其中一個選項來新增政策陳述式。

    1. (選項 1) 選擇為我更新此項目。選取政策陳述式下的方塊,確認 Security Hub 會自動建立委派政策,將所有必要的許可授予委派管理員。

    2. (選項 2) 選擇我想要手動連接此項目。選擇複製並連接。在 AWS Organizations 主控台的委派管理員 AWS Organizations下,選擇委派,然後在委派政策編輯器中貼上資源政策。選擇建立政策。開啟您在 Security Hub 主控台中的標籤。

  6. 選擇設定

Enable Security Hub without Security Hub CSPM

此程序假設 AWS 組織管理帳戶先前尚未啟用 Security Hub CSPM,並在 Security Hub CSPM 中指定委派管理員。

啟用 Security Hub
  1. 使用您的組織管理 AWS 帳戶登入資料登入您的帳戶,然後開啟位於 https://https://console.aws.amazon.com/securityhub/v2/home 的 Security Hub 主控台。

  2. 在 Security Hub 首頁中,選取 Security Hub,然後選擇開始使用

  3. (選用) 對於委派管理員,選取其中一個提供的 AWS 帳戶 或選擇帳戶。如果您選取選擇帳戶,請在 Security Hub 中輸入 AWS 帳戶 您要指定為委派管理員之 的 12 位數號碼。

  4. (選用) 針對帳戶啟用,選取方塊以啟用 Security Hub AWS 帳戶。

  5. (選用) 針對委派管理員政策,選擇下列其中一個選項來新增政策陳述式:

    1. (選項 1) 選擇為我更新此項目。選取政策陳述式下的方塊,確認 Security Hub 會自動建立委派政策,將所有必要的許可授予委派管理員。

    2. (選項 2) 選擇我想要手動附加此項目。選擇複製並連接。在 AWS Organizations 主控台的委派管理員 AWS Organizations下,選擇委派,然後在委派政策編輯器中貼上資源政策。選擇建立政策。開啟您在 Security Hub 主控台中的標籤。

  6. 選擇設定

啟用 Security Hub 之後,會在您的帳戶中建立稱為 AWSServiceRoleForSecurityHubV2 的服務連結角色,以及服務連結記錄器。服務連結記錄器是由 AWS 服務管理的一種 AWS Config 記錄器類型,可在服務特定資源上記錄組態資料。使用服務連結記錄器時,Security Hub 會啟用事件驅動型方法,以取得暴露分析涵蓋範圍和報告資源庫存所需的資源組態項目。服務連結記錄器是根據 AWS 帳戶 和 設定 AWS 區域。如需詳細資訊,請參閱服務連結組態記錄器的考量

步驟 2. 在委派管理員帳戶中啟用 Security Hub

此步驟供委派管理員完成。 AWS 組織管理帳戶為其組織指定委派管理員後,委派管理員必須啟用 Security Hub。

在委派管理員帳戶中啟用 Security Hub
  1. 使用您的委派管理員登入 AWS 資料登入您的帳戶。開啟位於 https://https://console.aws.amazon.com/securityhub/v2/home 的 Security Hub 主控台。

  2. 在 Security Hub 首頁中,選取 Security Hub,然後選擇開始使用

  3. 選擇 啟用

  4. (選用) 對於標籤,判斷是否要將鍵/值對新增至帳戶設定。

  5. 選擇移至 Security Hub

啟用 Security Hub 後,會在您的帳戶中建立稱為 AWSServiceRoleForSecurityHubV2 的服務連結角色,以及服務連結記錄器。服務連結記錄器是由 AWS 服務管理的一種 AWS Config 記錄器類型,可在服務特定資源上記錄組態資料。使用服務連結記錄器時,Security Hub 會啟用事件驅動型方法,以取得暴露分析涵蓋範圍和報告資源庫存所需的資源組態項目。服務連結記錄器是根據 AWS 帳戶 和 設定 AWS 區域。如需詳細資訊,請參閱服務連結組態記錄器的考量

步驟 3。建立在所有成員帳戶中啟用 Security Hub 的政策

此步驟供委派管理員完成。組織的委派管理員啟用 Security Hub 後,必須建立政策,以定義組織中啟用和停用哪些成員帳戶。如需詳細資訊,請參閱建立政策做為委派管理員來管理成員帳戶

在獨立帳戶中啟用 Security Hub

此程序說明如何在獨立帳戶中啟用 Security Hub。獨立帳戶是 AWS 帳戶 尚未啟用 AWS 組織的 。

在獨立帳戶中啟用 Security Hub
  1. 使用您的獨立 AWS 帳戶登入資料登入您的帳戶。開啟位於 https://https://console.aws.amazon.com/securityhub/v2/home 的 Security Hub 主控台。

  2. 在 Security Hub 首頁中,選取 Security Hub,然後選擇開始使用

  3. 選擇 啟用

啟用 Security Hub 後,會在您的帳戶中建立稱為 AWSServiceRoleForSecurityHubV2 的服務連結角色,以及服務連結記錄器。服務連結記錄器是由 AWS 服務管理的一種 AWS Config 記錄器類型,可在服務特定資源上記錄組態資料。使用服務連結記錄器時,Security Hub 會啟用事件驅動型方法,以取得暴露分析涵蓋範圍和報告資源庫存所需的資源組態項目。服務連結記錄器是根據 AWS 帳戶 和 設定 AWS 區域。如需詳細資訊,請參閱服務連結組態記錄器的考量