Integration von Security Hub mit AWS Organizations - AWS Security Hub

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Integration von Security Hub mit AWS Organizations

Um zu integrieren AWS Security Hub and AWS Organizations, erstellen Sie eine Organisation in Organizations und verwenden das Organisationsverwaltungskonto, um ein delegiertes Security Hub-Administratorkonto festzulegen. Dadurch wird Security Hub als vertrauenswürdiger Dienst in Organizations aktiviert. Es aktiviert auch Security Hub in der aktuellen AWS-Region für das delegierte Administratorkonto und ermöglicht es dem delegierten Administrator, Security Hub für Mitgliedskonten zu aktivieren, Daten in Mitgliedskonten anzuzeigen und andere zulässige Aktionen für Mitgliedskonten durchzuführen.

Wenn Sie die zentrale Konfiguration verwenden, kann der delegierte Administrator auch Security Hub Hub-Konfigurationsrichtlinien erstellen, die angeben, wie der Security Hub Hub-Dienst, die Standards und die Kontrollen in Organisationskonten konfiguriert werden sollen.

Erstellen einer Organisation

Eine Organisation ist eine Entität, die Sie erstellen, um AWS-Konten sodass Sie sie als eine Einheit verwalten können.

Sie können eine Organisation erstellen, indem Sie entweder AWS Organizations Konsole oder mithilfe eines Befehls von AWS CLI oder einer der SDKAPIs. Ausführliche Anweisungen finden Sie unter Eine Organisation erstellen in der AWS Organizations Benutzerleitfaden.

Sie können Folgendes verwenden … AWS Organizations um alle Konten in Ihrem Unternehmen zentral einzusehen und zu verwalten. Eine Organisation besteht aus einem Verwaltungskonto und gegebenenfalls Mitgliedskonten. Sie können die Konten in einer hierarchischen, baumähnlichen Struktur organisieren, mit einem Stamm an der Spitze und Organisationseinheiten (OUs), die sich unter dem Stamm befinden. Jedes Konto kann sich direkt unter dem Stamm befinden oder einem der Konten in der OUs Hierarchie zugeordnet werden. Eine OU ist ein Container für bestimmte Konten. Sie können beispielsweise eine Organisationseinheit für Finanzen erstellen, die alle Konten im Zusammenhang mit Finanzoperationen umfasst.

Empfehlungen für die Auswahl des delegierten Security Hub-Administrators

Wenn Sie nach dem manuellen Einladungsprozess über ein Administratorkonto verfügen und zur Kontoverwaltung mit wechseln AWS Organizations, wir empfehlen, dieses Konto als delegierten Security Hub-Administrator festzulegen.

Obwohl der Security Hub APIs und die Konsole es dem Organisationsverwaltungskonto ermöglichen, der delegierte Security Hub-Administrator zu sein, empfehlen wir, zwei verschiedene Konten zu wählen. Dies liegt daran, dass Benutzer, die Zugriff auf das Organisationsverwaltungskonto haben, um die Abrechnung zu verwalten, sich wahrscheinlich von Benutzern unterscheiden, die für die Sicherheitsverwaltung Zugriff auf Security Hub benötigen.

Wir empfehlen, in allen Regionen denselben delegierten Administrator zu verwenden. Wenn Sie sich für die zentrale Konfiguration entscheiden, benennt Security Hub automatisch denselben delegierten Administrator in Ihrer Heimatregion und allen verknüpften Regionen.

Überprüfen Sie die Berechtigungen zur Konfiguration des delegierten Administrators

Um ein delegiertes Security Hub-Administratorkonto zuzuweisen und zu entfernen, muss das Organisationsverwaltungskonto über Berechtigungen für die EnableOrganizationAdminAccount und DisableOrganizationAdminAccount -Aktionen in Security Hub verfügen. Das Verwaltungskonto für Organizations muss auch über Administratorberechtigungen für Organizations verfügen.

Um alle erforderlichen Berechtigungen zu gewähren, fügen Sie dem IAM Prinzipal für das Organisationsverwaltungskonto die folgenden von Security Hub verwalteten Richtlinien hinzu:

Benennen des delegierten Administrators

Um das delegierte Security Hub-Administratorkonto festzulegen, können Sie die Security Hub-Konsole, Security Hub oder API AWS CLI. Security Hub legt den delegierten Administrator im aktuellen AWS-Region nur, und Sie müssen die Aktion in anderen Regionen wiederholen. Wenn Sie die zentrale Konfiguration verwenden, richtet Security Hub automatisch denselben delegierten Administrator in der Heimatregion und den verknüpften Regionen ein.

Das Organisationsverwaltungskonto muss Security Hub nicht aktivieren, um das delegierte Security Hub-Administratorkonto zu bestimmen.

Wir empfehlen, dass das Organisationsverwaltungskonto nicht das delegierte Security Hub-Administratorkonto ist. Wenn Sie jedoch das Organisationsverwaltungskonto als delegierten Security Hub-Administrator wählen, muss Security Hub für das Verwaltungskonto aktiviert sein. Wenn Security Hub für das Verwaltungskonto nicht aktiviert ist, müssen Sie Security Hub manuell dafür aktivieren. Security Hub kann nicht automatisch für das Organisationsverwaltungskonto aktiviert werden.

Sie müssen den delegierten Security Hub-Administrator mit einer der folgenden Methoden benennen. Die Benennung des delegierten Security Hub-Administrators mit Organizations spiegelt APIs sich nicht in Security Hub wider.

Wählen Sie Ihre bevorzugte Methode und folgen Sie den Schritten zur Benennung des delegierten Security Hub-Administratorkontos.

Security Hub console
Um den delegierten Administrator beim Onboarding zu bestimmen
  1. Öffnen Sie AWS Security Hub Konsole bei. https://console.aws.amazon.com/securityhub/

  2. Wählen Sie Gehe zu Security Hub. Sie werden aufgefordert, sich mit dem Organisationsverwaltungskonto anzumelden.

  3. Geben Sie auf der Seite Delegierten Administrator benennen im Abschnitt Delegiertes Administratorkonto das delegierte Administratorkonto an. Es wird empfohlen, denselben delegierten Administrator zu wählen, den Sie für andere eingerichtet haben AWS Sicherheits- und Compliance-Dienste.

  4. Wählen Sie Als delegierten Administrator festlegen aus. Sie werden aufgefordert, sich mit dem delegierten Administratorkonto anzumelden (falls Sie dies noch nicht getan haben), um das Onboarding mit der zentralen Konfiguration fortzusetzen. Wenn Sie die zentrale Konfiguration nicht starten möchten, wählen Sie Abbrechen. Ihr delegierter Administrator ist eingerichtet, aber Sie verwenden die zentrale Konfiguration noch nicht.

Um den delegierten Administrator auf der Seite „Einstellungen“ zu bestimmen
  1. Öffnen Sie AWS Security Hub Konsole unter. https://console.aws.amazon.com/securityhub/

  2. Wählen Sie im Security Hub-Navigationsbereich die Option Einstellungen aus. Wählen Sie dann Allgemein.

  3. Wenn derzeit ein Security Hub-Administratorkonto zugewiesen ist, müssen Sie das aktuelle Konto entfernen, bevor Sie ein neues Konto einrichten können.

    Um das aktuelle Konto zu entfernen, wählen Sie unter Delegierter Administrator die Option Entfernen aus.

  4. Geben Sie die Konto-ID des Kontos ein, das Sie als Security Hub-Administratorkonto festlegen möchten.

    Sie müssen in allen Regionen dasselbe Security Hub-Administratorkonto angeben. Wenn Sie ein Konto angeben, das sich von dem in anderen Regionen angegebenen Konto unterscheidet, gibt die Konsole einen Fehler zurück.

  5. Wählen Sie Delegieren.

Security Hub API, AWS CLI

Verwenden Sie vom Organisationsverwaltungskonto aus den EnableOrganizationAdminAccountBetrieb des Security HubAPI. Wenn Sie das verwenden AWS CLI, führe das aus enable-organization-admin-accountBefehl. Geben Sie die AWS-Konto ID des delegierten Security Hub-Administrators.

Im folgenden Beispiel wird der delegierte Security Hub-Administrator benannt. Dieses Beispiel ist für Linux, macOS oder Unix formatiert und verwendet den umgekehrten Schrägstrich (\) zur Verbesserung der Lesbarkeit.

$ aws securityhub enable-organization-admin-account --admin-account-id 123456789012