Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Integration von Security Hub mit AWS Organizations
Um zu integrieren AWS Security Hub and AWS Organizations, erstellen Sie eine Organisation in Organizations und verwenden das Organisationsverwaltungskonto, um ein delegiertes Security Hub-Administratorkonto festzulegen. Dadurch wird Security Hub als vertrauenswürdiger Dienst in Organizations aktiviert. Es aktiviert auch Security Hub in der aktuellen AWS-Region für das delegierte Administratorkonto und ermöglicht es dem delegierten Administrator, Security Hub für Mitgliedskonten zu aktivieren, Daten in Mitgliedskonten anzuzeigen und andere zulässige Aktionen für Mitgliedskonten durchzuführen.
Wenn Sie die zentrale Konfiguration verwenden, kann der delegierte Administrator auch Security Hub Hub-Konfigurationsrichtlinien erstellen, die angeben, wie der Security Hub Hub-Dienst, die Standards und die Kontrollen in Organisationskonten konfiguriert werden sollen.
Erstellen einer Organisation
Eine Organisation ist eine Entität, die Sie erstellen, um AWS-Konten sodass Sie sie als eine Einheit verwalten können.
Sie können eine Organisation erstellen, indem Sie entweder AWS Organizations Konsole oder mithilfe eines Befehls von AWS CLI oder einer der SDKAPIs. Ausführliche Anweisungen finden Sie unter Eine Organisation erstellen in der AWS Organizations Benutzerleitfaden.
Sie können Folgendes verwenden … AWS Organizations um alle Konten in Ihrem Unternehmen zentral einzusehen und zu verwalten. Eine Organisation besteht aus einem Verwaltungskonto und gegebenenfalls Mitgliedskonten. Sie können die Konten in einer hierarchischen, baumähnlichen Struktur organisieren, mit einem Stamm an der Spitze und Organisationseinheiten (OUs), die sich unter dem Stamm befinden. Jedes Konto kann sich direkt unter dem Stamm befinden oder einem der Konten in der OUs Hierarchie zugeordnet werden. Eine OU ist ein Container für bestimmte Konten. Sie können beispielsweise eine Organisationseinheit für Finanzen erstellen, die alle Konten im Zusammenhang mit Finanzoperationen umfasst.
Empfehlungen für die Auswahl des delegierten Security Hub-Administrators
Wenn Sie nach dem manuellen Einladungsprozess über ein Administratorkonto verfügen und zur Kontoverwaltung mit wechseln AWS Organizations, wir empfehlen, dieses Konto als delegierten Security Hub-Administrator festzulegen.
Obwohl der Security Hub APIs und die Konsole es dem Organisationsverwaltungskonto ermöglichen, der delegierte Security Hub-Administrator zu sein, empfehlen wir, zwei verschiedene Konten zu wählen. Dies liegt daran, dass Benutzer, die Zugriff auf das Organisationsverwaltungskonto haben, um die Abrechnung zu verwalten, sich wahrscheinlich von Benutzern unterscheiden, die für die Sicherheitsverwaltung Zugriff auf Security Hub benötigen.
Wir empfehlen, in allen Regionen denselben delegierten Administrator zu verwenden. Wenn Sie sich für die zentrale Konfiguration entscheiden, benennt Security Hub automatisch denselben delegierten Administrator in Ihrer Heimatregion und allen verknüpften Regionen.
Überprüfen Sie die Berechtigungen zur Konfiguration des delegierten Administrators
Um ein delegiertes Security Hub-Administratorkonto zuzuweisen und zu entfernen, muss das Organisationsverwaltungskonto über Berechtigungen für die EnableOrganizationAdminAccount
und DisableOrganizationAdminAccount
-Aktionen in Security Hub verfügen. Das Verwaltungskonto für Organizations muss auch über Administratorberechtigungen für Organizations verfügen.
Um alle erforderlichen Berechtigungen zu gewähren, fügen Sie dem IAM Prinzipal für das Organisationsverwaltungskonto die folgenden von Security Hub verwalteten Richtlinien hinzu:
Benennen des delegierten Administrators
Um das delegierte Security Hub-Administratorkonto festzulegen, können Sie die Security Hub-Konsole, Security Hub oder API AWS CLI. Security Hub legt den delegierten Administrator im aktuellen AWS-Region nur, und Sie müssen die Aktion in anderen Regionen wiederholen. Wenn Sie die zentrale Konfiguration verwenden, richtet Security Hub automatisch denselben delegierten Administrator in der Heimatregion und den verknüpften Regionen ein.
Das Organisationsverwaltungskonto muss Security Hub nicht aktivieren, um das delegierte Security Hub-Administratorkonto zu bestimmen.
Wir empfehlen, dass das Organisationsverwaltungskonto nicht das delegierte Security Hub-Administratorkonto ist. Wenn Sie jedoch das Organisationsverwaltungskonto als delegierten Security Hub-Administrator wählen, muss Security Hub für das Verwaltungskonto aktiviert sein. Wenn Security Hub für das Verwaltungskonto nicht aktiviert ist, müssen Sie Security Hub manuell dafür aktivieren. Security Hub kann nicht automatisch für das Organisationsverwaltungskonto aktiviert werden.
Sie müssen den delegierten Security Hub-Administrator mit einer der folgenden Methoden benennen. Die Benennung des delegierten Security Hub-Administrators mit Organizations spiegelt APIs sich nicht in Security Hub wider.
Wählen Sie Ihre bevorzugte Methode und folgen Sie den Schritten zur Benennung des delegierten Security Hub-Administratorkontos.