Target yang dikelola secara terpusat versus yang dikelola sendiri - AWS Security Hub
Opsi untuk mengonfigurasi pengaturan di akun yang dikelola sendiriMemilih jenis manajemen

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Target yang dikelola secara terpusat versus yang dikelola sendiri

Saat Anda mengaktifkan konfigurasi pusat, AWS Security Hub administrator yang didelegasikan dapat menetapkan setiap akun organisasi, unit organisasi (OU), dan root sebagai dikelola secara terpusat atau dikelola sendiri. Jenis manajemen target menentukan bagaimana Anda dapat menentukan pengaturan Security Hub.

Untuk informasi latar belakang tentang manfaat konfigurasi pusat dan cara kerjanya, lihatMemahami konfigurasi pusat di Security Hub.

Bagian ini menjelaskan perbedaan antara penunjukan yang dikelola secara terpusat dan dikelola sendiri dan bagaimana memilih jenis manajemen akun, OU, atau root.

Dikelola sendiri

Pemilik akun yang dikelola sendiri, OU, atau root harus mengonfigurasi pengaturannya secara terpisah di masing-masing Wilayah AWS akun. Administrator yang didelegasikan tidak dapat membuat kebijakan konfigurasi untuk target yang dikelola sendiri.

Dikelola secara terpusat

Hanya administrator Security Hub yang didelegasikan yang dapat mengonfigurasi pengaturan untuk akun yang dikelola secara terpusatOUs, atau root di seluruh Wilayah beranda dan Wilayah yang ditautkan. Kebijakan konfigurasi dapat dikaitkan dengan akun yang dikelola secara terpusat danOUs.

Administrator yang didelegasikan dapat mengubah status target antara dikelola sendiri dan dikelola secara terpusat. Secara default, semua akun dan OU dikelola sendiri saat Anda memulai konfigurasi pusat melalui Security HubAPI. Di konsol, jenis manajemen bergantung pada kebijakan konfigurasi pertama Anda. Akun dan OUs yang Anda kaitkan dengan kebijakan pertama Anda dikelola secara terpusat. Akun lain dan OUs dikelola sendiri secara default.

Jika Anda mengaitkan kebijakan konfigurasi dengan akun yang dikelola sendiri sebelumnya, setelan kebijakan akan mengganti penunjukan yang dikelola sendiri. Akun menjadi dikelola secara terpusat dan mengadopsi pengaturan yang tercermin dalam kebijakan konfigurasi.

Jika Anda mengubah akun yang dikelola secara terpusat menjadi akun yang dikelola sendiri, pengaturan yang sebelumnya diterapkan ke akun melalui kebijakan konfigurasi tetap berlaku. Misalnya, akun yang dikelola secara terpusat pada awalnya dapat dikaitkan dengan kebijakan yang mengaktifkan Security Hub, mengaktifkan Praktik Terbaik Keamanan AWS Dasar v1.0.0, dan dinonaktifkan .1. CloudTrail Jika Anda kemudian menetapkan akun sebagai dikelola sendiri, semua pengaturan tetap tidak berubah. Namun, pemilik akun dapat secara mandiri mengubah pengaturan untuk akun ke depan.

Akun anak dan OUs dapat mewarisi perilaku yang dikelola sendiri dari induk yang dikelola sendiri, dengan cara yang sama seperti akun anak dan OUs dapat mewarisi kebijakan konfigurasi dari induk yang dikelola secara terpusat. Untuk informasi selengkapnya, lihat Asosiasi kebijakan melalui aplikasi dan warisan.

Akun yang dikelola sendiri atau OU tidak dapat mewarisi kebijakan konfigurasi dari node induk atau dari root. Misalnya, jika Anda ingin semua akun dan OUs organisasi Anda mewarisi kebijakan konfigurasi dari root, Anda harus mengubah jenis manajemen node yang dikelola sendiri menjadi dikelola secara terpusat.

Opsi untuk mengonfigurasi pengaturan di akun yang dikelola sendiri

Akun yang dikelola sendiri harus mengonfigurasi pengaturannya sendiri secara terpisah di setiap Wilayah.

Pemilik akun yang dikelola sendiri dapat menjalankan operasi Security Hub berikut API di setiap Wilayah untuk mengonfigurasi pengaturannya:

  • EnableSecurityHubdan DisableSecurityHub untuk mengaktifkan atau menonaktifkan layanan Security Hub (jika akun yang dikelola sendiri memiliki administrator Security Hub yang didelegasikan, administrator harus memisahkan akun tersebut sebelum pemilik akun dapat menonaktifkan Security Hub).

  • BatchEnableStandardsdan BatchDisableStandards untuk mengaktifkan atau menonaktifkan standar

  • BatchUpdateStandardsControlAssociationsatau UpdateStandardsControl untuk mengaktifkan atau menonaktifkan kontrol

Akun yang dikelola sendiri juga dapat digunakan *Invitations dan *Members dioperasikan. Namun, kami menyarankan agar akun yang dikelola sendiri tidak menggunakan operasi ini. Asosiasi kebijakan dapat gagal jika akun anggota memiliki anggotanya sendiri yang merupakan bagian dari organisasi yang berbeda dari administrator yang didelegasikan.

Untuk deskripsi API tindakan Security Hub, lihat AWS Security Hub APIReferensi.

Akun yang dikelola sendiri juga dapat menggunakan konsol Security Hub atau AWS CLI untuk mengonfigurasi pengaturannya di setiap Wilayah.

Akun yang dikelola sendiri tidak dapat memanggil apa pun yang APIs terkait dengan kebijakan konfigurasi dan asosiasi kebijakan Security Hub. Hanya administrator yang didelegasikan yang dapat memanggil konfigurasi pusat APIs dan menggunakan kebijakan konfigurasi untuk mengonfigurasi akun yang dikelola secara terpusat.

Memilih jenis manajemen target

Pilih metode pilihan Anda, dan ikuti langkah-langkah untuk menetapkan akun atau OU sebagai dikelola secara terpusat atau dikelola sendiri. AWS Security Hub

Security Hub console
Untuk memilih jenis manajemen akun atau OU

  1. Buka AWS Security Hub konsol di https://console.aws.amazon.com/securityhub/.

    Masuk menggunakan kredensional akun administrator Security Hub yang didelegasikan di Wilayah beranda.

  2. Pilih Konfigurasi.

  3. Pada tab Organisasi, pilih akun target atau OU. Pilih Edit.

  4. Pada halaman Tentukan konfigurasi, untuk tipe Manajemen, pilih Dikelola secara terpusat jika Anda ingin administrator yang didelegasikan mengonfigurasi akun target atau OU. Kemudian, pilih Terapkan kebijakan tertentu jika Anda ingin mengaitkan kebijakan konfigurasi yang ada dengan target. Pilih Mewarisi dari organisasi saya jika Anda ingin target mewarisi konfigurasi induk terdekatnya. Pilih Self-managed jika Anda ingin akun atau OU untuk mengkonfigurasi pengaturan sendiri.

  5. Pilih Berikutnya. Tinjau perubahan Anda, dan pilih Simpan.

Security Hub API
Untuk memilih jenis manajemen akun atau OU

  1. Memohon StartConfigurationPolicyAssociationAPIdari akun administrator yang didelegasikan Security Hub di Wilayah asal.

  2. Untuk ConfigurationPolicyIdentifier bidang, berikan SELF_MANAGED_SECURITY_HUB jika Anda ingin akun atau OU mengontrol pengaturannya sendiri. Berikan Amazon Resource Name (ARN) atau ID kebijakan konfigurasi yang relevan jika Anda ingin administrator yang didelegasikan untuk mengontrol pengaturan untuk akun atau OU.

  3. Untuk Target bidang, berikan Akun AWS ID, ID OU, atau ID root target yang tipe manajemennya ingin Anda ubah. Ini mengaitkan perilaku yang dikelola sendiri atau kebijakan konfigurasi tertentu dengan target. Akun anak dari target dapat mewarisi kebijakan perilaku atau konfigurasi yang dikelola sendiri.

Contoh API permintaan untuk menunjuk akun yang dikelola sendiri:

{
    "ConfigurationPolicyIdentifier": "SELF_MANAGED_SECURITY_HUB",
    "Target": {"AccountId": "123456789012"}
}
AWS CLI
Untuk memilih jenis manajemen akun atau OU

  1. Jalankan start-configuration-policy-associationperintah dari akun administrator yang didelegasikan Security Hub di Wilayah rumah.

  2. Untuk configuration-policy-identifier bidang, berikan SELF_MANAGED_SECURITY_HUB jika Anda ingin akun atau OU mengontrol pengaturannya sendiri. Berikan Amazon Resource Name (ARN) atau ID kebijakan konfigurasi yang relevan jika Anda ingin administrator yang didelegasikan untuk mengontrol pengaturan untuk akun atau OU..

  3. Untuk target bidang, berikan Akun AWS ID, ID OU, atau ID root target yang tipe manajemennya ingin Anda ubah. Ini mengaitkan perilaku yang dikelola sendiri atau kebijakan konfigurasi tertentu dengan target. Akun anak dari target dapat mewarisi kebijakan perilaku atau konfigurasi yang dikelola sendiri.

Contoh perintah untuk menunjuk akun yang dikelola sendiri:

aws securityhub --region us-east-1 start-configuration-policy-association \
--configuration-policy-identifier "SELF_MANAGED_SECURITY_HUB" \
--target '{"AccountId": "123456789012"}'