Mengintegrasikan Security Hub dengan AWS Organizations - AWS Security Hub
Membuat organisasiRekomendasi untuk memilih administrator Security Hub yang didelegasikanVerifikasi izin untuk mengonfigurasi administrator yang didelegasikanMenunjuk administrator yang didelegasikan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengintegrasikan Security Hub dengan AWS Organizations

Untuk mengintegrasikan AWS Security Hub dan AWS Organizations, Anda membuat organisasi di Organizations dan menggunakan akun manajemen organisasi untuk menunjuk akun administrator Security Hub yang didelegasikan. Hal ini memungkinkan Security Hub sebagai layanan terpercaya di Organizations. Ini juga memungkinkan Security Hub saat ini Wilayah AWS untuk akun administrator yang didelegasikan, dan memungkinkan administrator yang didelegasikan untuk mengaktifkan Security Hub untuk akun anggota, melihat data di akun anggota, dan melakukan tindakan lain yang diizinkan pada akun anggota.

Jika Anda menggunakan konfigurasi pusat, administrator yang didelegasikan juga dapat membuat kebijakan konfigurasi Security Hub yang menentukan bagaimana layanan, standar, dan kontrol Security Hub harus dikonfigurasi di akun organisasi.

Membuat organisasi

Organisasi adalah entitas yang Anda buat untuk mengkonsolidasikan Anda Akun AWS sehingga Anda dapat mengelolanya sebagai satu kesatuan.

Anda dapat membuat organisasi dengan menggunakan AWS Organizations konsol atau dengan menggunakan perintah dari AWS CLI atau salah satu SDKAPIs. Untuk petunjuk mendetail, lihat Membuat organisasi di Panduan AWS Organizations Pengguna.

Anda dapat menggunakan AWS Organizations untuk melihat dan mengelola semua akun dalam organisasi secara terpusat. Sebuah organisasi memiliki satu akun manajemen bersama dengan nol atau lebih akun anggota. Anda dapat mengatur akun dalam struktur hierarkis seperti pohon dengan root di bagian atas dan unit organisasi (OUs) bersarang di bawah root. Setiap akun dapat langsung di bawah root, atau ditempatkan di salah satu OUs dalam hierarki. OU adalah wadah untuk akun tertentu. Misalnya, Anda dapat membuat OU keuangan yang mencakup semua akun yang terkait dengan operasi keuangan.

Rekomendasi untuk memilih administrator Security Hub yang didelegasikan

Jika Anda memiliki akun administrator dari proses undangan manual dan sedang beralih ke manajemen akun AWS Organizations, sebaiknya tentukan akun tersebut sebagai administrator Security Hub yang didelegasikan.

Meskipun Security Hub APIs dan konsol memungkinkan akun manajemen organisasi menjadi administrator Security Hub yang didelegasikan, sebaiknya pilih dua akun yang berbeda. Ini karena pengguna yang memiliki akses ke akun manajemen organisasi untuk mengelola penagihan cenderung berbeda dari pengguna yang membutuhkan akses ke Security Hub untuk manajemen keamanan.

Sebaiknya gunakan administrator yang didelegasikan sama di seluruh Wilayah. Jika Anda ikut serta dalam konfigurasi pusat, Security Hub secara otomatis menetapkan administrator yang didelegasikan yang sama di Wilayah asal Anda dan Wilayah yang ditautkan.

Verifikasi izin untuk mengonfigurasi administrator yang didelegasikan

Untuk menetapkan dan menghapus akun administrator Security Hub yang didelegasikan, akun manajemen organisasi harus memiliki izin untuk DisableOrganizationAdminAccount tindakan EnableOrganizationAdminAccount dan tindakan di Security Hub. Akun manajemen Organizations juga harus memiliki izin administratif untuk Organizations.

Untuk memberikan semua izin yang diperlukan, lampirkan kebijakan terkelola Security Hub berikut ke IAM prinsipal untuk akun manajemen organisasi:

Menunjuk administrator yang didelegasikan

Untuk menetapkan akun administrator Security Hub yang didelegasikan, Anda dapat menggunakan konsol Security Hub, Security HubAPI, atau. AWS CLI Security Hub menetapkan administrator yang didelegasikan Wilayah AWS hanya di saat ini, dan Anda harus mengulangi tindakan di Wilayah lain. Jika Anda mulai menggunakan konfigurasi pusat, maka Security Hub secara otomatis menetapkan administrator yang didelegasikan yang sama di Wilayah beranda dan Wilayah yang ditautkan.

Akun manajemen organisasi tidak harus mengaktifkan Security Hub untuk menetapkan akun administrator Security Hub yang didelegasikan.

Kami menyarankan agar akun manajemen organisasi bukan akun administrator Security Hub yang didelegasikan. Namun, jika Anda memilih akun manajemen organisasi sebagai administrator yang didelegasikan Security Hub, akun manajemen harus mengaktifkan Security Hub. Jika akun manajemen tidak mengaktifkan Security Hub, Anda harus mengaktifkan Security Hub secara manual. Security Hub tidak dapat diaktifkan secara otomatis untuk akun manajemen organisasi.

Anda harus menunjuk administrator Security Hub yang didelegasikan menggunakan salah satu metode berikut. Menunjuk administrator Security Hub yang didelegasikan dengan Organizations APIs tidak tercermin di Security Hub.

Pilih metode yang Anda inginkan, dan ikuti langkah-langkah untuk menetapkan akun administrator Security Hub yang didelegasikan.

Security Hub console
Untuk menunjuk administrator yang didelegasikan saat melakukan orientasi

  1. Buka AWS Security Hub konsol di https://console.aws.amazon.com/securityhub/.

  2. Pilih Buka Security Hub. Anda diminta untuk masuk ke akun manajemen organisasi.

  3. Pada halaman Tentukan administrator yang didelegasikan, di bagian Akun administrator yang didelegasikan, tentukan akun administrator yang didelegasikan. Sebaiknya pilih administrator yang didelegasikan sama yang telah Anda tetapkan untuk layanan AWS keamanan dan kepatuhan lainnya.

  4. Pilih Setel administrator yang didelegasikan. Anda diminta untuk masuk ke akun administrator yang didelegasikan (jika belum) untuk melanjutkan orientasi dengan konfigurasi pusat. Jika Anda tidak ingin memulai konfigurasi pusat, pilih Batal. Administrator yang didelegasikan Anda disetel, tetapi Anda belum menggunakan konfigurasi pusat.

Untuk menunjuk administrator yang didelegasikan dari halaman Pengaturan

  1. Buka AWS Security Hub konsol di https://console.aws.amazon.com/securityhub/.

  2. Di panel navigasi Security Hub, pilih Pengaturan. Kemudian pilih General.

  3. Jika akun administrator Security Hub saat ini ditetapkan, maka sebelum Anda dapat menunjuk akun baru, Anda harus menghapus akun saat ini.

    Di bawah Administrator Delegasi, untuk menghapus akun saat ini, pilih Hapus.

  4. Masukkan ID akun akun yang ingin Anda tetapkan sebagai akun administrator Security Hub.

    Anda harus menetapkan akun administrator Security Hub yang sama di semua Wilayah. Jika Anda menetapkan akun yang berbeda dari akun yang ditunjuk di Wilayah lain, konsol mengembalikan kesalahan.

  5. Pilih Delegasikan.

Security Hub API, AWS CLI

Dari akun manajemen organisasi, gunakan EnableOrganizationAdminAccountpengoperasian Security HubAPI. Jika Anda menggunakan AWS CLI, jalankan enable-organization-admin-accountperintah. Berikan Akun AWS ID administrator Security Hub yang didelegasikan.

Contoh berikut menunjuk administrator Security Hub yang didelegasikan. Contoh ini diformat untuk Linux, macOS, atau Unix, dan menggunakan karakter garis miring terbalik (\) untuk meningkatkan keterbacaan.

$ aws securityhub enable-organization-admin-account --admin-account-id 123456789012