Mengaktifkan konfigurasi pusat di Security Hub - AWS Security Hub

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengaktifkan konfigurasi pusat di Security Hub

Akun AWS Security Hub administrator yang didelegasikan dapat menggunakan konfigurasi pusat untuk mengonfigurasi Security Hub, standar, dan kontrol untuk beberapa akun dan unit organisasi (OUs) di seluruh Wilayah AWS akun.

Untuk informasi latar belakang tentang manfaat konfigurasi pusat dan cara kerjanya, lihatMemahami konfigurasi pusat di Security Hub.

Bagian ini menjelaskan prasyarat untuk konfigurasi pusat dan cara mulai menggunakannya.

Prasyarat untuk konfigurasi pusat

Sebelum Anda dapat mulai menggunakan konfigurasi pusat, Anda harus mengintegrasikan Security Hub dengan AWS Organizations dan menunjuk Wilayah rumah. Jika Anda menggunakan konsol Security Hub, prasyarat ini disertakan dalam alur kerja opt-in untuk konfigurasi pusat.

Integrasi dengan Organizations

Anda harus mengintegrasikan Security Hub dan Organizations untuk menggunakan konfigurasi pusat.

Untuk mengintegrasikan layanan ini, Anda mulai dengan membuat organisasi di Organizations. Dari akun manajemen Organizations, Anda kemudian menetapkan akun administrator yang didelegasikan Security Hub. Untuk petunjuk, silakan lihat Mengintegrasikan Security Hub dengan AWS Organizations.

Pastikan Anda menunjuk administrator yang didelegasikan di Wilayah rumah yang dituju. Ketika Anda mulai menggunakan konfigurasi pusat, administrator yang didelegasikan yang sama secara otomatis diatur di semua Wilayah tertaut juga. Akun manajemen Organisasi tidak dapat ditetapkan sebagai akun administrator yang didelegasikan.

penting

Bila menggunakan konfigurasi pusat, Anda tidak dapat menggunakan konsol Security Hub atau Security Hub APIs untuk mengubah atau menghapus akun administrator yang didelegasikan. Jika akun manajemen Organisasi digunakan AWS Organizations APIs untuk mengubah atau menghapus administrator yang didelegasikan Security Hub, Security Hub secara otomatis menghentikan konfigurasi pusat. Kebijakan konfigurasi Anda juga dipisahkan dan dihapus. Akun anggota mempertahankan konfigurasi yang mereka miliki sebelum administrator yang didelegasikan diubah atau dihapus.

Tentukan Wilayah rumah

Anda harus menunjuk Wilayah rumah untuk menggunakan konfigurasi pusat. Wilayah asal adalah Wilayah tempat administrator yang didelegasikan mengkonfigurasi organisasi.

catatan

Wilayah asal tidak dapat menjadi Wilayah yang AWS telah ditetapkan sebagai Wilayah keikutsertaan. Wilayah keikutsertaan dinonaktifkan secara default. Untuk daftar Wilayah keikutsertaan, lihat Pertimbangan sebelum mengaktifkan dan menonaktifkan Wilayah di Panduan Referensi Manajemen Akun.AWS

Secara opsional, Anda dapat menentukan satu atau beberapa Wilayah tertaut yang dapat dikonfigurasi dari Wilayah beranda.

Administrator yang didelegasikan dapat membuat dan mengelola kebijakan konfigurasi hanya dari Wilayah beranda. Kebijakan konfigurasi berlaku di Wilayah asal dan semua Wilayah yang ditautkan. Anda tidak dapat membuat kebijakan konfigurasi yang hanya berlaku untuk subset Wilayah ini, dan bukan yang lain. Pengecualian untuk ini adalah kontrol yang melibatkan sumber daya global. Jika Anda menggunakan konfigurasi pusat, Security Hub secara otomatis menonaktifkan kontrol yang melibatkan sumber daya global di semua Wilayah kecuali Wilayah asal. Untuk informasi selengkapnya, lihat Kontrol yang menggunakan sumber daya global.

Wilayah asal juga merupakan Wilayah agregasi Security Hub Anda yang menerima temuan, wawasan, dan data lainnya dari Wilayah tertaut.

Jika Anda telah menetapkan Region agregasi untuk agregasi Cross-region, maka itu adalah Region home default Anda untuk konfigurasi pusat. Anda dapat mengubah Wilayah rumah sebelum mulai menggunakan konfigurasi pusat dengan menghapus agregator temuan Anda saat ini dan membuat yang baru di Wilayah rumah yang Anda inginkan. Agregator temuan adalah sumber daya Security Hub yang menentukan Wilayah asal dan Wilayah terkait.

Untuk menunjuk Wilayah asal, lihat langkah-langkah untuk menyetel Wilayah agregasi. Jika Anda sudah memiliki Wilayah asal, Anda dapat meminta GetFindingAggregatorAPIuntuk melihat detailnya, termasuk Wilayah mana yang saat ini ditautkan dengannya.

Petunjuk untuk mengaktifkan konfigurasi pusat

Pilih metode pilihan Anda, dan ikuti langkah-langkah untuk mengaktifkan konfigurasi pusat untuk organisasi Anda.

Security Hub console
Untuk mengaktifkan konfigurasi pusat (konsol)
  1. Buka AWS Security Hub konsol di https://console.aws.amazon.com/securityhub/.

  2. Pada panel navigasi, pilih Pengaturan dan Konfigurasi. Kemudian, pilih Mulai konfigurasi pusat.

    Jika Anda melakukan onboarding ke Security Hub, pilih Buka Security Hub.

  3. Pada halaman Administrator yang didelegasikan, pilih akun administrator yang didelegasikan atau masukkan ID akunnya. Jika berlaku, sebaiknya pilih administrator yang didelegasikan sama yang telah Anda tetapkan untuk layanan AWS keamanan dan kepatuhan lainnya. Pilih Setel administrator yang didelegasikan.

  4. Pada halaman Sentralisasi organisasi, di bagian Wilayah, pilih Wilayah rumah Anda. Anda harus masuk ke Wilayah asal untuk melanjutkan. Jika Anda telah menetapkan Region agregasi untuk agregasi Lintas wilayah, itu akan ditampilkan sebagai Wilayah beranda. Untuk mengubah wilayah beranda, pilih Edit pengaturan Wilayah. Anda kemudian dapat memilih Wilayah rumah pilihan Anda dan kembali ke alur kerja ini.

  5. Pilih setidaknya satu Wilayah untuk ditautkan ke Wilayah asal. Secara opsional, pilih apakah Anda ingin secara otomatis menautkan Wilayah yang didukung future ke Wilayah asal. Wilayah yang Anda pilih di sini akan dapat dikonfigurasi dari Wilayah asal oleh administrator yang didelegasikan. Kebijakan konfigurasi berlaku di Wilayah asal Anda dan semua Wilayah yang ditautkan.

  6. Pilih Konfirmasi dan lanjutkan.

  7. Anda sekarang dapat menggunakan konfigurasi pusat. Lanjutkan mengikuti petunjuk konsol untuk membuat kebijakan konfigurasi pertama Anda. Jika Anda belum siap untuk membuat kebijakan konfigurasi, pilih Saya belum siap untuk mengonfigurasi. Anda dapat membuat kebijakan nanti dengan memilih Pengaturan dan Konfigurasi di panel navigasi. Untuk petunjuk cara membuat kebijakan konfigurasi, lihatMembuat dan mengaitkan kebijakan konfigurasi.

Security Hub API
Untuk mengaktifkan konfigurasi pusat (API)
  1. Menggunakan kredensi akun administrator yang didelegasikan, panggil UpdateOrganizationConfigurationAPIdari Wilayah asal.

  2. Atur AutoEnable bidang kefalse.

  3. Atur ConfigurationType bidang di OrganizationConfiguration objek keCENTRAL. Tindakan ini memiliki dampak sebagai berikut:

    • Menetapkan akun panggilan sebagai administrator yang didelegasikan Security Hub di semua Wilayah yang ditautkan.

    • Mengaktifkan Security Hub di akun administrator yang didelegasikan di semua Wilayah tertaut.

    • Menetapkan akun panggilan sebagai administrator yang didelegasikan Security Hub untuk akun baru dan yang sudah ada yang menggunakan Security Hub dan milik organisasi. Ini terjadi di Wilayah asal dan semua Wilayah terkait. Akun panggilan ditetapkan sebagai administrator yang didelegasikan untuk akun organisasi baru hanya jika akun tersebut dikaitkan dengan kebijakan konfigurasi yang mengaktifkan Security Hub. Akun panggilan ditetapkan sebagai administrator yang didelegasikan untuk akun organisasi yang ada hanya jika mereka sudah mengaktifkan Security Hub.

    • Setel AutoEnableke false semua Wilayah tertaut, dan disetel AutoEnableStandardske NONE Wilayah asal dan semua Wilayah yang ditautkan. Parameter ini tidak relevan di wilayah beranda dan terkait saat Anda menggunakan konfigurasi pusat, tetapi Anda dapat secara otomatis mengaktifkan Security Hub dan standar keamanan default di akun organisasi melalui penggunaan kebijakan konfigurasi.

  4. Anda sekarang dapat menggunakan konfigurasi pusat. Administrator yang didelegasikan dapat membuat kebijakan konfigurasi untuk mengonfigurasi Security Hub di organisasi Anda. Untuk petunjuk cara membuat kebijakan konfigurasi, lihatMembuat dan mengaitkan kebijakan konfigurasi.

Contoh API permintaan:

{ "AutoEnable": false, "OrganizationConfiguration": { "ConfigurationType": "CENTRAL" } }
AWS CLI
Untuk mengaktifkan konfigurasi pusat (AWS CLI)
  1. Menggunakan kredensi akun administrator yang didelegasikan, jalankan update-organization-configurationperintah dari wilayah rumah.

  2. Sertakan no-auto-enable parameternya.

  3. Atur ConfigurationType bidang di organization-configuration objek keCENTRAL. Tindakan ini memiliki dampak sebagai berikut:

    • Menetapkan akun panggilan sebagai administrator yang didelegasikan Security Hub di semua Wilayah yang ditautkan.

    • Mengaktifkan Security Hub di akun administrator yang didelegasikan di semua Wilayah tertaut.

    • Menetapkan akun panggilan sebagai administrator yang didelegasikan Security Hub untuk akun baru dan yang sudah ada yang menggunakan Security Hub dan milik organisasi. Ini terjadi di Wilayah asal dan semua Wilayah terkait. Akun panggilan ditetapkan sebagai administrator yang didelegasikan untuk akun organisasi baru hanya jika akun tersebut dikaitkan dengan kebijakan konfigurasi yang mengaktifkan Security Hub. Akun panggilan ditetapkan sebagai administrator yang didelegasikan untuk akun organisasi yang ada hanya jika mereka sudah mengaktifkan Security Hub.

    • Menetapkan opsi pengaktifan otomatis ke no-auto-enablesemua Wilayah yang ditautkan, dan disetel auto-enable-standardske Wilayah NONE beranda dan semua Wilayah yang ditautkan. Parameter ini tidak relevan di wilayah beranda dan terkait saat Anda menggunakan konfigurasi pusat, tetapi Anda dapat secara otomatis mengaktifkan Security Hub dan standar keamanan default di akun organisasi melalui penggunaan kebijakan konfigurasi.

  4. Anda sekarang dapat menggunakan konfigurasi pusat. Administrator yang didelegasikan dapat membuat kebijakan konfigurasi untuk mengonfigurasi Security Hub di organisasi Anda. Untuk petunjuk cara membuat kebijakan konfigurasi, lihatMembuat dan mengaitkan kebijakan konfigurasi.

Contoh perintah:

aws securityhub --region us-east-1 update-organization-configuration \ --no-auto-enable \ --organization-configuration '{"ConfigurationType": "CENTRAL"}'