本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

AWS Security Hub 和 AWS Organizations

AWS Security Hub 为您提供 AWS 安全状态的全面视图，可帮助您检查环境是否符合安全行业标准和最佳实践。

Security Hub 可跨 AWS 账户、您使用的 AWS 服务以及受支持的第三方合作伙伴产品收集安全数据。它可以帮助您分析安全趋势并确定最高优先级的安全问题。

当您同时使用 Security Hub 和 AWS Organizations 时，您可以自动为您的所有账户启用 Security Hub，包括添加的新账户。这扩大了 Security Hub 检查和调查结果的覆盖范围，从而可让您更全面且准确地了解您的整体安全状况。

有关 Security Hub 的更多信息，请参阅《AWS Security Hub 用户指南》。

以下信息可帮助您将 AWS Security Hub 与 AWS Organizations 集成。

启用集成时，创建了一个服务相关角色

以下服务相关角色会在您启用信任访问权限时自动在组织的管理账户中创建。此角色允许 Security Hub 在您组织中的组织账户内执行支持的操作。

只有在禁用 Security Hub 和 Organizations 之间的信任访问权限，或者如果您从组织中删除成员账户，您才能删除或修改此角色。

服务相关角色使用的服务委托人

上一部分中的服务相关角色只能由为角色定义的信任关系授权的服务委托人担任。Security Hub 使用的服务相关角色为以下服务委托人授予访问权限：

使用 Security Hub 启用信任访问权限

有关启用信任访问权限所需权限的信息，请参阅允许可信访问所需的权限。

当您为 Security Hub 指定委托管理员时，Security Hub 会自动为组织中的 Security Hub 启用信任访问权限。

禁用与 Security Hub 的可信访问

有关禁用可信访问所需权限的详细信息，请参阅《AWS Organizations 用户指南》中的禁用可信访问所需的权限。

在禁用可信访问权限之前，可以选择与组织的委托管理员合作，禁用成员账户的 Security Hub，并清理这些账户的 Security Hub 资源。

您可以使用 AWS Organizations 控制台、Organizations API 或 AWS CLI 来禁用可信访问。只有 Organizations 管理账户中的管理员可以禁用与 Security Hub 的可信访问。

有关禁用与 Security Hub 的可信访问的说明，请参阅 Disabling Security Hub integration with AWS Organizations。

为 Security Hub 启用委派管理员

将成员账户指定为组织的委托管理员时，该账户中的用户和角色可以对 Security Hub 执行管理操作，否则只能由组织管理账户中的用户或角色执行操作。这可以帮助您将组织的管理与 Security Hub 的管理分开。

想要了解有关信息，请参阅《AWS Security Hub 用户指南》中的指定 Security Hub 管理员账户。

为 Security Hub 禁用委派管理员

仅组织管理账户可以移除 Security Hub 委派管理员账户。

要更改 Security Hub 委派管理员，必须首先移除当前委派管理员账户，然后指定新的委派管理员账户。

如果您使用 Security Hub 控制台删除一个区域的委托管理员，该管理员将在所有区域中被自动删除。

Security Hub API 仅会从发出 API 调用或命令的区域中移除 Security Hub 委派管理员账户。您必须在其他区域重复执行此操作。

如果您使用 Organizations API 移除委托 Security Hub 管理员账户，则该账户将在所有区域中被自动移除。

有关禁用 Security Hub 委派管理员的说明，请参阅 Removing or changing the delegated administrator。