本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
在新组织账户中自动启用 Security Hub。
当新账户加入您的组织时,他们将被添加到组织的 “帐户” 页面上的列表中 AWS Security Hub console。对于组织账户,类型为按组织。默认情况下,新账户在加入组织时不会成为 Security Hub 成员。他们的身份是非成员。委派的管理员账户可以自动将新账户添加为成员,并在他们加入组织时在这些账户中启用 Security Hub。
注意
虽然很多 AWS 区域 您的默认情况下处于活动状态 AWS 账户,则必须手动激活某些区域。在本文档中,这些区域被称为可选区域。要在选择加入区域的新账户中自动启用 Security Hub,该账户必须先激活该区域。只有账户所有者才能激活选择加入区域。有关选择加入区域的更多信息,请参阅指定哪些区域 AWS 区域 您的账户可以使用。
根据您使用的是中心配置(推荐)还是本地配置,此过程会有所不同。
自动启用新组织账户(中心配置)
如果您使用集中配置,则可以通过创建启用 Security Hub 的配置策略在新的和现有组织帐户中自动启用 Security Hub。然后,您可以将该策略与组织根目录或特定的组织单位相关联 (OUs)。
如果您将启用了 Security Hub 的配置策略与特定 OU 相关联,则会自动在属于该 OU 的所有账户(现有账户和新账户)中启用 Security Hub。不属于 OU 的新账户是自行管理的,并且不会自动启用 Security Hub。如果您将启用了 Security Hub 的配置策略与根相关联,则会自动在加入该组织的所有账户(现有账户和新账户)中启用 Security Hub。如果一个账户通过应用或继承使用不同的策略,或者是自行管理的,则为例外情况。
在配置策略中,您还可以定义应在 OU 中启用哪些安全标准和控件。要生成启用标准的控制结果,OU 中的账户必须具有 AWS Config 已启用并配置为记录所需资源。有关 AWS Config 录制,请参阅启用和配置 AWS Config.
有关创建配置策略的说明,请参阅创建和关联配置策略。
自动启用新组织账户(本地配置)
当您使用本地配置并开启自动启用默认标准时,Security Hub 会将新的组织帐户添加为成员,并在当前区域的这些帐户中启用 Security Hub。其他地区均不受影响。此外,开启自动启用不会在现有组织账户中启用 Security Hub,除非这些账户已添加为成员账户。
开启自动启用后,当当前区域的新成员账户加入组织时,将为其启用默认安全标准。默认标准是 AWS 基础安全最佳实践 (FSBP) 和互联网安全中心 () CIS AWS 基金会基准测试 v1.2.0。您不能更改默认标准。如果您想在整个组织中启用其他标准,或者要为特定账户启用标准OUs,我们建议您使用集中配置。
要生成默认标准(和其他启用的标准)的控制结果,您组织中的账户必须具有 AWS Config 已启用并配置为记录所需资源。有关 AWS Config 录制,请参阅启用和配置 AWS Config.
选择您的首选方法,然后按照步骤在新组织账户中自动启用 Security Hub。这些说明仅在您使用本地配置时适用。