本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
在中手动管理帐户时 AWS Security Hub,您必须邀请潜在的成员帐户,并在每个帐户中分别配置每个成员帐户 AWS 区域。
通过集成 Security Hub 和 AWS Organizations,您无需发送邀请,并可以更好地控制组织中如何配置和自定义 Security Hub。为此,我们建议使用 AWS Organizations 代替 Security Hub 邀请管理成员账户。有关信息,请参阅使用 Organizations 管理 Security Hub 管理员账户和成员账户。
您可以使用组合方法,即使用 AWS Organizations 集成,也可以手动邀请组织外部的帐户。但我们建议仅使用 Organizations 集成。中心配置是一项功能,可帮助您跨多个账户和区域管理 Security Hub,仅当您与 Organizations 集成时才可用。
本节将介绍如何从基于邀请的手动账户管理转换到使用 AWS Organizations管理账户。
将 Security Hub 与 AWS Organizations
首先,您必须集成 Security Hub 和 AWS Organizations。
您可以完成以下步骤,来集成这些服务:
在 AWS Organizations中创建组织。有关说明,请参阅《AWS Organizations 用户指南》中的创建组织。
在组织管理账户中,指定一个 Security Hub 委托管理员账户。
注意
不能将组织管理账户设置为 DA 账户。
有关详细说明,请参阅将 Security Hub 与 AWS Organizations。
完成上述步骤后,您就可以在中授予对 Security Hub 的可信访问权限 AWS Organizations。这还会为委派的管理员帐户启用当前 AWS 区域 的 Security Hub。
委托管理员可以在 Security Hub 中管理组织,主要方法是添加组织账户作为 Security Hub 成员账户。管理员还可以访问这些账户的某些 Security Hub 设置、数据和资源。
在转换到使用 Organizations 进行账户管理后,基于邀请的账户不会自动成为 Security Hub 成员。只有您添加到新组织的账户才能成为 Security Hub 成员。
激活集成后,您可以使用组织管理账户。有关信息,请参阅使用 Organizations 管理 Security Hub 管理员账户和成员账户。账户管理因组织的配置类型而异。
