比较集中管理目标和自行管理目标 - AWS Security Hub
配置自行管理账户中的设置的选项选择管理类型

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

比较集中管理目标和自行管理目标

启用集中配置后,委派的 AWS Security Hub 管理员可以将每个组织帐户、组织单位 (OU) 和根用户指定为集中管理自我管理。目标的管理类型决定了如何指定其 Security Hub 设置。

有关中心配置的好处及其工作原理的背景信息,请参阅了解 Security Hub 中的中心配置

本节说明了集中管理和自行管理的指定之间的区别,以及如何选择账户、OU 或根的管理类型。

自行管理

自我管理账户的所有者、OU 或 root 用户必须在每个 AWS 区域账户中分别配置其设置。委托管理员无法为自行管理目标创建配置策略。

集中管理

只有授权的 Security Hub 管理员才能为集中管理的账户配置设置OUs,或者为主区域和关联区域的根账户配置设置。配置策略可以与集中管理的账户相关联,以及OUs。

委托管理员可以在自行管理和集中管理之间切换目标的状态。默认情况下,当您通过 Security Hub API 启动集中配置时,所有账户和 OU 都是自行管理的。在控制台中,管理类型取决于您的第一个配置策略。您与OUs第一份保单关联的账户将进行集中管理。默认情况下,其他账户和账户OUs是自行管理的。

如果您将配置策略与之前的自我管理账户相关联,则策略设置将覆盖自我管理的指定。账户将变成集中管理,并采用配置策略中反映的设置。

如果您将集中管理的账户更改为自行管理的账户,则之前通过配置策略应用于该账户的设置将保持不变。例如,集中管理的账户最初可能与启用 Security Hub、启用 AWS Foundational Security 最佳实践 v1.0.0 和禁用 .1 的策略相关联。 CloudTrail如果您随后将该账户指定为自我管理,则所有设置均保持不变。但是,账户所有者今后可以独立更改账户的设置。

子账号,OUs可以继承自我管理的家长的自我管理行为,就像子女账户一样,OUs可以继承集中管理的家长的配置策略。有关更多信息,请参阅 通过应用和继承进行策略关联

自行管理账户或 OU 不能从父节点或根继承配置策略。例如,如果您希望组织OUs中的所有账户都从根目录继承配置策略,则必须将自我管理节点的管理类型更改为集中管理。

配置自行管理账户中的设置的选项

自行管理账户必须在每个区域单独配置自己的设置。

自行管理账户的所有者可以在每个区域调用 Security Hub API 的以下操作来配置其设置:

  • EnableSecurityHubDisableSecurityHub,以启用或禁用 Security Hub 服务(如果自行管理账户有委托 Security Hub 管理员,则该管理员必须先取消关联账户,然后账户所有者才能禁用 Security Hub)。

  • BatchEnableStandardsBatchDisableStandards,启用或禁用标准

  • BatchUpdateStandardsControlAssociationsUpdateStandardsControl,启用或禁用控件

自行管理账户也可以使用 *Invitations*Members 操作。但是,我们不建议自行管理账户使用这些操作。如果成员账户的成员与委托管理员属于不同的组织,则策略关联可能会失败。

有关 Security Hub API 操作的描述,请参阅AWS Security Hub API参考文档

自行管理的账户也可以使用 Security Hub 控制台或 AWS CLI 在每个区域配置其设置。

自行管理的账户无法调用任何APIs与 Security Hub 配置策略和策略关联相关的内容。只有授权的管理员才能调用中央配置APIs并使用配置策略来配置集中管理的帐户。

选择目标的管理类型

选择首选方法,然后按照步骤在 AWS Security Hub中将账户或 OU 指定为集中管理或自行管理。

Security Hub console
要选择账户和 OU 的管理类型

  1. 打开 AWS Security Hub 控制台,网址为https://console.aws.amazon.com/securityhub/

    使用主区域中委托 Security Hub 管理员账户的凭证登录。

  2. 选择配置

  3. 组织选项卡上,选择目标账户或 OU。选择编辑

  4. 定义配置页面上,对于管理类型,如果您希望委托管理员配置目标账户或 OU,请选择集中管理。然后,如果要将现有配置策略与目标关联,请选择应用特定策略。如果希望目标继承最接近父级的配置,请选择从我的组织继承。如果希望账户或 OU 配置自己的设置,请选择自行管理

  5. 选择下一步。检查更改,然后选择保存

Security Hub API
要选择账户和 OU 的管理类型

  1. 调用 StartConfigurationPolicyAssociationAPI来自本地区的 Security Hub 委托管理员账户。

  2. 对于 ConfigurationPolicyIdentifier 字段,如果希望账户或 OU 控制其自己的设置,请提供 SELF_MANAGED_SECURITY_HUB。如果您希望授权管理员控制账户或 OU 的设置,请提供相关配置策略的 Amazon 资源名称 (ARN) 或 ID。

  3. 在该Target字段中,提供要更改其管理类型的目标的 ID、OU ID 或根 ID。 AWS 账户 这会将自行管理行为或指定的配置策略与目标关联。目标的子账户可继承自行管理行为或配置策略。

指定自行管理账户的API请求示例:

{
    "ConfigurationPolicyIdentifier": "SELF_MANAGED_SECURITY_HUB",
    "Target": {"AccountId": "123456789012"}
}
AWS CLI
要选择账户和 OU 的管理类型

  1. 运行start-configuration-policy-association来自本地区的 Security Hub 委托管理员帐户的命令。

  2. 对于 configuration-policy-identifier 字段,如果希望账户或 OU 控制其自己的设置,请提供 SELF_MANAGED_SECURITY_HUB。如果您希望授权管理员控制账户或 OU 的设置,请提供相关配置策略的 Amazon 资源名称 (ARN) 或 ID。

  3. 在该target字段中,提供要更改其管理类型的目标的 ID、OU ID 或根 ID。 AWS 账户 这会将自行管理行为或指定的配置策略与目标关联。目标的子账户可继承自行管理行为或配置策略。

指定自行管理账户的命令示例:

aws securityhub --region us-east-1 start-configuration-policy-association \
--configuration-policy-identifier "SELF_MANAGED_SECURITY_HUB" \
--target '{"AccountId": "123456789012"}'