在新组织账户中手动启用 Security Hub - AWS Security Hub

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在新组织账户中手动启用 Security Hub

如果您在新组织账户加入组织时没有自动启用 Security Hub,则可以将这些账户添加为成员,并在这些账户加入组织后在其中手动启用 Security Hub。您还必须在之前已取消与某个组织关联的 AWS 账户 中手动启用 Security Hub。

注意

如果您使用中心配置,则本节不适用于您。如果您使用中心配置,您可以创建配置策略,在特定成员账户和组织单位(OU)中启用 Security Hub。您还可以在这些账户和 OU 中启用特定的标准和控件。

如果账户已经是其他组织中的成员账户,则无法在账户中启用 Security Hub。

您也无法在当前已暂停的账户中启用 Security Hub。如果您尝试在已暂停的账户中启用服务,则账户状态会更改为账户已暂停

  • 如果该账户未启用 Security Hub,则会在该账户中启用 Security Hub。除非您关闭默认安全标准,否则账户中还会启用 AWS 基础安全最佳实践(FSBP)标准和 CIS AWS 基金会基准 v1.2.0。

    组织管理账户除外。无法在组织管理账户中自动启用 Security Hub。您必须在组织管理账户中手动启用 Security Hub,然后才能将其作为成员账户添加。

  • 如果该账户已经启用了 Security Hub,则 Security Hub 不会对该账户进行任何其他更改。它仅启用成员资格。

为了让 Security Hub 生成控制调查发现,必须启用 AWS Config 并配置成员账户以记录所需的资源。有关更多信息,请参阅启用和配置 AWS Config

选择您的首选方法,然后按照步骤将组织账户启用为 Security Hub 成员账户。

Security Hub console
要手动将组织账户启用为 Security Hub 成员

  1. 通过以下网址打开 AWS Security Hub 控制台:https://console.aws.amazon.com/securityhub/

    使用委托管理员账户凭证登录。

  2. 在 Security Hub 导航窗格中的设置下,选择配置

  3. 账户列表中,选中要启用的每个组织账户。

  4. 选择操作,然后选择添加成员

Security Hub API

要手动将组织账户启用为 Security Hub 成员

从委托管理员账户调用 CreateMembers API。对于要启用的每个账户,请提供账户 ID。

与手动邀请流程不同,当您调用 CreateMembers 启用组织账户时,无需发送邀请。

AWS CLI

要手动将组织账户启用为 Security Hub 成员

从委托管理员账户运行 create-members 命令。对于要启用的每个账户,请提供账户 ID。

与手动邀请流程不同,当您运行 create-members 启用组织账户时,无需发送邀请。

aws securityhub create-members --account-details '[{"AccountId": "<accountId>"}]'

示例

aws securityhub create-members --account-details '[{"AccountId": "123456789111"}, {"AccountId": "123456789222"}]'