本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用 Organizations 管理 Security Hub 管理员账户和成员账户
您可以将 AWS Security Hub 与 AWS Organizations 集成,然后为组织中账户管理 Security Hub。
要将 Security Hub 与 AWS Organizations 集成,你需要在 AWS Organizations 中创建一个组织。组织管理账户会将一个账户指定为该组织的 Security Hub 委托管理员。然后,委托管理员可以为组织中的其他账户启用 Security Hub,将这些账户添加为 Security Hub 成员账户,并对成员账户采取允许的操作。Security Hub 委托管理员可以为多达 1 万个成员账户启用和管理 Security Hub。
委托管理员的配置能力范围取决于您是否使用中心配置。启用中心配置后,您无需在每个成员账户和 AWS 区域 中单独配置 Security Hub。委托管理员可以在各区域的指定成员账户和组织单位(OU)中强制执行特定的 Security Hub 设置。
Security Hub 委托管理员账户可以对成员账户执行以下操作:
-
如果使用中心配置,请通过创建 Security Hub 配置策略为成员账户和 OU 中心配置 Security Hub。配置策略可用于启用和禁用 Security Hub、启用和禁用标准以及启用和禁用控件。
-
在将新账户添加到组织时,自动将其视为 Security Hub 成员账户。如果您使用中心配置,则与 OU 关联的配置策略包括属于 OU 的现有账户和新账户。
-
将现有组织账户视为 Security Hub 成员账户。如果您使用中心配置,这种情况会自动出现。
-
取消关联属于该组织的成员账户。如果您使用中心配置,则只有在将成员账户指定为自行管理之后,才能取消其关联。或者,您可以将禁用 Security Hub 的配置策略与特定的集中管理成员账户相关联。
如果您不选择中心配置,则组织会使用称为本地配置的默认配置类型。在本地配置下,委托管理员在成员账户中强制设置的能力将更为有限。有关更多信息,请参阅 了解 Security Hub 中的本地配置。
有关委托管理员可以对成员账户执行的操作的完整列表,请参阅Security Hub 中允许管理员账户和成员账户执行的操作。
本节中的主题说明了如何将 Security Hub 与 AWS Organizations 集成,以及如何为组织中的账户管理 Security Hub。在相关时,每个部分都确定了中心配置用户在管理方面的好处和差异。
主题
