本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 使用管理多个账户的 Security Hub CSPM AWS Organizations
<a name="securityhub-accounts-orgs"></a>

你可以将 S AWS ecurity Hub CSPM 与组织中的账户集成 AWS Organizations，然后为组织中的账户管理 Security Hub CSPM。

要将 Security Hub CSPM 与 Security Hub CSPM 集成 AWS Organizations，你需要在中创建一个组织。 AWS Organizations Organizations 管理账户会将一个账户指定为该组织的 Security Hub CSPM 委派管理员。然后，委派管理员可以为组织中的其他账户启用 Security Hub CSPM，将这些账户添加为 Security Hub CSPM 成员账户，并对成员账户采取允许的操作。Security Hub CSPM 委派管理员可以为多达 1 万个成员账户启用和管理 Security Hub CSPM。

委派管理员的配置能力范围取决于您是否使用[中心配置](central-configuration-intro.md)。启用中心配置后，您无需在每个成员账户和 AWS 区域中单独配置 Security Hub CSPM。授权的管理员可以在各区域的指定成员账户和组织单位 (OUs) 中强制执行特定的 Security Hub CSPM 设置。

Security Hub CSPM 委派管理员账户可以对成员账户执行以下操作：
+ 如果使用集中配置，请为成员账户集中配置 Security Hub CSPM，并 OUs 通过创建 Security Hub CSPM 配置策略进行配置。配置策略可用于启用和禁用 Security Hub CSPM、启用和禁用标准以及启用和禁用控件。
+ 在将*新*账户加入组织时，自动将其视为 Security Hub CSPM 成员账户。如果您使用中心配置，则与 OU 关联的配置策略包括属于 OU 的现有账户和新账户。
+ 将*现有*组织账户视为 Security Hub CSPM 成员账户。如果您使用中心配置，这种情况会自动出现。
+ 取消关联属于该组织的成员账户。如果您使用中心配置，则只有在将成员账户指定为自行管理之后，才能取消其关联。或者，您可以将禁用 Security Hub CSPM 的配置策略与特定的集中管理的成员账户相关联。

如果您不选择中心配置，则组织会使用称为本地配置的默认配置类型。在本地配置下，委派管理员在成员账户中强制设置的能力将更为有限。有关更多信息，请参阅 [了解 Security Hub CSPM 中的本地配置](local-configuration.md)。

有关委派管理员可以对成员账户执行的操作的完整列表，请参阅[Security Hub CSPM 中管理员和成员账户可以执行的操作](securityhub-accounts-allowed-actions.md)。

本节中的主题说明了如何将 Security Hub CSPM 与组织中的账户集成， AWS Organizations 以及如何为组织中的账户管理 Security Hub CSPM。在相关时，每个部分都确定了中心配置用户在管理方面的好处和差异。

**Topics**
+ [将 Security Hub CSPM 与 AWS Organizations](designate-orgs-admin-account.md)
+ [在新组织账户中自动启用 Security Hub CSPM。](accounts-orgs-auto-enable.md)
+ [在新组织账户中手动启用 Security Hub CSPM](orgs-accounts-enable.md)
+ [解除 Security Hub CSPM 成员账户与组织的关联](accounts-orgs-disassociate.md)

# 将 Security Hub CSPM 与 AWS Organizations
<a name="designate-orgs-admin-account"></a>

要集成 S AWS ecurity Hub CSPM 和 AWS Organizations，您需要在 “组织” 中创建组织，然后使用组织管理帐户指定委托的 Security Hub CSPM 管理员帐户。这使 Security Hub CSPM 成为组织中的可信服务。它还为委派管理员账户启用当前 AWS 区域 中的 Security Hub CSPM，并允许委派管理员为成员账户启用 Security Hub CSPM，查看成员账户中的数据，并对成员账户执行其他[允许的操作](securityhub-accounts-allowed-actions.md)。

如果您使用[中心配置](central-configuration-intro.md)，则委派管理员还可以创建 Security Hub CSPM 配置策略，指定应如何在组织账户中配置 Security Hub CSPM 服务、标准和控件。

## 创建企业
<a name="create-organization"></a>

组织是您为整合组织而创建的实体， AWS 账户 以便您可以将其作为一个单位进行管理。

您可以使用 AWS Organizations 控制台创建组织，也可以使用来自 AWS CLI 或其中一个 SDK 的命令来创建组织 APIs。有关详细说明，请参阅《AWS Organizations 用户指南》**中的[创建组织](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_create.html)。

您可以使用集中 AWS Organizations 查看和管理组织内的所有帐户。一个组织有一个管理账户以及零个或多个成员账户。您可以将帐户组织成树状的分层结构，根目录位于顶部，组织单位 (OUs) 嵌套在根目录下。每个账户可以直接位于根目录下，也可以放在层次结构 OUs 中的一个账户中。OU 是特定账户的容器。例如，您可以创建一个财务 OU，其中包括与财务操作相关的所有账户。

## 选择委派的 Security Hub CSPM 管理员的建议
<a name="designate-admin-recommendations"></a>

如果您在手动邀请流程中拥有管理员帐户，并且正在过渡到账户管理，我们建议将该帐户指定为委派的 Security Hub CSPM 管理员。 AWS Organizations

尽管 Security Hub CSPM APIs 和控制台允许组织管理帐户成为委托的 Security Hub CSPM 管理员，但我们建议选择两个不同的帐户。这是因为有权访问组织管理账户来管理账单的用户可能与需要访问 Security Hub CSPM 进行安全管理的用户不同。

我们建议您在所有区域使用同一个委派管理员。如果您选择使用中心配置，Security Hub CSPM 会自动在您的主区域和任何关联区域中指定相同的委派管理员。

## 验证配置委派管理员的权限
<a name="designate-admin-permissions"></a>

要指定和删除委派的 Security Hub CSPM 管理员账户，组织管理账户必须具有在 Security Hub CSPM 中执行 `EnableOrganizationAdminAccount` 和 `DisableOrganizationAdminAccount` 操作的权限。Organizations 管理账户还必须拥有 Organizations 的管理权限。

要授予所有必需的权限，请将以下 Security Hub CSPM 托管策略附加到组织管理账户的 IAM 主体：
+ [https://docs.aws.amazon.com/securityhub/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-awssecurityhubfullaccess](https://docs.aws.amazon.com/securityhub/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-awssecurityhubfullaccess)
+ [https://docs.aws.amazon.com/securityhub/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-awssecurityhuborganizationsaccess](https://docs.aws.amazon.com/securityhub/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-awssecurityhuborganizationsaccess)

## 指定委派管理员
<a name="designate-admin-instructions"></a>

要指定委派的 Security Hub CSPM 管理员账户，您可以使用 Security Hub CSPM 控制台、Security Hub CSPM API 或 AWS CLI。Security Hub CSPM AWS 区域 仅在当前区域设置委托管理员，您必须在其他区域重复该操作。如果您开始使用中心配置，则 Security Hub CSPM 会自动在主区域和关联区域中设置相同的委派管理员。

组织管理账户不必启用 Security Hub CSPM 即可指定委派的 Security Hub CSPM 管理员账户。

我们不建议将组织管理账户作为委派的 Security Hub CSPM 管理员账户。但是，如果您选择了组织管理账户作为 Security Hub CSPM 委派管理员，则该管理账户必须启用 Security Hub CSPM。如果管理账户未启用 Security Hub CSPM，则必须手动为其启用 Security Hub CSPM。无法为组织管理账户自动启用 Security Hub CSPM。

必须使用以下方法之一指定委派的 Security Hub CSPM 管理员。在 Organizations 中指定委派的 Security Hub CSPM 管理员并 APIs 不能反映在 Security Hub CSPM 中。

选择您喜欢的方法，然后按照步骤指定委派的 Security Hub CSPM 管理员账户。

------
#### [ Security Hub CSPM console ]

**在引导阶段指定委托 Security Hub 管理员**

1. 打开 S AWS ecurity Hub CSPM 控制台，网址为。[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. 选择**转到 Security Hub CSPM**。系统会提示您登录到组织管理账户。

1. 在**指定委派管理员**页面的**委派管理员账户**部分，指定委派管理员账户。我们建议选择您为其他 AWS 安全与合规服务设置的相同委派管理员。

1. 选择**设置委派管理员**。系统会提示您登录委派管理员账户（如果您尚未登录），以便继续使用中心配置进行登录。如果您不想启用中心配置，请选择**取消**。您的委派管理员已设置完毕，但您尚未使用中心配置。

**从**设置**页面指定委托 Security Hub 管理员**

1. 打开 S AWS ecurity Hub CSPM 控制台，网址为。[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. 在 Security Hub CSPM 导航窗格中，选择**设置**。然后，选择**常规**。

1. 如果当前分配了 Security Hub CSPM 管理员账户，则必须先删除当前账户，然后才能指定新账户。

   在**委派管理员**下，要删除当前账户，请选择**删除**。

1. 输入您要指定为 **Security Hub CSPM** 委派管理员账户的账户 ID。

   您必须在所有区域指定同一个 Security Hub CSPM 管理员账户。如果您指定的账户与其他区域指定的账户不同，控制台会返回错误。

1. 选择 **Delegate（委派）**。

------
#### [ Security Hub CSPM API, AWS CLI ]

在组织管理账户中，使用 Security Hub CSPM API 的 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_EnableOrganizationAdminAccount.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_EnableOrganizationAdminAccount.html) 操作。如果您使用的是 AWS CLI，请运行 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-organization-admin-account.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-organization-admin-account.html) 命令。提供委派的 Security Hub CSPM 管理员的 AWS 账户 ID。

以下示例将指定委派的 Security Hub CSPM 管理员。此示例是针对 Linux、macOS 或 Unix 进行格式化的，它使用反斜杠（\$1）行继续符来提高可读性。

```
$ aws securityhub enable-organization-admin-account --admin-account-id 123456789012
```

------

# 移除或更改委派管理员
<a name="remove-admin-overview"></a>

仅组织管理账户可以删除委派的 Security Hub CSPM 管理员账户。

要更改委派的 Security Hub CSPM 管理员，必须先删除当前委派管理员账户并指定新账户。

**警告**  
当你使用[集中配置](central-configuration-intro.md)时，你无法使用 Security Hub CSPM 控制台或 Security Hub CSPM APIs 来更改或删除委派的管理员帐户。如果组织管理帐户使用 AWS Organizations 控制台或更改或 AWS Organizations APIs 删除委派的 Security Hub CSPM 管理员，Security Hub CSPM 会自动停止中央配置，并删除您的配置策略和策略关联。成员账户保留其在更改或删除委派管理员之前的配置。

如果您使用 Security Hub CSPM 控制台删除一个区域的委派管理员，该管理员将在所有区域中被自动删除。

Security Hub CSPM API 仅从发出 API 调用或命令的区域中删除委派的 Security Hub CSPM 管理员账户。您必须在其他区域重复执行此操作。

如果您使用 Organizations API 删除委派的 Security Hub CSPM 管理员账户，则该账户将在所有区域中被自动删除。

## 移除委托管理员（Organizations API， AWS CLI）
<a name="remove-admin-orgs"></a>

您可以使用 Organizations 删除所有区域中委派的 Security Hub CSPM 管理员。

如果您使用中心配置来管理账户，则移除委派管理员账户会导致您的配置策略和策略关联被删除。成员账户保留其在更改或删除委派管理员之前的配置。但是，这些账户无法再由已删除的委派管理员账户进行管理。它们成为自行管理账户，必须在每个区域单独配置。

选择您的首选方法，然后按照说明删除委托的 Security Hub CSPM 管理员帐户。 AWS Organizations

------
#### [ Organizations API, AWS CLI ]

**删除委派的 Security Hub CSPM 管理员**

在组织管理账户中，使用 Organizations API 的 [https://docs.aws.amazon.com/organizations/latest/APIReference/API_DeregisterDelegatedAdministrator.html](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DeregisterDelegatedAdministrator.html) 操作。如果您使用的是 AWS CLI，请运行 [deregister-delegated-administrator](https://docs.aws.amazon.com/cli/latest/reference/organizations/deregister-delegated-administrator.html) 命令。提供委派管理员账户的账户 ID 以及 Security Hub CSPM 的服务主体，即 `securityhub.amazonaws.com`。

以下示例将删除委派的 Security Hub CSPM 管理员。此示例是针对 Linux、macOS 或 Unix 进行格式化的，它使用反斜杠（\$1）行继续符来提高可读性。

```
$ aws organizations deregister-delegated-administrator --account-id 123456789012 --service-principal securityhub.amazonaws.com
```

------

## 删除委派管理员（Security Hub CSPM 控制台）
<a name="remove-admin-console"></a>

您可以使用 Security Hub CSPM 控制台删除所有区域中委派的 Security Hub CSPM 管理员。

删除委派的 Security Hub CSPM 管理员账户后，成员账户将与已删除的委派的 Security Hub CSPM 管理员账户解除关联。

成员账户仍会启用 Security Hub CSPM。它们将变为独立账户，直至新的 Security Hub CSPM 管理员将它们启用为成员账户。

如果组织管理账户不是 Security Hub CSPM 中已启用的账户，请使用**欢迎使用 Security Hub CSPM** 页面上的选项。

**从**欢迎使用 Security Hub CSPM** 页面中删除委派的 Security Hub CSPM 管理员账户**

1. 打开 S AWS ecurity Hub CSPM 控制台，网址为。[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. 选择**转到 Security Hub**。

1. 在**委派管理员**下，选择**删除**。

如果组织管理账户是 **Security Hub** 中已启用的账户，请使用**设置**页面的**常规**选项卡上的选项。

**从**设置**页面删除委派的 Security Hub CSPM 管理员账户**

1. 打开 S AWS ecurity Hub CSPM 控制台，网址为。[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. 在 Security Hub CSPM 导航窗格中，选择**设置**。然后，选择**常规**。

1. 在**委派管理员**下，选择**删除**。

## 移除委派的管理员（Security Hub CSPM API，） AWS CLI
<a name="remove-admin-api"></a>

您可以使用 Security Hub CSPM API 或 Security Hub CSPM 操作 AWS CLI 来移除委派的 Security Hub CSPM 管理员。当您使用其中一种方法删除委派管理员时，只有在发出 API 调用或命令的区域中的委派管理员才会被删除。Security Hub CSPM 不会更新其他区域，也不会删除中的委托管理员帐户。 AWS Organizations

选择您喜欢的方法，然后按照这些步骤用 Security Hub CSPM 删除委派的 Security Hub CSPM 管理员账户。

------
#### [ Security Hub CSPM API, AWS CLI ]

**删除委派的 Security Hub CSPM 管理员**

在组织管理账户中，使用 Security Hub CSPM API 的 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisableOrganizationAdminAccount.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisableOrganizationAdminAccount.html) 操作。如果您使用的是 AWS CLI，请运行该[https://docs.aws.amazon.com/cli/latest/reference/securityhub/disable-organization-admin-account.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/disable-organization-admin-account.html)命令。提供委派的 Security Hub CSPM 管理员的账户 ID。

以下示例将删除委派的 Security Hub CSPM 管理员。此示例是针对 Linux、macOS 或 Unix 进行格式化的，它使用反斜杠（\$1）行继续符来提高可读性。

```
$ aws securityhub disable-organization-admin-account --admin-account-id 123456789012
```

------

# 禁用 Security Hub CSPM 与的集成 AWS Organizations
<a name="disable-orgs-integration"></a>

 AWS Organizations 组织与 Sec AWS urity Hub CSPM 集成后，组织管理帐户随后可以禁用集成。作为 Organizations 管理账户的用户，您可以通过在 AWS Organizations中禁用对 Security Hub CSPM 的可信访问来实现。

当您禁用 Security Hub CSPM 的可信访问权限时，会出现以下情况：
+ Security Hub CSPM 失去了其作为受信任服务的地位。 AWS Organizations
+ Security Hub CSPM 委派管理员账户将无法访问 AWS 区域中所有 Security Hub CSPM 成员账户的 Security Hub CSPM 设置、数据和资源。
+ 如果您使用的是[中心配置](central-configuration-intro.md)，Security Hub CSPM 会自动停止在您的组织中使用它。您的配置策略和策略关联会被删除。账户保留在您禁用可信访问之前的配置。
+ 所有 Security Hub CSPM 成员账户都将成为独立账户，并保留其当前设置。如果在一个或多个区域为成员账户启用 Security Hub CSPM，则这些区域的账户将继续启用 Security Hub CSPM。启用的标准和控件也保持不变。您可以在每个账户和地区中分别更改这些设置。但是，该账户不再与任何地区的委派管理员账户关联。

有关禁用可信服务访问的结果的更多信息，请参阅*《AWS Organizations 用户指南》 AWS 服务*中的 “[AWS Organizations 与其他人一起使用](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html)”。

要禁用可信访问，您可以使用 AWS Organizations 控制台、Organizations API 或 AWS CLI。只有 Organizations 管理账户的用户可以禁用 Security Hub CSPM 的可信服务访问权限。有关所需权限的详细信息，请参阅*《AWS Organizations 用户指南》*中的[禁用可信访问所需的权限](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html#orgs_trusted_access_disable_perms)。

在禁用可信访问权限之前，可以选择与组织的委派管理员合作，禁用成员账户的 Security Hub CSPM，并清理这些账户的 Security Hub CSPM 资源。

选择您喜欢的方法，然后按照以下步骤禁用 Security Hub CSPM 的受信任访问。

------
#### [ Organizations console ]

**禁用 Security Hub CSPM 的受信任访问**

1.  AWS 管理控制台 使用 AWS Organizations 管理账户的凭据登录。

1. 打开 “组织” 控制台，网址为[https://console.aws.amazon.com/organizations/](https://console.aws.amazon.com/organizations/)。

1. 在导航窗格中，选择**服务**。

1. 在**集成服务**下，选择 **AWS Security Hub CSPM**。

1. 选择 **Disable trusted access（禁用信任访问权限）**。

1. 确认您要禁用可信访问权限。

------
#### [ Organizations API ]

**禁用 Security Hub CSPM 的受信任访问**

调用 AWS Organizations API 的 “[禁用AWSService访问权限](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html)” 操作。对于 `ServicePrincipal` 参数，指定 Security Hub CSPM 服务主体（`securityhub.amazonaws.com`）。

------
#### [ AWS CLI ]

**禁用 Security Hub CSPM 的受信任访问**

运行 AWS Organizations API 的[disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)命令。对于 `service-principal` 参数，指定 Security Hub CSPM 服务主体（`securityhub.amazonaws.com`）。

**示例**：

```
aws organizations disable-aws-service-access --service-principal securityhub.amazonaws.com
```

------

# 在新组织账户中自动启用 Security Hub CSPM。
<a name="accounts-orgs-auto-enable"></a>

当新帐户加入您的组织时，它们将被添加到 Sec AWS urity Hub CSPM 控制台的 “**帐户**” 页面上的列表中。对于组织账户，**类型**为**按组织**。默认情况下，新账户在加入组织时不会成为 Security Hub CSPM 成员。他们的身份是**非成员**。当委派管理员账户加入组织后，可以自动添加新账户作为成员，并在这些账户中启用 Security Hub CSPM。

**注意**  
尽管默认情况下，您的许多区域 AWS 区域 处于活动状态 AWS 账户，但您必须手动激活某些区域。在本文档中，这些区域被称为选择加入区域。要在选择加入区域的新账户中自动启用 Security Hub CSPM，则账户必须先激活该区域。只有账户所有者才能激活选择加入区域。有关选择加入区域的更多信息，请参阅[指定 AWS 区域 您的账户可以使用的](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html)区域。

根据您使用的是中心配置（推荐）还是本地配置，此过程会有所不同。

## 自动启用新组织账户（中心配置）
<a name="central-configuration-auto-enable"></a>

如果您使用[中心配置](central-configuration-intro.md)，则可以通过创建启用 Security Hub CSPM 的配置策略，在新的和现有组织账户中自动启用 Security Hub CSPM。然后，您可以将该策略与组织根目录或特定的组织单位相关联 (OUs)。

如果您将启用了 Security Hub CSPM 的配置策略与特定 OU 相关联，则会自动在属于该 OU 的所有账户（现有账户和新账户）中启用 Security Hub CSPM。不属于 OU 的新账户是自行管理的，并且不会自动启用 Security Hub CSPM。如果您将启用了 Security Hub CSPM 的配置策略与根相关联，则会自动在加入组织的所有账户（现有账户和新账户）中启用 Security Hub CSPM。如果一个账户通过应用或继承使用不同的策略，或者是自行管理的，则为例外情况。

在配置策略中，您还可以定义应在 OU 中启用哪些安全标准和控件。要生成针对已启用标准的控制结果，OU 中的账户必须已 AWS Config 启用并配置为记录所需资源。有关 AWS Config 录制的更多信息，请参阅[启用和配置 AWS Config](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-prereq-config.html)。

有关创建配置策略的说明，请参阅[创建和关联配置策略](create-associate-policy.md)。

## 自动启用新组织账户（本地配置）
<a name="limited-configuration-auto-enable"></a>

当您使用本地配置并开启自动启用默认标准时，Security Hub CSPM 会将*新*组织账户添加为成员，并在当前区域的这些账户中启用 Security Hub CSPM。其他地区均不受影响。此外，开启自动启用不会在*现有*组织账户中启用 Security Hub CSPM，除非这些账户已添加为成员账户。

开启自动启用后，如果当前区域有新成员账户加入组织，也会为其启用默认安全标准。默认标准是 AWS 基础安全最佳实践 (FSBP) 和互联网安全中心 (CIS) AWS 基金会基准 v1.2.0。您不能更改默认标准。如果您想在整个组织中启用其他标准，或者要为特定账户启用标准 OUs，我们建议您使用集中配置。

要生成默认标准（和其他启用的标准）的控制结果，您组织中的账户必须已 AWS Config 启用并配置为记录所需资源。有关 AWS Config 录制的更多信息，请参阅[启用和配置 AWS Config](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-prereq-config.html)。

选择您喜欢的方法，然后按照步骤在新组织账户中自动启用 Security Hub CSPM。这些说明仅在您使用本地配置时适用。

------
#### [ Security Hub CSPM console ]

**将新组织账户自动启用为 Security Hub CSPM 成员**

1. 打开 S AWS ecurity Hub CSPM 控制台，网址为。[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   使用委派管理员账户凭证登录。

1. 在 Security Hub CSPM 导航窗格中的**设置**下，选择**配置**。

1. 在**账户**部分，打开**自动启用账户**。

------
#### [ Security Hub CSPM API ]

**将新组织账户自动启用为 Security Hub CSPM 成员**

从委派管理员账户调用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html) API。将 `AutoEnable` 字段设置为 `true`，以便在新组织账户中自动启用 Security Hub CSPM。

------
#### [ AWS CLI ]

**将新组织账户自动启用为 Security Hub CSPM 成员**

从委派管理员账户运行 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html) 命令。添加 `auto-enable` 参数以在新组织账户中自动启用 Security Hub CSPM。

```
aws securityhub update-organization-configuration --auto-enable
```

------

# 在新组织账户中手动启用 Security Hub CSPM
<a name="orgs-accounts-enable"></a>

如果您在新组织账户加入组织时没有自动启用 Security Hub CSPM，则可以将这些账户添加为成员，并在这些账户加入组织后在其中手动启用 Security Hub CSPM。您还必须手动启用 Security Hub CSPM AWS 账户 ，因为您之前已取消与组织的关联。

**注意**  
如果您使用[中心配置](central-configuration-intro.md)，则本节不适用于您。如果您使用集中配置，则可以创建配置策略，在指定的成员账户和组织单位中启用 Security Hub CSPM（）OUs。您还可以在这些帐户中启用特定的标准和控制，以及 OUs.

如果账户已经是其他组织中的成员账户，则无法在账户中启用 Security Hub CSPM。

您也无法在当前已暂停的账户中启用 Security Hub CSPM。如果您尝试在已暂停的账户中启用服务，则账户状态会更改为**账户已暂停**。
+ 如果该账户未启用 Security Hub CSPM，则会在该账户中启用 Security Hub CSPM。除非您关闭默认安全标准，否则账户中还会启用 AWS AWS 基础安全最佳实践 (FSBP) 标准和 CIS Foundations Benchmark v1.2.0。

  组织管理账户除外。无法在 Organizations 管理账户中自动启用 Security Hub CSPM。您必须在 Organizations 管理账户中手动启用 Security Hub CSPM，然后才能将其作为成员账户添加。
+ 如果该账户已经启用了 Security Hub CSPM，则 Security Hub CSPM 不会对该账户进行任何其他更改。它仅启用成员资格。

为了让 Security Hub CSPM 生成控制结果，必须 AWS Config 启用并配置成员账户以记录所需的资源。有关更多信息，请参阅[启用和配置 AWS Config](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-prereq-config.html)。

选择您喜欢的方法，然后按照步骤将组织账户启用为 Security Hub CSPM 成员账户。

------
#### [ Security Hub CSPM console ]

**手动将组织账户启用为 Security Hub CSPM 成员**

1. 打开 S AWS ecurity Hub CSPM 控制台，网址为。[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   使用委派管理员账户凭证登录。

1. 在 Security Hub CSPM 导航窗格中的**设置**下，选择**配置**。

1. 在**账户**列表中，选中要启用的每个组织账户。

1. 选择**操作**，然后选择**添加成员**。

------
#### [ Security Hub CSPM API ]

**手动将组织账户启用为 Security Hub CSPM 成员**

从委派管理员账户调用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateMembers.html) API。对于要启用的每个账户，请提供账户 ID。

与手动邀请流程不同，当您调用 `CreateMembers` 启用组织账户时，无需发送邀请。

------
#### [ AWS CLI ]

**手动将组织账户启用为 Security Hub CSPM 成员**

从委派管理员账户运行 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-members.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-members.html) 命令。对于要启用的每个账户，请提供账户 ID。

与手动邀请流程不同，当您运行 `create-members` 启用组织账户时，无需发送邀请。

```
aws securityhub create-members --account-details '[{"AccountId": "<accountId>"}]'
```

**示例**

```
aws securityhub create-members --account-details '[{"AccountId": "123456789111"}, {"AccountId": "123456789222"}]'
```

------

# 解除 Security Hub CSPM 成员账户与组织的关联
<a name="accounts-orgs-disassociate"></a>

要停止接收和查看 Sec AWS urity Hub CSPM 成员账户的调查结果，您可以取消该成员账户与您的组织的关联。

**注意**  
如果您使用[中心配置](central-configuration-intro.md)，则取消关联的工作原理会有所不同。您可以创建一个配置策略，在一个或多个集中管理的成员账户中禁用 Security Hub CSPM。之后，这些账户仍然是组织的一部分，但不会生成 Security Hub CSPM 调查发现。如果您使用中心配置，但也有手动邀请的成员账户，则可以取消关联一个或多个手动邀请的账户。

使用管理的成员账户 AWS Organizations 无法取消其账户与管理员账户的关联。只有管理员账户可以取消成员账户的关联。

取消关联成员账户不会删除该账户。相反，它会从组织中删除该成员账户。已取消关联的成员账户变为独立账户 AWS 账户 ，不再由 Security Hub CSPM 与的集成管理。 AWS Organizations

选择您的首选方法，然后按照步骤取消成员账户与组织的关联。

------
#### [ Security Hub CSPM console ]

**要取消成员账户与组织之间的关联**

1. 打开 S AWS ecurity Hub CSPM 控制台，网址为。[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   使用委派管理员账户凭证登录。

1. 在导航窗格中的**设置**下，选择**配置**。

1. 在**账户**部分，选中要取消关联的账户。如果您使用中心配置，则可以选择一个手动邀请的账户来取消与 `Invitation accounts` 选项卡的关联。仅当您使用中心配置时，才可以看到此选项卡。

1. 选择**操作**，然后选择**取消账户关联**。

------
#### [ Security Hub CSPM API ]

**要取消成员账户与组织的关联**

从委派管理员账户调用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisassociateMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisassociateMembers.html) API。您必须 AWS 账户 IDs 提供成员账户才能解除关联。要查看成员账户列表，请调用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListMembers.html) API。

------
#### [ AWS CLI ]

**要取消成员账户与组织的关联**

从委派管理员账户运行 [>`disassociate-members`](https://docs.aws.amazon.com/cli/latest/reference/securityhub/disassociate-members.html) 命令。您必须 AWS 账户 IDs 提供成员账户才能解除关联。要查看成员账户列表，请运行 [>`list-members`](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-members.html) 命令。

```
aws securityhub disassociate-members --account-ids "<accountIds>"
```

**示例**

```
aws securityhub disassociate-members --account-ids "123456789111" "123456789222"
```

------

 您也可以使用 AWS Organizations 控制台 AWS CLI、或 AWS SDKs 取消成员账户与您的组织的关联。有关更多信息，请参阅 *AWS Organizations 用户指南*中的[从组织中删除成员账户](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_remove.html)。