本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 管理 Security Hub CSPM 中的管理员账户和成员账户
如果您的 AWS 环境有多个帐户,则可以将使用 Sec AWS urity Hub CSPM 的帐户视为成员帐户,并将它们与单个管理员帐户关联。管理员可以监控您的整体安全状况,对成员账户执行[允许的操作](securityhub-accounts-allowed-actions.md)。管理员还可以大规模执行各种账户管理任务,例如监控预计使用成本和评测账户配额。
您可以通过两种方式将成员帐户与管理员关联:将 Security Hub CSPM 与 Security Hub CSPM 集成, AWS Organizations 或者在 Security Hub CSPM 中手动发送和接受会员邀请。
## 使用管理账户 AWS Organizations
AWS Organizations 是一项全球账户管理服务,允许 AWS 管理员整合和管理多个账户 AWS 账户。它提供账户管理和整合账单功能,这些功能旨在满足预算、安全性和合规性需求。它不收取额外费用,并且可以与多个 AWS 服务集成,包括Sec AWS urity Hub CSPM、Amazon Macie和亚马逊。 GuardDuty有关更多信息,请参阅 [https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)。
当你集成 Security Hub CSPM 和时 AWS Organizations,Organizations 管理账户会指定 Security Hub CSPM 授权的管理员。Security Hub CSPM 将在指定的委托管理员账户 AWS 区域 中自动启用。
指定委派管理员后,我们建议使用[中心配置](central-configuration-intro.md)在 Security Hub CSPM 中管理账户。这是自定义 Security Hub CSPM 并确保为组织提供足够的安全覆盖的有效方法。
中央配置允许授权管理员跨多个组织账户和区域自定义 Security Hub CSPM,而不必进行配置。 Region-by-Region您可以为整个组织创建配置策略,也可以为不同的账户和创建不同的配置策略 OUs。这些策略指定了在关联账户中启用还是禁用 Security Hub CSPM,以及启用哪些安全标准和控件。
委派管理员可将账户指定为集中管理或自行管理。集中管理的账户只能由委派管理员配置。自行管理账户可以自行指定设置。
如果您不选择使用中心配置,则委派管理员配置 Security Hub CSPM 的能力将更为有限(称为*本地配置*)。在本地配置下,委派管理员可以在当前区域的新组织账户中自动启用 Security Hub CSPM 和[默认安全标准](securityhub-auto-enabled-standards.md)。但现有账户不使用这些设置,因此账户加入组织后可能会出现配置偏差。
除了这些新账户设置外,本地配置是针对特定账户和特定区域的。每个组织账户必须在每个区域单独配置 Security Hub CSPM 服务、标准和控件。本地配置也不支持使用配置策略。
## 通过邀请手动管理账户
如果您拥有独立账户或未与 Organizations 集成,则必须在 Security Hub CSPM 中通过邀请手动管理成员账户。独立账户不能与 Organizations 集成,因此需要手动管理。如果您将来添加其他帐户,我们建议您与中央配置集成 AWS Organizations 并使用中央配置。
使用手动账户管理时,要将一个账户指定为 Security Hub CSPM 管理员。管理员账户可以查看成员账户中的数据,对成员账户的调查发现执行某些操作。Security Hub CSPM 管理员邀请其他账户成为成员账户,当潜在成员账户接受邀请后,管理员与成员关系即建立。
手动账户管理不支持使用配置策略。如果没有配置策略,管理员就无法通过为不同的账户配置变量设置来集中自定义 Security Hub CSPM。相反,每个组织账户必须在每个区域中单独为自己启用和配置 Security Hub CSPM。这可能会增加确保在使用 Security Hub CSPM 的所有账户和区域中实现充分安全覆盖的难度和时间。这还可能导致配置偏差,因为成员账户可以指定自己的设置,而无需管理员输入。
要通过邀请管理账户,请参阅[在 Security Hub CSPM 中通过邀请管理账户](account-management-manual.md)。
# 在 Security Hub CSPM 中管理多个账户的建议
以下部分总结了在 Sec AWS urity Hub CSPM 中管理成员帐户时需要注意的一些限制和建议。
## 成员账户的最大数量
如果您使用与的集成 AWS Organizations,Security Hub CSPM 在每个委托管理员账户中最多支持 10,000 个成员账户。 AWS 区域如果手动启用和管理 Security Hub CSPM,Security Hub CSPM 支持每个区域每个管理员账户最多 1,000 个成员账户邀请。
## 创建管理员与成员关系
**注意**
如果您将 Security Hub CSPM 与 AWS Organizations Security Hub CSPM 集成,并且尚未手动邀请任何成员帐户,则此部分不适用于您。
账户不能既是管理员账户又是成员账户。
一个成员账户只能与一个管理员账户关联。如果组织账户由 Security Hub CSPM 管理员账户启用,则该账户将无法接受来自其他账户的邀请。如果某账户已经接受邀请,则该账户无法通过组织的 Security Hub CSPM 管理员账户启用。它也无法接收来自其他账户的邀请。
对于手动邀请流程,接受成员资格邀请是可选的。
### 通过以下方式获得会 AWS Organizations
如果您将 Security Hub CSPM 与集成 AWS Organizations,则组织管理帐户可以为 Security Hub CSPM 指定委托管理员 (DA) 帐户。不能将组织管理账户设置为组织的 DA。虽然 Security Hub CSPM 允许这样做,但我们建议*不要*将 Organizations 管理账户设为 DA。
我们建议在所有区域选择同一个 DA 账户。如果使用[中心配置](central-configuration-intro.md),则 Security Hub CSPM 会在您为组织配置 Security Hub CSPM 的所有区域中设置相同的 DA 账户。
我们还建议您在 AWS 安全与合规服务中选择相同的 DA 帐户,以帮助您在单一管理平台中管理与安全相关的问题。
### 通过邀请的成员资格
对于通过邀请创建的成员账户,管理员与成员账户的关联仅在发出邀请的地区创建。管理员账户必须在要使用的每个区域中启用 Security Hub CSPM。然后,管理员账户会邀请每个账户成为该区域的成员账户。
**注意**
我们建议使用 AWS Organizations 代替 Security Hub CSPM 邀请来管理您的会员账户。
## 跨服务协调管理员账户
Security Hub CSPM 汇总了来自亚马逊、亚马逊 Insp GuardDuty ector 和 Amazon Macie 等各种 AWS 服务的调查结果。Security Hub CSPM 还允许用户从调查 GuardDuty 结果转向在 Amazon Detective 中开始调查。
但是,您在这些其他服务中设置的管理员与成员关系不会自动应用于 Security Hub CSPM。Security Hub CSPM 建议所有这些服务使用与管理员账户相同的账户。此管理员账户应该是负责安全工具的账户。同一个账户也应该是 AWS Config的聚合器账户。
例如, GuardDuty 管理员账户 A 中的用户可以在 GuardDuty 控制台上查看 GuardDuty成员账户 B 和 C 的调查结果。如果账户 A 随后启用 Security Hub CSPM,则账户 A 的用户*不会*自动在 Security Hub CSPM 中看到账户 B 和 C 的搜索 GuardDuty结果。这些账户还需要建立 Security Hub CSPM 管理员与成员关系。
为此,请将账户 A 设为 Security Hub CSPM 管理员账户,并使账户 B 和 C 成为 Security Hub CSPM 成员账户。
# 使用管理多个账户的 Security Hub CSPM AWS Organizations
你可以将 S AWS ecurity Hub CSPM 与组织中的账户集成 AWS Organizations,然后为组织中的账户管理 Security Hub CSPM。
要将 Security Hub CSPM 与 Security Hub CSPM 集成 AWS Organizations,你需要在中创建一个组织。 AWS Organizations Organizations 管理账户会将一个账户指定为该组织的 Security Hub CSPM 委派管理员。然后,委派管理员可以为组织中的其他账户启用 Security Hub CSPM,将这些账户添加为 Security Hub CSPM 成员账户,并对成员账户采取允许的操作。Security Hub CSPM 委派管理员可以为多达 1 万个成员账户启用和管理 Security Hub CSPM。
委派管理员的配置能力范围取决于您是否使用[中心配置](central-configuration-intro.md)。启用中心配置后,您无需在每个成员账户和 AWS 区域中单独配置 Security Hub CSPM。授权的管理员可以在各区域的指定成员账户和组织单位 (OUs) 中强制执行特定的 Security Hub CSPM 设置。
Security Hub CSPM 委派管理员账户可以对成员账户执行以下操作:
+ 如果使用集中配置,请为成员账户集中配置 Security Hub CSPM,并 OUs 通过创建 Security Hub CSPM 配置策略进行配置。配置策略可用于启用和禁用 Security Hub CSPM、启用和禁用标准以及启用和禁用控件。
+ 在将*新*账户加入组织时,自动将其视为 Security Hub CSPM 成员账户。如果您使用中心配置,则与 OU 关联的配置策略包括属于 OU 的现有账户和新账户。
+ 将*现有*组织账户视为 Security Hub CSPM 成员账户。如果您使用中心配置,这种情况会自动出现。
+ 取消关联属于该组织的成员账户。如果您使用中心配置,则只有在将成员账户指定为自行管理之后,才能取消其关联。或者,您可以将禁用 Security Hub CSPM 的配置策略与特定的集中管理的成员账户相关联。
如果您不选择中心配置,则组织会使用称为本地配置的默认配置类型。在本地配置下,委派管理员在成员账户中强制设置的能力将更为有限。有关更多信息,请参阅 [了解 Security Hub CSPM 中的本地配置](local-configuration.md)。
有关委派管理员可以对成员账户执行的操作的完整列表,请参阅[Security Hub CSPM 中管理员和成员账户可以执行的操作](securityhub-accounts-allowed-actions.md)。
本节中的主题说明了如何将 Security Hub CSPM 与组织中的账户集成, AWS Organizations 以及如何为组织中的账户管理 Security Hub CSPM。在相关时,每个部分都确定了中心配置用户在管理方面的好处和差异。
**Topics**
+ [将 Security Hub CSPM 与 AWS Organizations](designate-orgs-admin-account.md)
+ [在新组织账户中自动启用 Security Hub CSPM。](accounts-orgs-auto-enable.md)
+ [在新组织账户中手动启用 Security Hub CSPM](orgs-accounts-enable.md)
+ [解除 Security Hub CSPM 成员账户与组织的关联](accounts-orgs-disassociate.md)
# 将 Security Hub CSPM 与 AWS Organizations
要集成 S AWS ecurity Hub CSPM 和 AWS Organizations,您需要在 “组织” 中创建组织,然后使用组织管理帐户指定委托的 Security Hub CSPM 管理员帐户。这使 Security Hub CSPM 成为组织中的可信服务。它还为委派管理员账户启用当前 AWS 区域 中的 Security Hub CSPM,并允许委派管理员为成员账户启用 Security Hub CSPM,查看成员账户中的数据,并对成员账户执行其他[允许的操作](securityhub-accounts-allowed-actions.md)。
如果您使用[中心配置](central-configuration-intro.md),则委派管理员还可以创建 Security Hub CSPM 配置策略,指定应如何在组织账户中配置 Security Hub CSPM 服务、标准和控件。
## 创建企业
组织是您为整合组织而创建的实体, AWS 账户 以便您可以将其作为一个单位进行管理。
您可以使用 AWS Organizations 控制台创建组织,也可以使用来自 AWS CLI 或其中一个 SDK 的命令来创建组织 APIs。有关详细说明,请参阅《AWS Organizations 用户指南》**中的[创建组织](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_create.html)。
您可以使用集中 AWS Organizations 查看和管理组织内的所有帐户。一个组织有一个管理账户以及零个或多个成员账户。您可以将帐户组织成树状的分层结构,根目录位于顶部,组织单位 (OUs) 嵌套在根目录下。每个账户可以直接位于根目录下,也可以放在层次结构 OUs 中的一个账户中。OU 是特定账户的容器。例如,您可以创建一个财务 OU,其中包括与财务操作相关的所有账户。
## 选择委派的 Security Hub CSPM 管理员的建议
如果您在手动邀请流程中拥有管理员帐户,并且正在过渡到账户管理,我们建议将该帐户指定为委派的 Security Hub CSPM 管理员。 AWS Organizations
尽管 Security Hub CSPM APIs 和控制台允许组织管理帐户成为委托的 Security Hub CSPM 管理员,但我们建议选择两个不同的帐户。这是因为有权访问组织管理账户来管理账单的用户可能与需要访问 Security Hub CSPM 进行安全管理的用户不同。
我们建议您在所有区域使用同一个委派管理员。如果您选择使用中心配置,Security Hub CSPM 会自动在您的主区域和任何关联区域中指定相同的委派管理员。
## 验证配置委派管理员的权限
要指定和删除委派的 Security Hub CSPM 管理员账户,组织管理账户必须具有在 Security Hub CSPM 中执行 `EnableOrganizationAdminAccount` 和 `DisableOrganizationAdminAccount` 操作的权限。Organizations 管理账户还必须拥有 Organizations 的管理权限。
要授予所有必需的权限,请将以下 Security Hub CSPM 托管策略附加到组织管理账户的 IAM 主体:
+ [https://docs.aws.amazon.com/securityhub/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-awssecurityhubfullaccess](https://docs.aws.amazon.com/securityhub/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-awssecurityhubfullaccess)
+ [https://docs.aws.amazon.com/securityhub/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-awssecurityhuborganizationsaccess](https://docs.aws.amazon.com/securityhub/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-awssecurityhuborganizationsaccess)
## 指定委派管理员
要指定委派的 Security Hub CSPM 管理员账户,您可以使用 Security Hub CSPM 控制台、Security Hub CSPM API 或 AWS CLI。Security Hub CSPM AWS 区域 仅在当前区域设置委托管理员,您必须在其他区域重复该操作。如果您开始使用中心配置,则 Security Hub CSPM 会自动在主区域和关联区域中设置相同的委派管理员。
组织管理账户不必启用 Security Hub CSPM 即可指定委派的 Security Hub CSPM 管理员账户。
我们不建议将组织管理账户作为委派的 Security Hub CSPM 管理员账户。但是,如果您选择了组织管理账户作为 Security Hub CSPM 委派管理员,则该管理账户必须启用 Security Hub CSPM。如果管理账户未启用 Security Hub CSPM,则必须手动为其启用 Security Hub CSPM。无法为组织管理账户自动启用 Security Hub CSPM。
必须使用以下方法之一指定委派的 Security Hub CSPM 管理员。在 Organizations 中指定委派的 Security Hub CSPM 管理员并 APIs 不能反映在 Security Hub CSPM 中。
选择您喜欢的方法,然后按照步骤指定委派的 Security Hub CSPM 管理员账户。
------
#### [ Security Hub CSPM console ]
**在引导阶段指定委托 Security Hub 管理员**
1. 打开 S AWS ecurity Hub CSPM 控制台,网址为。[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. 选择**转到 Security Hub CSPM**。系统会提示您登录到组织管理账户。
1. 在**指定委派管理员**页面的**委派管理员账户**部分,指定委派管理员账户。我们建议选择您为其他 AWS 安全与合规服务设置的相同委派管理员。
1. 选择**设置委派管理员**。系统会提示您登录委派管理员账户(如果您尚未登录),以便继续使用中心配置进行登录。如果您不想启用中心配置,请选择**取消**。您的委派管理员已设置完毕,但您尚未使用中心配置。
**从**设置**页面指定委托 Security Hub 管理员**
1. 打开 S AWS ecurity Hub CSPM 控制台,网址为。[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. 在 Security Hub CSPM 导航窗格中,选择**设置**。然后,选择**常规**。
1. 如果当前分配了 Security Hub CSPM 管理员账户,则必须先删除当前账户,然后才能指定新账户。
在**委派管理员**下,要删除当前账户,请选择**删除**。
1. 输入您要指定为 **Security Hub CSPM** 委派管理员账户的账户 ID。
您必须在所有区域指定同一个 Security Hub CSPM 管理员账户。如果您指定的账户与其他区域指定的账户不同,控制台会返回错误。
1. 选择 **Delegate(委派)**。
------
#### [ Security Hub CSPM API, AWS CLI ]
在组织管理账户中,使用 Security Hub CSPM API 的 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_EnableOrganizationAdminAccount.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_EnableOrganizationAdminAccount.html) 操作。如果您使用的是 AWS CLI,请运行 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-organization-admin-account.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-organization-admin-account.html) 命令。提供委派的 Security Hub CSPM 管理员的 AWS 账户 ID。
以下示例将指定委派的 Security Hub CSPM 管理员。此示例是针对 Linux、macOS 或 Unix 进行格式化的,它使用反斜杠(\$1)行继续符来提高可读性。
```
$ aws securityhub enable-organization-admin-account --admin-account-id 123456789012
```
------
# 移除或更改委派管理员
仅组织管理账户可以删除委派的 Security Hub CSPM 管理员账户。
要更改委派的 Security Hub CSPM 管理员,必须先删除当前委派管理员账户并指定新账户。
**警告**
当你使用[集中配置](central-configuration-intro.md)时,你无法使用 Security Hub CSPM 控制台或 Security Hub CSPM APIs 来更改或删除委派的管理员帐户。如果组织管理帐户使用 AWS Organizations 控制台或更改或 AWS Organizations APIs 删除委派的 Security Hub CSPM 管理员,Security Hub CSPM 会自动停止中央配置,并删除您的配置策略和策略关联。成员账户保留其在更改或删除委派管理员之前的配置。
如果您使用 Security Hub CSPM 控制台删除一个区域的委派管理员,该管理员将在所有区域中被自动删除。
Security Hub CSPM API 仅从发出 API 调用或命令的区域中删除委派的 Security Hub CSPM 管理员账户。您必须在其他区域重复执行此操作。
如果您使用 Organizations API 删除委派的 Security Hub CSPM 管理员账户,则该账户将在所有区域中被自动删除。
## 移除委托管理员(Organizations API, AWS CLI)
您可以使用 Organizations 删除所有区域中委派的 Security Hub CSPM 管理员。
如果您使用中心配置来管理账户,则移除委派管理员账户会导致您的配置策略和策略关联被删除。成员账户保留其在更改或删除委派管理员之前的配置。但是,这些账户无法再由已删除的委派管理员账户进行管理。它们成为自行管理账户,必须在每个区域单独配置。
选择您的首选方法,然后按照说明删除委托的 Security Hub CSPM 管理员帐户。 AWS Organizations
------
#### [ Organizations API, AWS CLI ]
**删除委派的 Security Hub CSPM 管理员**
在组织管理账户中,使用 Organizations API 的 [https://docs.aws.amazon.com/organizations/latest/APIReference/API_DeregisterDelegatedAdministrator.html](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DeregisterDelegatedAdministrator.html) 操作。如果您使用的是 AWS CLI,请运行 [deregister-delegated-administrator](https://docs.aws.amazon.com/cli/latest/reference/organizations/deregister-delegated-administrator.html) 命令。提供委派管理员账户的账户 ID 以及 Security Hub CSPM 的服务主体,即 `securityhub.amazonaws.com`。
以下示例将删除委派的 Security Hub CSPM 管理员。此示例是针对 Linux、macOS 或 Unix 进行格式化的,它使用反斜杠(\$1)行继续符来提高可读性。
```
$ aws organizations deregister-delegated-administrator --account-id 123456789012 --service-principal securityhub.amazonaws.com
```
------
## 删除委派管理员(Security Hub CSPM 控制台)
您可以使用 Security Hub CSPM 控制台删除所有区域中委派的 Security Hub CSPM 管理员。
删除委派的 Security Hub CSPM 管理员账户后,成员账户将与已删除的委派的 Security Hub CSPM 管理员账户解除关联。
成员账户仍会启用 Security Hub CSPM。它们将变为独立账户,直至新的 Security Hub CSPM 管理员将它们启用为成员账户。
如果组织管理账户不是 Security Hub CSPM 中已启用的账户,请使用**欢迎使用 Security Hub CSPM** 页面上的选项。
**从**欢迎使用 Security Hub CSPM** 页面中删除委派的 Security Hub CSPM 管理员账户**
1. 打开 S AWS ecurity Hub CSPM 控制台,网址为。[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. 选择**转到 Security Hub**。
1. 在**委派管理员**下,选择**删除**。
如果组织管理账户是 **Security Hub** 中已启用的账户,请使用**设置**页面的**常规**选项卡上的选项。
**从**设置**页面删除委派的 Security Hub CSPM 管理员账户**
1. 打开 S AWS ecurity Hub CSPM 控制台,网址为。[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. 在 Security Hub CSPM 导航窗格中,选择**设置**。然后,选择**常规**。
1. 在**委派管理员**下,选择**删除**。
## 移除委派的管理员(Security Hub CSPM API,) AWS CLI
您可以使用 Security Hub CSPM API 或 Security Hub CSPM 操作 AWS CLI 来移除委派的 Security Hub CSPM 管理员。当您使用其中一种方法删除委派管理员时,只有在发出 API 调用或命令的区域中的委派管理员才会被删除。Security Hub CSPM 不会更新其他区域,也不会删除中的委托管理员帐户。 AWS Organizations
选择您喜欢的方法,然后按照这些步骤用 Security Hub CSPM 删除委派的 Security Hub CSPM 管理员账户。
------
#### [ Security Hub CSPM API, AWS CLI ]
**删除委派的 Security Hub CSPM 管理员**
在组织管理账户中,使用 Security Hub CSPM API 的 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisableOrganizationAdminAccount.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisableOrganizationAdminAccount.html) 操作。如果您使用的是 AWS CLI,请运行该[https://docs.aws.amazon.com/cli/latest/reference/securityhub/disable-organization-admin-account.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/disable-organization-admin-account.html)命令。提供委派的 Security Hub CSPM 管理员的账户 ID。
以下示例将删除委派的 Security Hub CSPM 管理员。此示例是针对 Linux、macOS 或 Unix 进行格式化的,它使用反斜杠(\$1)行继续符来提高可读性。
```
$ aws securityhub disable-organization-admin-account --admin-account-id 123456789012
```
------
# 禁用 Security Hub CSPM 与的集成 AWS Organizations
AWS Organizations 组织与 Sec AWS urity Hub CSPM 集成后,组织管理帐户随后可以禁用集成。作为 Organizations 管理账户的用户,您可以通过在 AWS Organizations中禁用对 Security Hub CSPM 的可信访问来实现。
当您禁用 Security Hub CSPM 的可信访问权限时,会出现以下情况:
+ Security Hub CSPM 失去了其作为受信任服务的地位。 AWS Organizations
+ Security Hub CSPM 委派管理员账户将无法访问 AWS 区域中所有 Security Hub CSPM 成员账户的 Security Hub CSPM 设置、数据和资源。
+ 如果您使用的是[中心配置](central-configuration-intro.md),Security Hub CSPM 会自动停止在您的组织中使用它。您的配置策略和策略关联会被删除。账户保留在您禁用可信访问之前的配置。
+ 所有 Security Hub CSPM 成员账户都将成为独立账户,并保留其当前设置。如果在一个或多个区域为成员账户启用 Security Hub CSPM,则这些区域的账户将继续启用 Security Hub CSPM。启用的标准和控件也保持不变。您可以在每个账户和地区中分别更改这些设置。但是,该账户不再与任何地区的委派管理员账户关联。
有关禁用可信服务访问的结果的更多信息,请参阅*《AWS Organizations 用户指南》 AWS 服务*中的 “[AWS Organizations 与其他人一起使用](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html)”。
要禁用可信访问,您可以使用 AWS Organizations 控制台、Organizations API 或 AWS CLI。只有 Organizations 管理账户的用户可以禁用 Security Hub CSPM 的可信服务访问权限。有关所需权限的详细信息,请参阅*《AWS Organizations 用户指南》*中的[禁用可信访问所需的权限](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html#orgs_trusted_access_disable_perms)。
在禁用可信访问权限之前,可以选择与组织的委派管理员合作,禁用成员账户的 Security Hub CSPM,并清理这些账户的 Security Hub CSPM 资源。
选择您喜欢的方法,然后按照以下步骤禁用 Security Hub CSPM 的受信任访问。
------
#### [ Organizations console ]
**禁用 Security Hub CSPM 的受信任访问**
1. AWS 管理控制台 使用 AWS Organizations 管理账户的凭据登录。
1. 打开 “组织” 控制台,网址为[https://console.aws.amazon.com/organizations/](https://console.aws.amazon.com/organizations/)。
1. 在导航窗格中,选择**服务**。
1. 在**集成服务**下,选择 **AWS Security Hub CSPM**。
1. 选择 **Disable trusted access(禁用信任访问权限)**。
1. 确认您要禁用可信访问权限。
------
#### [ Organizations API ]
**禁用 Security Hub CSPM 的受信任访问**
调用 AWS Organizations API 的 “[禁用AWSService访问权限](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html)” 操作。对于 `ServicePrincipal` 参数,指定 Security Hub CSPM 服务主体(`securityhub.amazonaws.com`)。
------
#### [ AWS CLI ]
**禁用 Security Hub CSPM 的受信任访问**
运行 AWS Organizations API 的[disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)命令。对于 `service-principal` 参数,指定 Security Hub CSPM 服务主体(`securityhub.amazonaws.com`)。
**示例**:
```
aws organizations disable-aws-service-access --service-principal securityhub.amazonaws.com
```
------
# 在新组织账户中自动启用 Security Hub CSPM。
当新帐户加入您的组织时,它们将被添加到 Sec AWS urity Hub CSPM 控制台的 “**帐户**” 页面上的列表中。对于组织账户,**类型**为**按组织**。默认情况下,新账户在加入组织时不会成为 Security Hub CSPM 成员。他们的身份是**非成员**。当委派管理员账户加入组织后,可以自动添加新账户作为成员,并在这些账户中启用 Security Hub CSPM。
**注意**
尽管默认情况下,您的许多区域 AWS 区域 处于活动状态 AWS 账户,但您必须手动激活某些区域。在本文档中,这些区域被称为选择加入区域。要在选择加入区域的新账户中自动启用 Security Hub CSPM,则账户必须先激活该区域。只有账户所有者才能激活选择加入区域。有关选择加入区域的更多信息,请参阅[指定 AWS 区域 您的账户可以使用的](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html)区域。
根据您使用的是中心配置(推荐)还是本地配置,此过程会有所不同。
## 自动启用新组织账户(中心配置)
如果您使用[中心配置](central-configuration-intro.md),则可以通过创建启用 Security Hub CSPM 的配置策略,在新的和现有组织账户中自动启用 Security Hub CSPM。然后,您可以将该策略与组织根目录或特定的组织单位相关联 (OUs)。
如果您将启用了 Security Hub CSPM 的配置策略与特定 OU 相关联,则会自动在属于该 OU 的所有账户(现有账户和新账户)中启用 Security Hub CSPM。不属于 OU 的新账户是自行管理的,并且不会自动启用 Security Hub CSPM。如果您将启用了 Security Hub CSPM 的配置策略与根相关联,则会自动在加入组织的所有账户(现有账户和新账户)中启用 Security Hub CSPM。如果一个账户通过应用或继承使用不同的策略,或者是自行管理的,则为例外情况。
在配置策略中,您还可以定义应在 OU 中启用哪些安全标准和控件。要生成针对已启用标准的控制结果,OU 中的账户必须已 AWS Config 启用并配置为记录所需资源。有关 AWS Config 录制的更多信息,请参阅[启用和配置 AWS Config](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-prereq-config.html)。
有关创建配置策略的说明,请参阅[创建和关联配置策略](create-associate-policy.md)。
## 自动启用新组织账户(本地配置)
当您使用本地配置并开启自动启用默认标准时,Security Hub CSPM 会将*新*组织账户添加为成员,并在当前区域的这些账户中启用 Security Hub CSPM。其他地区均不受影响。此外,开启自动启用不会在*现有*组织账户中启用 Security Hub CSPM,除非这些账户已添加为成员账户。
开启自动启用后,如果当前区域有新成员账户加入组织,也会为其启用默认安全标准。默认标准是 AWS 基础安全最佳实践 (FSBP) 和互联网安全中心 (CIS) AWS 基金会基准 v1.2.0。您不能更改默认标准。如果您想在整个组织中启用其他标准,或者要为特定账户启用标准 OUs,我们建议您使用集中配置。
要生成默认标准(和其他启用的标准)的控制结果,您组织中的账户必须已 AWS Config 启用并配置为记录所需资源。有关 AWS Config 录制的更多信息,请参阅[启用和配置 AWS Config](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-prereq-config.html)。
选择您喜欢的方法,然后按照步骤在新组织账户中自动启用 Security Hub CSPM。这些说明仅在您使用本地配置时适用。
------
#### [ Security Hub CSPM console ]
**将新组织账户自动启用为 Security Hub CSPM 成员**
1. 打开 S AWS ecurity Hub CSPM 控制台,网址为。[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
使用委派管理员账户凭证登录。
1. 在 Security Hub CSPM 导航窗格中的**设置**下,选择**配置**。
1. 在**账户**部分,打开**自动启用账户**。
------
#### [ Security Hub CSPM API ]
**将新组织账户自动启用为 Security Hub CSPM 成员**
从委派管理员账户调用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html) API。将 `AutoEnable` 字段设置为 `true`,以便在新组织账户中自动启用 Security Hub CSPM。
------
#### [ AWS CLI ]
**将新组织账户自动启用为 Security Hub CSPM 成员**
从委派管理员账户运行 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html) 命令。添加 `auto-enable` 参数以在新组织账户中自动启用 Security Hub CSPM。
```
aws securityhub update-organization-configuration --auto-enable
```
------
# 在新组织账户中手动启用 Security Hub CSPM
如果您在新组织账户加入组织时没有自动启用 Security Hub CSPM,则可以将这些账户添加为成员,并在这些账户加入组织后在其中手动启用 Security Hub CSPM。您还必须手动启用 Security Hub CSPM AWS 账户 ,因为您之前已取消与组织的关联。
**注意**
如果您使用[中心配置](central-configuration-intro.md),则本节不适用于您。如果您使用集中配置,则可以创建配置策略,在指定的成员账户和组织单位中启用 Security Hub CSPM()OUs。您还可以在这些帐户中启用特定的标准和控制,以及 OUs.
如果账户已经是其他组织中的成员账户,则无法在账户中启用 Security Hub CSPM。
您也无法在当前已暂停的账户中启用 Security Hub CSPM。如果您尝试在已暂停的账户中启用服务,则账户状态会更改为**账户已暂停**。
+ 如果该账户未启用 Security Hub CSPM,则会在该账户中启用 Security Hub CSPM。除非您关闭默认安全标准,否则账户中还会启用 AWS AWS 基础安全最佳实践 (FSBP) 标准和 CIS Foundations Benchmark v1.2.0。
组织管理账户除外。无法在 Organizations 管理账户中自动启用 Security Hub CSPM。您必须在 Organizations 管理账户中手动启用 Security Hub CSPM,然后才能将其作为成员账户添加。
+ 如果该账户已经启用了 Security Hub CSPM,则 Security Hub CSPM 不会对该账户进行任何其他更改。它仅启用成员资格。
为了让 Security Hub CSPM 生成控制结果,必须 AWS Config 启用并配置成员账户以记录所需的资源。有关更多信息,请参阅[启用和配置 AWS Config](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-prereq-config.html)。
选择您喜欢的方法,然后按照步骤将组织账户启用为 Security Hub CSPM 成员账户。
------
#### [ Security Hub CSPM console ]
**手动将组织账户启用为 Security Hub CSPM 成员**
1. 打开 S AWS ecurity Hub CSPM 控制台,网址为。[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
使用委派管理员账户凭证登录。
1. 在 Security Hub CSPM 导航窗格中的**设置**下,选择**配置**。
1. 在**账户**列表中,选中要启用的每个组织账户。
1. 选择**操作**,然后选择**添加成员**。
------
#### [ Security Hub CSPM API ]
**手动将组织账户启用为 Security Hub CSPM 成员**
从委派管理员账户调用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateMembers.html) API。对于要启用的每个账户,请提供账户 ID。
与手动邀请流程不同,当您调用 `CreateMembers` 启用组织账户时,无需发送邀请。
------
#### [ AWS CLI ]
**手动将组织账户启用为 Security Hub CSPM 成员**
从委派管理员账户运行 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-members.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-members.html) 命令。对于要启用的每个账户,请提供账户 ID。
与手动邀请流程不同,当您运行 `create-members` 启用组织账户时,无需发送邀请。
```
aws securityhub create-members --account-details '[{"AccountId": ""}]'
```
**示例**
```
aws securityhub create-members --account-details '[{"AccountId": "123456789111"}, {"AccountId": "123456789222"}]'
```
------
# 解除 Security Hub CSPM 成员账户与组织的关联
要停止接收和查看 Sec AWS urity Hub CSPM 成员账户的调查结果,您可以取消该成员账户与您的组织的关联。
**注意**
如果您使用[中心配置](central-configuration-intro.md),则取消关联的工作原理会有所不同。您可以创建一个配置策略,在一个或多个集中管理的成员账户中禁用 Security Hub CSPM。之后,这些账户仍然是组织的一部分,但不会生成 Security Hub CSPM 调查发现。如果您使用中心配置,但也有手动邀请的成员账户,则可以取消关联一个或多个手动邀请的账户。
使用管理的成员账户 AWS Organizations 无法取消其账户与管理员账户的关联。只有管理员账户可以取消成员账户的关联。
取消关联成员账户不会删除该账户。相反,它会从组织中删除该成员账户。已取消关联的成员账户变为独立账户 AWS 账户 ,不再由 Security Hub CSPM 与的集成管理。 AWS Organizations
选择您的首选方法,然后按照步骤取消成员账户与组织的关联。
------
#### [ Security Hub CSPM console ]
**要取消成员账户与组织之间的关联**
1. 打开 S AWS ecurity Hub CSPM 控制台,网址为。[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
使用委派管理员账户凭证登录。
1. 在导航窗格中的**设置**下,选择**配置**。
1. 在**账户**部分,选中要取消关联的账户。如果您使用中心配置,则可以选择一个手动邀请的账户来取消与 `Invitation accounts` 选项卡的关联。仅当您使用中心配置时,才可以看到此选项卡。
1. 选择**操作**,然后选择**取消账户关联**。
------
#### [ Security Hub CSPM API ]
**要取消成员账户与组织的关联**
从委派管理员账户调用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisassociateMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisassociateMembers.html) API。您必须 AWS 账户 IDs 提供成员账户才能解除关联。要查看成员账户列表,请调用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListMembers.html) API。
------
#### [ AWS CLI ]
**要取消成员账户与组织的关联**
从委派管理员账户运行 [>`disassociate-members`](https://docs.aws.amazon.com/cli/latest/reference/securityhub/disassociate-members.html) 命令。您必须 AWS 账户 IDs 提供成员账户才能解除关联。要查看成员账户列表,请运行 [>`list-members`](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-members.html) 命令。
```
aws securityhub disassociate-members --account-ids ""
```
**示例**
```
aws securityhub disassociate-members --account-ids "123456789111" "123456789222"
```
------
您也可以使用 AWS Organizations 控制台 AWS CLI、或 AWS SDKs 取消成员账户与您的组织的关联。有关更多信息,请参阅 *AWS Organizations 用户指南*中的[从组织中删除成员账户](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_remove.html)。
# 在 Security Hub CSPM 中通过邀请管理账户
您可以通过两种方式集中管理多个 Sec AWS urity Hub CSPM 账户,即将 Security Hub CSPM 与 Security Hub CSPM 集成, AWS Organizations 或者手动发送和接受会员邀请。如果您拥有独立账户或未与之集成,则必须使用手动流程 AWS Organizations。在手动账户管理中,Security Hub CSPM 管理员邀请账户成为成员。当潜在成员接受邀请时,管理员与成员的关系即已建立。一个 Security Hub CSPM 管理员账户可以管理多达 1,000 个基于邀请的成员账户的 Security Hub CSPM。
**注意**
如果您在 Security Hub CSPM 中创建基于邀请的组织,则随后可以[转换到使用 AWS Organizations](accounts-transition-to-orgs.md)。如果您有多个会员账户,我们建议您使用 AWS Organizations 代替 Security Hub CSPM 邀请来管理您的成员账户。有关信息,请参阅[使用管理多个账户的 Security Hub CSPM AWS Organizations](securityhub-accounts-orgs.md)。
对于您通过手动邀请流程邀请的账户,可以跨区域聚合调查发现和其他数据。但是,管理员必须邀请来自聚合区域和所有关联区域的成员账户,才能使跨区域聚合生效。此外,成员账户必须在聚合区域和所有关联区域中启用 Security Hub CSPM,这样管理员才能查看成员账户中的调查发现。
手动邀请的成员账户不支持配置策略。相反,您必须在每个成员账户中以及使用手动邀请流程 AWS 区域 时分别配置 Security Hub CSPM 设置。
对于不属于您组织的账户,您还必须使用基于手动邀请的流程。例如,您的组织中可能不包含测试账号。或者,您可能想将来自多个组织的账户整合到一个 Security Hub CSPM 管理员账户下。Security Hub CSPM 管理员账户必须向属于其他组织的账户发送邀请。
在 Security Hub CSPM 控制台的**配置**页面上,通过邀请添加的账户列在**邀请账户**选项卡中。如果您使用[中心配置](central-configuration-intro.md),但同时邀请了组织外的账户,则可以在此选项卡中查看基于邀请的账户的调查发现。但是,Security Hub CSPM 管理员无法通过使用配置策略跨区域配置基于邀请的账户。
此部分介绍如何通过邀请管理成员账户。
**Topics**
+ [在 Security Hub CSPM 中添加和邀请成员账户](securityhub-accounts-add-invite.md)
+ [响应成为 Security Hub CSPM 成员账户的邀请](securityhub-invitation-respond.md)
+ [在 Security Hub CSPM 中解除关联成员账户](securityhub-disassociate-members.md)
+ [在 Security Hub CSPM 中删除成员账户](securityhub-delete-member-accounts.md)
+ [解除关联 Security Hub CSPM 管理员账户](securityhub-disassociate-from-admin.md)
+ [过渡到 Organizations 以管理 Security Hub CSPM 中的账户](accounts-transition-to-orgs.md)
# 在 Security Hub CSPM 中添加和邀请成员账户
**注意**
我们建议使用 AWS Organizations 代替 Security Hub CSPM 邀请来管理您的会员账户。有关信息,请参阅[使用管理多个账户的 Security Hub CSPM AWS Organizations](securityhub-accounts-orgs.md)。
对于接受你邀请成为 Sec AWS urity Hub CSPM 成员账户的账户,你的账户将成为 Security Hub CSPM 管理员。
当您接受另一个账户的邀请时,您的账户成为成员账户,那个账户成为您的管理员。
如果您的账户是管理员账户,则您无法接受成为成员账户的邀请。
添加成员账户包括以下步骤:
1. 管理员账户将成员账户添加到他们的成员账户列表中。
1. 管理员账户向成员账户发送邀请。
1. 成员账户接受邀请。
## 添加成员账户
通过 Security Hub CSPM 控制台,您可以将账户添加到成员账户列表中。在 Security Hub CSPM 控制台中,您可以单独选择账户,也可以上传包含账户信息的 `.csv` 文件。
对于每个账户,您必须提供账户 ID 和一个电子邮件地址。电子邮件地址应该是就账户中的安全问题进行联系的电子邮件地址。它不用于验证账户。
选择您的首选方法,然后按照以下步骤添加成员账户。
------
#### [ Security Hub CSPM console ]
**要将账户添加到您的成员账户列表中**
1. 打开 S AWS ecurity Hub CSPM 控制台,网址为。[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
使用管理员账户的凭证登录。
1. 在左侧窗格中,选择**设置**。
1. 在**设置**页面上,选择**账户**,然后选择**添加账户**。然后,您可以单独添加账户,也可以上传包含账户列表的 `.csv` 文件。
1. 要选择账户,请执行以下操作之一:
+ 要单独添加账户,在**输入账户**中,输入要添加的账户的账户 ID 和电子邮件地址,然后选择**添加**。
为每个账户重复这一过程。
+ 要使用逗号分隔值(.csv)文件添加多个账户,请先创建该文件。该文件必须包含要添加的每个账户的账户 ID 和电子邮件地址。
在 `.csv` 列表中,账户必须一行一个。`.csv` 文件的第一行必须包含标题。在标题中,第一列是 **Account ID**,第二列是 **Email**。
后面的每一行必须包含要添加的账户的有效账户 ID 和电子邮件地址。
以下是在文本编辑器中查看 `.csv` 文件时的示例。
```
Account ID,Email
111111111111,user@example.com
```
在电子表格程序中,这些字段显示在单独的列中。基础格式仍以逗号分隔。您必须将账户格式化 IDs 为非十进制数字。例如,账户 ID 444455556666 的格式不能为 444455556666.0。另外,请确保数字格式不会从账户 ID 中删除任何前导零。
要选择文件,请在控制台上选择**上传列表(.csv)**。然后选择**浏览**。
选择该文件后,选择**添加账户**。
1. 添加完账户后,在**要添加的账户**下,选择**下一步**。
------
#### [ Security Hub CSPM API ]
**要将账户添加到您的成员账户列表中**
从管理员账户调用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateMembers.html) API。对于要添加的每个成员账户,您都必须提供 AWS 账户 ID。
------
#### [ AWS CLI ]
**要将账户添加到您的成员账户列表中**
从管理员账户运行 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-members.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-members.html) 命令。对于要添加的每个成员账户,您都必须提供 AWS 账户 ID。
```
aws securityhub create-members --account-details '[{"AccountId": ""}]'
```
**示例**
```
aws securityhub create-members --account-details '[{"AccountId": "123456789111"}, {"AccountId": "123456789222"}]'
```
------
## 邀请成员账户
添加成员账户之后,您会向成员账户发送邀请。您也可以向已和管理员取消关联的账户重新发送邀请。
------
#### [ Security Hub CSPM console ]
**要邀请潜在成员账户**
1. 打开 S AWS ecurity Hub CSPM 控制台,网址为。[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
使用管理员账户的凭证登录。
1. 在导航窗格中,选择**设置**,然后选择**账户**。
1. 要邀请的账户,请在**状态**列中选择**邀请**。
1. 当系统提示确认时,请选择**邀请**。
**注意**
要向已取消关联的账户重新发送邀请,请在**账户**页面上选择每个已取消关联的账户。从**操作**中选择**重新发送邀请**。
------
#### [ Security Hub CSPM API ]
**要邀请潜在成员账户**
从管理员账户调用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_InviteMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_InviteMembers.html) API。对于要邀请的每个账户,您都必须提供 AWS 账户 ID。
------
#### [ AWS CLI ]
**要邀请潜在成员账户**
从管理员账户运行 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/invite-members.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/invite-members.html) 命令。对于要邀请的每个账户,您都必须提供 AWS 账户 ID。
```
aws securityhub invite-members --account-ids
```
**示例**
```
aws securityhub invite-members --account-ids "123456789111" "123456789222"
```
------
# 响应成为 Security Hub CSPM 成员账户的邀请
**注意**
我们建议使用 AWS Organizations 代替 Security Hub CSPM 邀请来管理您的会员账户。有关信息,请参阅[使用管理多个账户的 Security Hub CSPM AWS Organizations](securityhub-accounts-orgs.md)。
您可以接受或拒绝成为 Sec AWS urity Hub CSPM 成员账户的邀请。
如果您接受邀请,您的账户将成为 Security Hub CSPM 成员账户。发送邀请的账户将成为您的 Security Hub CSPM 管理员账户。管理员账户用户可以在 Security Hub CSPM 中查看您的成员账户的调查发现。
如果您拒绝邀请,则在管理员账户的成员账户列表中,您的账户将被标记为**已放弃**。
您只能接受一次成为会员账户的邀请。
在接受或拒绝邀请之前,您必须启用 Security Hub CSPM。
请记住,所有 Security Hub CSPM 账户都必须已 AWS Config 启用并配置为记录所有资源。有关要求的详细信息 AWS Config,请参阅[启用和配置 AWS Config](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-prereq-config.html)。
## 接受邀请
您可以通过管理员账户发送成为 Security Hub CSPM 成员账户的邀请。然后,您可以在登录成员账户后接受邀请。
选择您的首选方法,然后按照以下步骤接受邀请成为成员账户。
------
#### [ Security Hub CSPM console ]
**要接受成员邀请**
1. 打开 S AWS ecurity Hub CSPM 控制台,网址为。[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. 在导航窗格中,选择**设置**,然后选择**账户**。
1. 在**管理员账户**部分,开启**接受**,然后选择**接受邀请**。
------
#### [ Security Hub CSPM API ]
**要接受成员邀请**
调用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AcceptAdministratortInvitation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AcceptAdministratortInvitation.html) API。您必须提供邀请标识符和管理员账户的 AWS 账户 ID。要检索有关邀请的详细信息,请使用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListInvitations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListInvitations.html) 操作。
------
#### [ AWS CLI ]
**要接受成员邀请**
运行 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/accept-administrator-invitation.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/accept-administrator-invitation.html) 命令。您必须提供邀请标识符和管理员账户的 AWS 账户 ID。要检索有关邀请的详细信息,运行 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-invitations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-invitations.html) 命令。
```
aws securityhub accept-administrator-invitation --administrator-id --invitation-id
```
**示例**
```
aws securityhub accept-administrator-invitation --administrator-id 123456789012 --invitation-id 7ab938c5d52d7904ad09f9e7c20cc4eb
```
------
**注意**
Security Hub CSPM 控制台继续使用 `AcceptInvitation`。它最终会改为使用 `AcceptAdministratorInvitation`。任何专门控制此功能访问权限的 IAM policy 都必须继续使用 `AcceptInvitation`。您还应在策略中添加 `AcceptAdministratorInvitation`,以确保在控制台开始使用 `AcceptAdministratorInvitation` 后正确的权限已到位。
## 拒绝邀请
您可以拒绝成为 Security Hub CSPM 成员账户的邀请。当您在 Security Hub CSPM 控制台中拒绝邀请时,您的账户将在管理员账户的成员账户列表中会标记为**已放弃**。仅当您使用管理员账户登录 Security Hub CSPM 控制台时,才会显示**已放弃**状态。但是,在您登录管理员账户并删除成为成员账户的邀请之前,该邀请在控制台中保持不变。
要拒绝邀请,您必须登录收到邀请的成员账户。
选择您的首选方法,然后按照以下步骤拒绝邀请成为成员账户。
------
#### [ Security Hub CSPM console ]
**要拒绝成员邀请**
1. 打开 S AWS ecurity Hub CSPM 控制台,网址为。[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. 在导航窗格中,选择**设置**,然后选择**账户**。
1. 在**管理员账户**部分,选择**拒绝邀请**。
------
#### [ Security Hub CSPM API ]
**要拒绝成员邀请**
调用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DeclineInvitations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DeclineInvitations.html) API。您必须提供发出邀请的管理员账户的 AWS 账户 ID。要查看有关您的邀请的信息,请使用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListInvitations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListInvitations.html) 操作。
------
#### [ AWS CLI ]
**要拒绝成员邀请**
运行 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/decline-invitations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/decline-invitations.html) 命令。您必须提供发出邀请的管理员账户的 AWS 账户 ID。要查看有关您的邀请的信息,请运行 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-invitations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-invitations.html) 命令。
```
aws securityhub decline-invitations --account-ids ""
```
**示例**
```
aws securityhub decline-invitations --account-ids "123456789012"
```
------
# 在 Security Hub CSPM 中解除关联成员账户
**注意**
我们建议使用 AWS Organizations 代替 Security Hub CSPM 邀请来管理您的会员账户。有关信息,请参阅[使用管理多个账户的 Security Hub CSPM AWS Organizations](securityhub-accounts-orgs.md)。
Sec AWS urity Hub CSPM 管理员帐户可以取消关联成员帐户,以停止接收和查看来自该账户的调查结果。您必须首先取消关联成员账户,然后才能将其删除。
取消关联成员账户后,该账户仍将保留在您的成员账户列表中,其状态为**已移除(已取消关联**)。您的账户已从该成员账户的管理员账户信息中删除。
要恢复接收该账户的调查发现,您可以重新发送邀请。要完全移除成员账户,您可以删除该成员账户。
选择您的首选方法,然后按照步骤取消手动邀请的成员账户与管理员账户的关联。
------
#### [ Security Hub CSPM console ]
**要取消手动邀请的成员账户的关联**
1. 打开 S AWS ecurity Hub CSPM 控制台,网址为。[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
使用管理员账户的凭证登录。
1. 在导航窗格中的**设置**下,选择**配置**。
1. 在**账户**部分,选中要取消关联的账户。
1. 选择**操作**,然后选择**取消账户关联**。
------
#### [ Security Hub CSPM API ]
**要取消手动邀请的成员账户的关联**
从管理员账户调用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisassociateMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisassociateMembers.html) API。您必须提供要取消关联的成员账户。 AWS 账户 IDs 要查看成员账户列表,请使用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListMembers.html) 操作。
------
#### [ AWS CLI ]
**要取消手动邀请的成员账户的关联**
从管理员账户运行 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/disassociate-members.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/disassociate-members.html) 命令。您必须提供要取消关联的成员账户。 AWS 账户 IDs 要查看成员账户列表,请运行 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-members.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-members.html) 命令。
```
aws securityhub disassociate-members --account-ids
```
**示例**
```
aws securityhub disassociate-members --account-ids "123456789111" "123456789222"
```
------
# 在 Security Hub CSPM 中删除成员账户
**注意**
我们建议使用 AWS Organizations 代替 Security Hub CSPM 邀请来管理您的会员账户。有关信息,请参阅[使用管理多个账户的 Security Hub CSPM AWS Organizations](securityhub-accounts-orgs.md)。
作为 S AWS ecurity Hub CSPM 管理员帐户,您可以删除通过邀请添加的成员帐户。在您可以删除已启用的账户之前,您必须先取消其关联。
当您删除成员账户时,该账户将从列表中完全移除。要恢复该账户的成员资格,您必须将其添加并向其发送邀请,就像它是一个全新的成员账户一样。
您无法删除属于某个组织且使用与集成进行管理的帐户 AWS Organizations。
选择您的首选方法,然后按照以下步骤删除手动邀请的成员账户。
------
#### [ Security Hub CSPM console ]
**要删除手动邀请的成员账户**
1. 打开 S AWS ecurity Hub CSPM 控制台,网址为。[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
使用管理员账户登录。
1. 在导航窗格中,选择**设置**,然后选择**配置**。
1. 选择**邀请账户**选项卡。然后,选择要删除的账户。
1. 选择**操作**,然后选择**删除**。此选项仅在您取消关联账户后可用。您必须先取消关联成员账户,然后才能将其删除。
------
#### [ Security Hub CSPM API ]
**要删除手动邀请的成员账户**
从管理员账户调用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DeleteMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DeleteMembers.html) API。您必须提供要删除的成员帐户。 AWS 账户 IDs 要检索成员账户列表,请调用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListMembers.html) API。
------
#### [ AWS CLI ]
**要删除手动邀请的成员账户**
从管理员账户运行 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/delete-members.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/delete-members.html) 命令。您必须提供要删除的成员帐户。 AWS 账户 IDs 要检索成员账户列表,运行 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-members.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-members.html) 命令。
```
aws securityhub delete-members --account-ids
```
**示例**
```
aws securityhub delete-members --account-ids "123456789111" "123456789222"
```
------
# 解除关联 Security Hub CSPM 管理员账户
**注意**
我们建议使用 AWS Organizations 代替 Security Hub CSPM 邀请来管理您的会员账户。有关信息,请参阅[使用管理多个账户的 Security Hub CSPM AWS Organizations](securityhub-accounts-orgs.md)。
如果您的账户是通过邀请添加为 S AWS ecurity Hub CSPM 成员账户的,则可以取消该成员账户与管理员账户的关联。解除关联成员账户后,Security Hub CSPM 不会将该账户的调查发现发送到管理员账户。
使用与的集成进行管理的成员账户 AWS Organizations 无法取消其账户与管理员账户的关联。只有 Security Hub CSPM 委派管理员可以解除与 Organizations 管理的成员帐户的关联。
当您取消与管理员账户的关联后,您的账户将保留在管理员账户的成员列表中,状态为**已放弃**。但是,管理员账户不会收到有关您账户的任何调查发现。
在您取消与管理员账户的关联后,成为成员的邀请仍然有效。将来你可以再次接受邀请。
------
#### [ Security Hub CSPM console ]
**要从管理员账户取消关联**
1. 打开 S AWS ecurity Hub CSPM 控制台,网址为。[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. 在导航窗格中,选择**设置**,然后选择**账户**。
1. 在**管理员账户**部分,关闭**接受**,然后选择**更新**。
------
#### [ Security Hub CSPM API ]
**要从管理员账户取消关联**
调用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisassociateFromAdministratorAccount.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisassociateFromAdministratorAccount.html) API。
------
#### [ AWS CLI ]
**要从管理员账户取消关联**
运行 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/disassociate-from-administrator-account.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/disassociate-from-administrator-account.html) 命令。
```
aws securityhub disassociate-from-administrator-account
```
------
**注意**
Security Hub CSPM 控制台继续使用 `DisassociateFromMasterAccount`。它最终会改为使用 `DisassociateFromAdministratorAccount`。任何专门控制此功能访问权限的 IAM policy 都必须继续使用 `DisassociateFromMasterAccount`。您还应在策略中添加 `DisassociateFromAdministratorAccount`,以确保在控制台开始使用 `DisassociateFromAdministratorAccount` 后正确的权限已到位。
# 过渡到 Organizations 以管理 Security Hub CSPM 中的账户
在 Sec AWS urity Hub CSPM 中手动管理账户时,必须邀请潜在成员账户,并在每个账户中分别配置每个成员账户。 AWS 区域
通过集成 Security Hub CSPM 和 AWS Organizations,您无需发送邀请,并可以更好地控制组织中如何配置和自定义 Security Hub CSPM。为此,建议使用 AWS Organizations 代替 Security Hub CSPM 邀请管理成员账户。有关信息,请参阅[使用管理多个账户的 Security Hub CSPM AWS Organizations](securityhub-accounts-orgs.md)。
您可以使用组合方法,即使用 AWS Organizations 集成,也可以手动邀请组织外部的帐户。但我们建议仅使用 Organizations 集成。[中心配置](central-configuration-intro.md)是一项功能,可帮助您跨多个账户和区域管理 Security Hub CSPM,仅当您与 Organizations 集成时才可用。
本节将介绍如何从基于邀请的手动账户管理转换到使用 AWS Organizations管理账户。
## 将 Security Hub CSPM 与 AWS Organizations
首先,你必须集成 Security Hub CSPM 和。 AWS Organizations
您可以完成以下步骤,来集成这些服务:
+ 在 AWS Organizations中创建组织。有关说明,请参阅《AWS Organizations 用户指南》**中的[创建组织](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_create.html#create-org)。
+ 在 Organizations 管理账户中,指定一个 Security Hub CSPM 委派管理员账户。
**注意**
*不能*将组织管理账户设置为 DA 账户。
有关详细说明,请参阅[将 Security Hub CSPM 与 AWS Organizations](designate-orgs-admin-account.md)。
完成上述步骤后,您就可以在中授予对 Security Hub CSPM [的可信访问权限](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-securityhub.html#integrate-enable-ta-securityhub)。 AWS Organizations这还会 AWS 区域 为委派的管理员帐户启用当前的 Security Hub CSPM。
委派管理员可以在 Security Hub CSPM 中管理组织,主要方法是添加组织账户作为 Security Hub CSPM 成员账户。管理员还可以访问这些账户的某些 Security Hub CSPM 设置、数据和资源。
在转换到使用 Organizations 进行账户管理后,基于邀请的账户不会自动成为 Security Hub CSPM 成员。只有您添加到新组织的账户才能成为 Security Hub CSPM 成员。
激活集成后,您可以使用组织管理账户。有关信息,请参阅[使用管理多个账户的 Security Hub CSPM AWS Organizations](securityhub-accounts-orgs.md)。账户管理因组织的配置类型而异。
# Security Hub CSPM 中管理员和成员账户可以执行的操作
管理员和成员账户可以访问下表中提到的 Sec AWS urity Hub CSPM 操作。表中的值具有以下含义:
+ **Any**:该账户可为同一管理员下的任何成员账户执行操作。
+ **Current**:该账户只能为其本身执行操作(当前登录的账户)。
+ **Dash**:表示该账户无法执行操作。
如表中所述,允许的操作会根据您是否集成 AWS Organizations 以及您的组织使用的配置类型而有所不同。有关集中配置和本地配置之间的差异的信息,请参阅[使用管理账户 AWS Organizations](securityhub-accounts.md#securityhub-orgs-account-management-overview)。
Security Hub CSPM 不会将成员账户的调查发现复制到管理员账户。在 Security Hub CSPM 中,所有调查发现都会被提取到特定账户的特定区域。在每个区域,管理员账户均可以查看和管理其在该区域的成员账户的调查发现。
如果设置了聚合区域,管理员账户可以查看和管理复制到聚合区域的关联区域的成员账户调查发现。有关跨区域聚合的更多信息,请参阅[跨区域聚合](https://docs.aws.amazon.com/securityhub/latest/userguide/finding-aggregation.html)。
下表指定了管理员账户和成员账户的默认权限。您可以使用自定义 IAM 策略进一步限制对 Security Hub CSPM 特性和功能的访问。有关指导和示例,请参阅博客文章 Sec [AWS urity Hub CSPM 的 IAM 策略与 Security Hub CSPM 的用户角色保持一致](https://aws.amazon.com/blogs/security/aligning-iam-policies-to-user-personas-for-aws-security-hub/)。
## 与 Organizations 集成并使用中心配置时允许执行的操作
与 Organizations 集成并使用中心配置时,管理员账户和成员账户可以按如下方式访问 Security Hub CSPM 操作。
| Action | Security Hub CSPM 委派管理员账户 | 集中管理的成员账户 | 自行管理的成员账户 |
| --- | --- | --- | --- |
| 创建和管理 Security Hub CSPM 配置策略 | 对于自我管理和集中管理的账户 | – | – |
| 查看组织账户 | 任何 | – | – |
| 取消成员账户的关联 | 任何 | – | – |
| 删除成员账户 | 任何非组织账户 | – | – |
| 禁用 Security Hub CSPM | 对于当前账户和集中管理的账户 | – | 当前(必须与管理员账户取消关联) |
| 查看调查发现和调查发现历史 | 任何 | Current | Current |
| 更新调查发现 | 任何 | Current | Current |
| 查看见解结果 | 任何 | Current | Current |
| 查看控件详细信息 | 任何 | Current | Current |
| 开启或关闭整合控件调查发现 | 任何 | – | – |
| 启用和禁用标准 | 对于当前账户和集中管理的账户 | – | Current |
| 启用和禁用控件 | 对于当前账户和集中管理的账户 | – | Current |
| 启用和禁用集成 | Current | Current | Current |
| 配置跨区域聚合 | 任何 | – | – |
| 选择主区域和关联区域 | Any(必须停止并重新启动中心配置才能更改主区域) | – | – |
| 配置自定义操作 | Current | Current | Current |
| 配置自动化规则 | 任何 | – | – |
| 配置自定义见解 | Current | Current | Current |
## 与 Organizations 集成并使用本地配置时允许执行的操作
与 Organizations 集成并使用本地配置时,管理员账户和成员账户可以按如下方式访问 Security Hub CSPM 操作。
| Action | Security Hub CSPM 委派管理员账户 | 成员帐户 |
| --- | --- | --- |
| 创建和管理 Security Hub CSPM 配置策略 | – | – |
| 查看组织账户 | 任何 | – |
| 取消成员账户的关联 | 任何 | – |
| 删除成员账户 | – | – |
| 禁用 Security Hub CSPM | – | Current(如果账户与委派管理员解除关联) |
| 查看调查发现和调查发现历史 | 任何 | Current |
| 更新调查发现 | 任何 | Current |
| 查看见解结果 | 任何 | Current |
| 查看控件详细信息 | 任何 | Current |
| 开启或关闭整合控件调查发现 | 任何 | – |
| 启用和禁用标准 | Current | Current |
| 在新组织账户中自动启用 Security Hub CSPM 和默认标准 | 对于当前账户和新组织账户 | – |
| 启用和禁用控件 | Current | Current |
| 启用和禁用集成 | Current | Current |
| 配置跨区域聚合 | 任何 | – |
| 配置自定义操作 | Current | Current |
| 配置自动化规则 | 任何 | – |
| 配置自定义见解 | Current | Current |
## 允许对基于邀请的账户执行的操作
如果您使用基于邀请的方法手动管理帐户,而不是与集成,则管理员和成员帐户可以按如下方式访问 Security Hub CSPM 操作。 AWS Organizations
| Action | Security Hub CSPM 管理员账户 | 成员帐户 |
| --- | --- | --- |
| 创建和管理 Security Hub CSPM 配置策略 | – | – |
| 查看组织账户 | 任何 | – |
| 取消成员账户的关联 | 任何 | Current |
| 删除成员账户 | 任何 | – |
| 禁用 Security Hub CSPM | Current(如果没有启用的成员账户) | Current(如果账户与管理员账户解除关联) |
| 查看调查发现和调查发现历史 | 任何 | Current |
| 更新调查发现 | 任何 | Current |
| 查看见解结果 | 任何 | Current |
| 查看控件详细信息 | 任何 | Current |
| 开启或关闭整合控件调查发现 | 任何 | – |
| 启用和禁用标准 | Current | Current |
| 在新组织账户中自动启用 Security Hub CSPM 和默认标准 | – | – |
| 启用和禁用控件 | Current | Current |
| 启用和禁用集成 | Current | Current |
| 配置跨区域聚合 | 任何 | – |
| 配置自定义操作 | Current | Current |
| 配置自动化规则 | 任何 | – |
| 配置自定义见解 | Current | Current |
# 账户操作对 Security Hub CSPM 数据的影响
这些账户操作会对 Sec AWS urity Hub CSPM 数据产生以下影响。
## Security Hub CSPM 已禁用
如果您使用[集中配置](central-configuration-intro.md),则委托管理员 (DA) 可以创建 Security Hub CSPM 配置策略,在特定账户和组织单位中禁用 Sec AWS urity Hub CSPM()。OUs在这种情况下,Security Hub CSPM 将在指定账户、您的家乡地区和任何关联区域 OUs 中被禁用。如果不使用中心配置,则必须在启用了 Security Hub CSPM 的每个账户和区域中单独禁用。如果在 DA 账户中禁用了 Security Hub CSPM,则无法使用中心配置。
如果在管理员账户中禁用了 Security Hub CSPM,则不会为管理员账户生成或更新调查发现。现有存档的调查发现将在 30 天后删除。现有活跃调查发现将在 90 天后删除。
与他人的集成 AWS 服务 已删除。
已启用的安全标准和控件将被禁用。
其他 Security Hub CSPM 数据和设置(包括自定义操作、见解和第三方产品订阅)将会保留 90 天。
## 会员账号与管理员账号解除关联
当成员账户与管理员账户解除关联时,管理员账户将失去查看成员账户中的调查发现的权限。但是,这两个账户仍会启用 Security Hub CSPM。
如果使用中心配置,则 DA 无法为与 DA 账户解除关联的成员账户配置 Security Hub CSPM。
为管理员账户定义的自定义设置或集成不会应用于前成员账户的调查发现。例如,取消关联账户后,您可能会在管理员账户中使用自定义操作作为 Amazon EventBridge 规则中的事件模式。但是,此自定义操作不能在成员账户中使用。
在 Security Hub CSPM 管理员账户的**账户**列表中,已删除账户的状态为**已解除关联**。
## 成员账户从组织中移除
从组织中删除成员账户后,Security Hub CSPM 管理员账户将失去在成员账户中查看调查发现的权限。但两个账户仍启用了 Security Hub CSPM,其设置与删除之前的设置相同。
如果使用中心配置,则在将成员账户从委派管理员所属的组织中删除后,就将无法为其配置 Security Hub CSPM。但除非您手动更改,否则该账户将保留删除之前的设置。
在 Security Hub CSPM 管理员账户的**账户**列表中,已删除账户的状态为**已删除**。
## 账户已暂停
被暂停后,该账户将失去在 Security Hub CSPM 中查看其发现结果的权限。 AWS 账户 没有为该账户生成或更新任何调查发现。已暂停账户的管理员账户可以查看账户的现有调查发现。
对于组织账户,成员账户状态也可以更改为**账户已暂停**。如果在管理员账户尝试启用账户的同时该账户被暂停,则会发生这种情况。**已暂停账户**的管理员账户无法查看该账户的调查发现。否则,暂停状态不会影响成员账户状态。
如果使用中心配置,则当委派管理员尝试将配置策略与已暂停的账户关联时,策略关联将会失败。
90 天后,该账户将被停用或重新激活。重新激活账户后,将恢复其 Security Hub CSPM 权限。如果成员账户状态为**账户已暂停**,则管理员账户必须手动启用该账户。
## 账户已关闭
关闭后, AWS 账户 Security Hub CSPM 会按如下方式对关闭做出响应。
如果该账户是 Security Hub CSPM 管理员账户,则会以管理员账户身份删除该账户,并删除所有成员账户。如果该账户是成员账户,则会解除关联并将其作为成员从 Security Hub CSPM 管理员账户中删除。
Security Hub CSPM 会将现有已存档的调查发现在账户中保留 30 天。对于控件调查发现,30 天的计算基于该调查发现的 `UpdatedAt` 字段的值。对于另一种类型的调查发现,则根据调查发现的 `UpdatedAt` 或 `ProcessedAt` 字段的值(以较晚者为准)进行计算。30 天期限结束后,Security Hub CSPM 会永久删除账户中的调查发现。
Security Hub CSPM 会将现有活跃调查发现在账户中保留 90 天。对于控件调查发现,90 天的计算基于该调查发现的 `UpdatedAt` 字段的值。对于另一种类型的调查发现,则根据调查发现的 `UpdatedAt` 或 `ProcessedAt` 字段的值(以较晚者为准)进行计算。90 天期限结束后,Security Hub CSPM 会永久删除账户中的调查发现。
为了长期保留现有调查发现,您可以将调查发现导出到 S3 存储桶。您可以通过使用带有 Amazon EventBridge 规则的自定义操作来实现此目的。有关更多信息,请参阅 [EventBridge 用于自动响应和补救](securityhub-cloudwatch-events.md)。
**重要**
对于中的客户 AWS GovCloud (US) Regions,请在关闭账户之前备份并删除您的保单数据和其他账户资源。关闭账户后,您将无法访问这些资源和数据。
有关更多信息,请参阅《AWS 账户管理 参考指南》**中的 [Close an AWS 账户](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/close-account.html)。