账户操作对 Security Hub 数据的影响 - AWS Security Hub
Security Hub 已启用会员账号与管理员账号解除关联成员账户从组织中移除账户已暂停账户已关闭

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

账户操作对 Security Hub 数据的影响

这些账户操作会对 AWS Security Hub 数据产生以下影响。

Security Hub 已启用

如果您使用集中配置,则委派管理员 (DA) 可以创建 AWS Security Hub 在特定账户和组织单位中禁用的 Security Hub 配置策略(OUs)。在这种情况下,Security Hub 将在指定账户、您的家乡OUs地区和任何关联区域中被禁用。

如果不使用中心配置,则必须在启用了 Security Hub 的每个账户和区域中单独禁用。

如果在管理员账户中禁用了 Security Hub,则不会为管理员账户生成新的调查发现。如果在 DA 账户中禁用了 Security Hub,则也无法使用中心配置。现有结果将在 90 天后删除。

与他人的集成 AWS 服务 已删除。

已启用的安全标准和控件将被禁用。

其他 Security Hub 数据和设置(包括自定义操作、见解和第三方产品订阅)将会保留。

会员账号与管理员账号解除关联

当成员账户与管理员账户解除关联时,管理员账户将失去查看成员账户中的调查发现的权限。但两个账户仍启用了 Security Hub。

如果使用中心配置,则 DA 无法为与 DA 账户解除关联的成员账户配置 Security Hub。

为管理员账户定义的自定义设置或集成不会应用于前成员账户的调查发现。例如,取消关联账户后,您可能会在管理员账户中使用自定义操作作为 Amazon EventBridge 规则中的事件模式。但是,此自定义操作不能在成员账户中使用。

在 Security Hub 管理员账户的账户列表中,已删除账户的状态为已解除关联

成员账户从组织中移除

从组织中删除成员账户后,Security Hub 管理员账户将失去在成员账户中查看调查发现的权限。但两个账户仍启用了 Security Hub,其设置与删除之前的设置相同。

如果使用中心配置,则在将成员账户从委托管理员所属的组织中删除后,就将无法为其配置 Security Hub。但除非您手动更改,否则该账户将保留删除之前的设置。

在 Security Hub 管理员账户的账户列表中,已删除账户的状态为已删除

账户已暂停

当账户在中被暂停时 AWS,该账户将失去在 Security Hub 中查看其发现结果的权限。没有为该账户生成任何新的调查发现。已暂停账户的管理员账户可以查看现有账户的调查发现。

对于组织账户,成员账户状态也可以更改为账户已暂停。如果在管理员账户尝试启用账户的同时该账户被暂停,则会发生这种情况。已暂停账户的管理员账户无法查看该账户的调查发现。否则,暂停状态不会影响成员账户状态。

如果使用中心配置,则当委托管理员尝试将配置策略与已暂停的账户关联时,策略关联将会失败。

90 天后,账户将被终止或重新激活。重新激活账户后,将恢复其 Security Hub 权限。如果成员账户状态为账户已暂停,则管理员账户必须手动启用该账户。

账户已关闭

关闭后, AWS 账户 Security Hub 会按如下方式对关闭做出响应。

Security Hub 会将账户中的每个现有发现保留在该UpdatedAtASFF字段的最新值之后的 90 天。即使 Security Hub 处于禁用状态,该发现也会在此日期之后保留 90 天。在这90天期限结束时,Security Hub将从账户中永久删除该发现。

  • 要将调查结果保留超过 90 天,您可以使用带有 Amazon EventBridge 规则的自定义操作将结果存储在 Amazon S3 存储桶中。然后,当您重新打开已关闭的账户时,Security Hub 会恢复该账户的搜索结果。

  • 如果该账户是 Security Hub 管理员账户,则会以管理员身份删除该账户,并删除所有成员账户。如果该账户是成员账户,则会取消关联并将其作为成员从 Security Hub 管理员账户中删除。

  • 有关更多信息,请参阅《AWS 账单与成本管理用户指南》中的关闭账户

重要

对于 AWS GovCloud (US) 各地区的客户:

  • 在关闭账户前,备份并删除策略数据和其他账户资源。关闭账户后,您将不再拥有其访问权限。