本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 管理 AWS 组织中成员账户的配置
<a name="securityhub-v2-da-policy"></a>

 AWS 组织的委派管理员可以跨成员账户和区域配置安全功能。有两种类型的配置可用，即**策略**和**部署**。**策略**为 Sec AWS urity Hub 和 Amazon Inspector 的账户和区域生成 AWS 组织政策。**部署**是一次性操作，用于在 Amazon 和 Security Hub CSPM 的选定账户 GuardDuty 和区域中启用 AWS 安全功能。与策略不同，您无法查看或编辑部署，部署也不适用于新启用的账户。作为替代方案，亚马逊 GuardDuty 和Sec AWS urity Hub CSPM中提供了针对新成员账户的自动启用功能。

## Security Hub 配置目录
<a name="securityhub-v2-configuration-catalog"></a>

 Security Hub 的配置目录提供了多个选项，可帮助配置您的 AWS 组织帐户以使用提供的安全功能。

 以下是 Security Hub 配置目录中可用的选项。

### Security Hub（基本功能和附加功能）
<a name="securityhub-v2-configuration-catalog-SH"></a>

 这是为 Security Hub 部署的推荐配置。

 **类型**：策略和部署 

 **描述**：此配置启用 Security Hub 的基本安全管理、状态管理、威胁分析和漏洞管理功能。它可以选择启用其他功能。

### 威胁分析来自 GuardDuty
<a name="securityhub-v2-configuration-catalog-ta"></a>

 **类型**：部署 

 **描述**：开启所选 Amazon GuardDuty 功能，持续监控、分析和处理 AWS 环境中的 AWS 数据源和日志。

### 来自 Sec AWS urity Hub 的状态管理 (CSPM)
<a name="securityhub-v2-configuration-catalog-CSPM"></a>

 **类型**：部署 

 **描述**：此配置启用 Security Hub CSPM 的标准和控件，这些标准和控件可检测您的 AWS 账户和资源何时偏离安全最佳实践。

### Amazon Inspector 提供的漏洞管理
<a name="securityhub-v2-configuration-catalog-vuln"></a>

 **类型**：政策 

 **描述**：此配置开启选定的 Amazon Inspector 功能，这些功能可自动发现工作负载、实例、容器映像等，并扫描它们是否存在漏洞和网络暴露。

## 启用具有某种策略类型的配置
<a name="securityhub-v2-configuration-enable-policy"></a>

 以下过程介绍如何使用 AWS 组织账户的策略类型创建配置。要创建配置策略，需要在 AWS 组织管理账户中创建委派管理员策略。有关在 Security Hub 中创建委派管理员策略的信息，请参阅[在 Security Hub 中创建委派管理员策略](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-v2-policy-statement.html)。

**创建启用和禁用成员账户的策略**

1.  使用带有委派管理员凭证的 AWS 账户登录。在 [https://console.aws.amazon.com/securityhub/v2/](https://console.aws.amazon.com/securityhub/v2/home?) home 中打开 Security Hub 控制台。

1.  从导航窗格中选择 “**管理**”，然后选择 “**配置**”。

1.  从配置目录中选择一个具有**策略**或**策略类型的项目并进行部署**。要完全配置 Security Hub，建议选择 Sec **urity Hub（基本功能和附加功能）**。

1.  在 “**配置 Security Hub**” 页面的 “**详细信息**” 部分，输入策略的名称和描述。

1.  在 “**安全功能**” 部分中，执行以下任一操作：

   1.  （选项 1）选择 “**启用所有功能**”。这将启用 Security Hub 的所有基本功能、威胁分析和其他功能。

   1.  （选项 2）选择 “**自定义功能**”。选择应开启的威胁分析和其他功能。您不能取消选择 Security Hub 基本计划功能中的任何功能。

1.  在**账户选择**部分，选择以下选项之一。如果要将配置应用于**所有组织单位和帐户**，请选择 “所有组织单位和帐户”。如果要将配置应用于**特定的组织单位和帐户**，请选择 “特定组织单位和帐户”。如果您选择此选项，请使用搜索栏或组织结构树来指定将应用该策略的组织单元和账户。如果您**不想将配置应用于任何组织单位或帐户，请选择无**组织单位或帐户。

1.  在 “**区域**” 部分，选择 “**启用所有区域**”、“**禁用所有区域****” 或 “指定区域”**。如果您选择**启用所有区域**，则可以决定是否自动启用新区域。如果您选择**禁用所有区域**，则可以决定是否自动禁用新区域。如果选择**指定区域**，则必须选择要启用和禁用的区域。

1.  （可选）有关**高级设置**，请参阅中的[指南](https://docs.aws.amazon.com/organizations/latest/userguide/policy-operators.html) AWS Organizations。

1.  （可选）对于**资源标签**，将标签添加为键值对，以帮助您轻松识别配置。

1.  选择**下一步**。

1.  查看您的更改，然后选择**应用**。您的目标账户是根据策略进行配置的。您的策略的配置状态将显示在 “策略” 页面的顶部。每项功能都将显示其是否已配置或部署失败的状态。对于任何故障，请单击失败消息链接以查看更多详细信息。要查看账户级别的有效策略，您可以查看**配置**页面上的**组织**选项卡，可以在其中选择一个账户。

## 启用具有某种部署类型的配置
<a name="securityhub-v2-configuration-enable-deployment"></a>

以下过程介绍如何为您的 AWS 组织账户创建具有部署类型的配置。

**创建启用和禁用成员帐户的部署**

1.  使用带有委派管理员凭证的 AWS 账户登录。在 [https://console.aws.amazon.com/securityhub/v2/](https://console.aws.amazon.com/securityhub/v2/home?) home 中打开 Security Hub 控制台。

1.  从导航窗格中选择 “**管理**”，然后选择 “**配置**”。

1.  从配置目录中选择具有**部署**类型的项目。要完全配置 Security Hub，建议选择 Sec **urity Hub（基本功能和附加功能）**。

1.  在 “**安全功能**” 部分中，选择应开启的安全功能。

1.  在**账户选择**部分，选择以下选项之一。如果要将配置应用于**所有组织单位和帐户**，请选择 “所有组织单位和帐户”。如果要将配置应用于**特定的组织单位和帐户**，请选择 “特定组织单位和帐户”。如果您选择此选项，请使用搜索栏或组织结构树来指定将应用该策略的组织单元和账户。如果您**不想将配置应用于任何组织单位或帐户，请选择无**组织单位或帐户。

1.  在 “**区域**” 部分，选择 “**启用所有区域**”、“**禁用所有区域****” 或 “指定区域”**。如果您选择**启用所有区域**，则可以决定是否自动启用新区域。如果您选择**禁用所有区域**，则可以决定是否自动禁用新区域。如果选择**指定区域**，则必须选择要启用和禁用的区域。

1.  选择**配置**。

## 编辑配置策略
<a name="securityhub-v2-configuration-edit"></a>

 **您可以编辑与具有某种策略类型的配置关联的权能、区域和账户。**

以下内容介绍如何在 Security Hub 中编辑配置策略

**要创建，请编辑配置策略**

1.  使用带有委派管理员凭证的 AWS 账户登录。在 [https://console.aws.amazon.com/securityhub/v2/](https://console.aws.amazon.com/securityhub/v2/home?) home 中打开 Security Hub 控制台。

1.  从导航窗格中选择 “**管理**”，然后选择 “**配置**”。

1.  在 “**已配置的策略**” 选项卡中，选择要编辑的策略的单选按钮。选择 “**编辑”**。

1.  要在 “**账户选择**” 部分进行更改，请选择以下选项之一。如果要将配置应用于**所有组织单位和帐户**，请选择 “所有组织单位和帐户”。如果要将配置应用于**特定的组织单位和帐户**，请选择 “特定组织单位和帐户”。如果您选择此选项，请使用搜索栏或组织结构树来指定将应用该策略的组织单元和账户。如果您**不想将配置应用于任何组织单位或帐户，请选择无**组织单位或帐户。

1.  要在 “**区域**” 部分进行更改，请选择 “**启用所有区域**”、“**禁用所有区域****” 或 “指定区域”**。如果您选择**启用所有区域**，则可以决定是否自动启用新区域。如果您选择**禁用所有区域**，则可以决定是否自动禁用新区域。如果选择**指定区域**，则必须选择要启用和禁用的区域。

1.  选择**下一步**。

1.  查看您的更改，然后选择**更新**。您的目标账户是根据策略进行配置的。

## 删除配置策略
<a name="securityhub-v2-configuration-delete"></a>

 您可以删除您拥有某种**策略**的配置。删除政策后，所有关联的账户和组织单位都将从该政策中删除。

下面介绍如何在 Security Hub 中删除配置策略。

**要创建，请删除配置策略**

1.  使用带有委派管理员凭证的 AWS 账户登录。在 [https://console.aws.amazon.com/securityhub/v2/](https://console.aws.amazon.com/securityhub/v2/home?) home 中打开 Security Hub 控制台。

1.  从导航窗格中选择 “**管理**”，然后选择 “**配置**”。

1.  在 “**已配置的策略**” 选项卡中，选择要编辑的策略的单选按钮。选择**删除**按钮。

1.  在确认框中键入**删除**。选择 “**删除”**。