本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 启用 Security Hub
您可以为任何 AWS 账户启用 Security Hub。本文档的这一部分描述了为 AWS 组织或独立账户启用 Security Hub 所需的所有步骤。
## 为 AWS 组织启用 Security Hub
本节包括三个步骤:
+ 在**步骤 1** 中, AWS 组织管理账户为其 AWS 组织指定委派管理员,创建委派管理员策略,并可选择为自己的账户启用 Security Hub。
+ 在**步骤 2** 中,组织的委派管理员为自己的账户启用 Security Hub。
+ 在**步骤 3** 中,组织的委派管理员为 Security Hub 和其他支持的安全服务配置组织中的所有成员帐户。
### 步骤 1:委派管理员账户,并可选择在 AWS 组织管理账户中启用 Security Hub
**注意**
只需在组织管理账户的一个区域中完成此步骤即可。
为 Security Hub 分配委派管理员帐户时,您可以为委托管理员选择的帐户将取决于您如何为 Security Hub CSPM 配置委派管理员。如果您已为 Security Hub CSPM 配置了委托管理员,并且该帐户不是组织的管理帐户,则该帐户将自动设置为 Security Hub 的委托管理员,并且无法选择其他帐户。如果将 Security Hub CSPM 的委托管理员帐户设置为组织管理帐户或根本未设置,则可以选择哪个帐户将成为您的 Security Hub 委托管理员帐户,但组织管理帐户除外。
有关在 Security Hub 中指定委派管理员的信息,请参阅[在 Security Hub 中指定委派管理员](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-v2-set-da.html)。有关在 Security Hub 中创建委派管理员策略的信息,请参阅[在 Security Hub 中创建委派管理员策略](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-v2-policy-statement.html)。
**为 Security Hub 指定管理员**
1. 使用您的 AWS 组织管理 AWS 账户凭据登录您的账户。在 [https://console.aws.amazon.com/securityhub/v2/](https://console.aws.amazon.com/securityhub/v2/home) home 中打开 Security Hub 控制台。
1. 在 Security Hub 主页上,选择 **Security Hub**,然后选择**开始使用**。
1. 在 “**授权管理员**” 部分,根据提供的选项选择管理员帐户。最佳做法是,建议对所有安全服务使用相同的委派管理员以实现一致的管理。
1. 选中 “**可信访问**” 复选框。选择此选项可使您的委托管理员帐户能够在成员帐户上配置某些功能,例如 GuardDuty 恶意软件防护。如果您取消选中此选项,Security Hub 将无法代表您启用这些功能,您需要直接通过与该功能关联的服务启用这些功能。
1. (可选)要**启用帐户**,请选中复选框以为您的 AWS 帐户启用 Security Hub。
1. 对于**委派管理员策略**,请选择以下选项之一来添加策略声明。
1. (选项 1)选择**为我更新此项**。选中策略语句下方的框,以确认 Security Hub 将自动创建向委派管理员授予所有必需权限的委派策略。
1. (选项 2)选择**我想手动附加此项**。选择**复制并附加**。在 AWS Organizations 控制台的 “**委派管理员**” 下 AWS Organizations,选择 “**委托**”,然后将资源策略粘贴到委托策略编辑器中。选择**创建策略**。打开您当前在 Security Hub 控制台中的选项卡。
1. 选择**配置**。
### 步骤 2:在委派管理员账户中启用 Security Hub
委派管理员账户完成此步骤。在 AWS 组织管理账户为其组织指定委派管理员后,被授权的管理员必须为自己的账户启用 Security Hub,然后才能为整个 AWS 组织启用 Security Hub。
**在委派管理员账户中启用 Security Hub**
1. 使用您的委派管理员凭据登录您的 AWS 账户。在 [https://console.aws.amazon.com/securityhub/v2/](https://console.aws.amazon.com/securityhub/v2/home) home 中打开 Security Hub 控制台。
1. 从 Security Hub 主页中选择 “**开始**”。
1. 安全功能部分概述了自动启用并包含在 Security Hub 每资源基本价格中的功能
1. (可选)对于**标签**,确定是否在账户设置中添加键值对。
1. 选择 “**启用 Security Hub**” 以完成对 Security Hub 的启用。
1. (推荐)从弹出窗口中选择 “**配置我的组织**”,然后继续执行步骤 3。
启用 Security Hub 后,将在您的账户中创建一个名为 [AWSServiceRoleForSecurityHubV2](https://docs.aws.amazon.com/securityhub/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-awssecurityhubv2servicerolepolicy) 的服务相关角色和一个服务相关记录器。服务关联记录器是一种 AWS 由服务管理的 AWS Config 记录器,可以记录特定于服务的资源上的配置数据。借助服务相关记录器,Security Hub 可以采用事件驱动的方法来获取暴露分析覆盖范围和报告资源清单所需的资源配置项。与服务相关的记录器是根据 AWS 账户 和配置的。 AWS 区域对于全局资源类型,系统会在主区域自动创建额外的服务关联记录器,以记录全局资源的配置更改,因为 AWS Config 仅记录其指定主区域中的全局资源类型。有关更多信息,请参阅[与服务相关的配置记录器的注意事项和录](https://docs.aws.amazon.com/config/latest/developerguide/stop-start-recorder.html#stop-start-recorder-considerations-service-linked)[制区域和全球资源](https://docs.aws.amazon.com/config/latest/developerguide/select-resources.html#select-resources-all)。
### 步骤 3:创建一个策略以在所有成员账户中启用 Security Hub
在组织的委托管理员帐户中启用 Security Hub 后,您需要创建一个策略来定义在组织成员账户中启用哪些服务和功能。有关更多信息,请参阅[使用策略类型启用配置](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-v2-da-policy.html#securityhub-v2-configuration-enable-policy)。
## 在独立账户中启用 Security Hub
此过程介绍了如何在独立账户中启用 Security Hub。独立账户是指 AWS 账户 尚未启用 AWS 组织的账户。
**在独立账户中启用 Security Hub**
1. 使用您的 AWS 账户凭证登录您的账户。在 [https://console.aws.amazon.com/securityhub/v2/](https://console.aws.amazon.com/securityhub/v2/home) home 中打开 Security Hub 控制台。
1. 在 Security Hub 主页上,选择 “**开始**”。
1. 在 “**安全功能**” 部分中,执行以下任一操作:
1. (选项 1)选择 “**启用所有功能**”。这将启用 Security Hub 的所有基本功能、威胁分析和其他功能。
1. (选项 2)选择 “**自定义功能**”。选择应开启的威胁分析和其他功能。您不能取消选择 Security Hub 基本计划功能中的任何功能。
1. 在 “**区域**” 部分,选择 “**启用所有区域**” 或 “**启用特定区域**”。如果您选择**启用所有区域**,则可以决定是否自动启用新区域。如果选择 “**启用特定区域**”,则必须选择要启用的区域。
1. (可选)对于**资源标签**,将标签添加为键值对,以帮助您轻松识别配置。
1. 选择**启用 Security Hub**。
启用 Security Hub 后,将在您的账户中创建一个名为 [AWSServiceRoleForSecurityHubV2](https://docs.aws.amazon.com/securityhub/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-awssecurityhubv2servicerolepolicy) 的服务相关角色和一个服务相关记录器。服务关联记录器是一种 AWS 由服务管理的 AWS Config 记录器,可以记录特定于服务的资源上的配置数据。借助服务相关记录器,Security Hub 可以采用事件驱动的方法来获取暴露分析覆盖范围和报告资源清单所需的资源配置项。与服务相关的记录器是根据 AWS 账户 和配置的。 AWS 区域对于全局资源类型,系统会在主区域自动创建额外的服务关联记录器,以记录全局资源的配置更改,因为 AWS Config 仅记录其指定主区域中的全局资源类型。有关更多信息,请参阅[与服务相关的配置记录器的注意事项和录](https://docs.aws.amazon.com/config/latest/developerguide/stop-start-recorder.html#stop-start-recorder-considerations-service-linked)[制区域和全球资源](https://docs.aws.amazon.com/config/latest/developerguide/select-resources.html#select-resources-all)。
# 在 Security Hub 中指定委派管理员
在 AWS 组织管理账户中,您可以为组织指定委派管理员。最佳做法是,建议对所有安全服务使用相同的委派管理员以实现一致的管理。
本主题中的过程介绍如何在 Security Hub 中指定委派管理员。它假设您之前已启用 Security Hub,但未在启用工作流中指定委派管理员。
**注意事项**
在 Security Hub 中指定委派管理员时,请考虑以下事项:
+ AWS 组织管理账户可以将自己指定为 Security Hub CSPM 中的委托管理员。 AWS 组织管理账户无法在 Security Hub 中将自己指定为委托管理员。在这种情况下, AWS 组织管理账户必须在 Security Hub 中指定另一个账户 AWS 账户 作为委托管理员。最佳做法是,建议对所有安全服务使用相同的委派管理员以实现一致的管理。
+ 如果 AWS 组织管理帐户在 Security Hub CSPM 中指定了委托管理员,则该授权管理员将自动成为 Security Hub 中的委托管理员。在这种情况下,Security Hub 仅允许该特定 AWS 账户 人员充当委派管理员。
**注意**
如果 AWS 组织管理账户在 Security Hub 中使用与在 Security Hub CSPM 中相同的委托管理员,则通过 Security Hub CSPM 控制台或使用 AWS Organizations API 将其删除也会在 Security Hub 中将其删除。同样,通过 Security Hub 控制台或使用 Organizations AWS API 将其删除也会在 Security Hub CSPM 中将其删除。当从 Security Hub CSPM 中移除委派管理员时,中心配置将自动选择退出。
## 启用 Security Hub 后指定委派管理员
此过程需要 AWS 组织管理账户完成。它假设 AWS 组织管理账户之前启用了 Security Hub,但在启用工作流程中没有指定委派管理员。
**注意**
完成此过程后,您必须创建一项策略,允许您组织的委派管理员配置 Security Hub 并在 AWS Organizations中执行特定操作。有关更多信息,请参阅[在 Security Hub 中创建委派管理员策略](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-v2-policy-statement.html)。
**在 Security Hub 中指定委派管理员**
1. 使用您的组织管理 AWS 帐户凭据登录您的帐户,然后在 [https://console.aws.amazon.com/securityhub/v2/](https://console.aws.amazon.com/securityhub/v2/home) home 上打开 Security Hub 控制台。
1. 在导航窗格中,选择**常规**。
1. 在**委派管理员**中,选择**配置**。从提供的选项中选择一个 AWS 账户,或者输入要指定为组织委托管理员 AWS 账户 的 12 位 AWS 账户 数字。选择**保存**。
# 在 Security Hub 中创建委派管理员策略
AWS 组织管理账户可以创建策略,允许授权的管理员配置 Security Hub 并在中执行特定操作 AWS Organizations。本主题中的过程介绍如何创建策略。完成该过程时,您可以允许 Security Hub 为您创建策略,也可以手动创建策略。除非您想针对特定使用案例自定义策略,否则我们建议允许 Security Hub 为您创建策略。[只有当 AWS 组织管理账户启用了 Security Hub 并指定了委派管理员,但在完成启用工作流程时跳过了创建策略时,组织管理账户才必须完成此过程。](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-v2-enable.html#securityhub-v2-enable-management-account)有关如何更新此策略的信息,请参阅《AWS Organizations 用户指南》**中的[使用 AWS Organizations更新基于资源的委派策略](https://docs.aws.amazon.com/organizations/latest/userguide/orgs-policy-delegate-update.html)。
**注意**
完成此过程后,委派管理员可以创建策略来允许其管理您组织内的成员账户。有关更多信息,请参阅[以委派管理员身份创建策略来管理成员账户](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-v2-da-policy.html)。
**创建委派管理员策略**
1. 使用您的组织管理 AWS 账户凭据登录您的账户。在 [https://console.aws.amazon.com/securityhub/v2/](https://console.aws.amazon.com/securityhub/v2/home) home 中打开 Security Hub 控制台。
1. 在导航窗格中,选择**常规**。
1. 对于**委派管理员策略**,请执行以下操作之一:
1. (选项 1)选择**创建策略**。选中策略语句下方的框,以确认 Security Hub 将自动创建向委派管理员授予所有必需权限的委派策略。
1. (选项 2)打开策略。选择**复制并附加**。在 AWS Organizations 控制台的 “**委派管理员**” 下 AWS Organizations,选择 “**委托**”,然后将资源策略粘贴到委托策略编辑器中。选择**创建策略**。打开您在 Security Hub 控制台中所处的选项卡,然后选择**配置**。
# 管理 AWS 组织中成员账户的配置
AWS 组织的委派管理员可以跨成员账户和区域配置安全功能。有两种类型的配置可用,即**策略**和**部署**。**策略**为 Sec AWS urity Hub 和 Amazon Inspector 的账户和区域生成 AWS 组织政策。**部署**是一次性操作,用于在 Amazon 和 Security Hub CSPM 的选定账户 GuardDuty 和区域中启用 AWS 安全功能。与策略不同,您无法查看或编辑部署,部署也不适用于新启用的账户。作为替代方案,亚马逊 GuardDuty 和Sec AWS urity Hub CSPM中提供了针对新成员账户的自动启用功能。
## Security Hub 配置目录
Security Hub 的配置目录提供了多个选项,可帮助配置您的 AWS 组织帐户以使用提供的安全功能。
以下是 Security Hub 配置目录中可用的选项。
### Security Hub(基本功能和附加功能)
这是为 Security Hub 部署的推荐配置。
**类型**:策略和部署
**描述**:此配置启用 Security Hub 的基本安全管理、状态管理、威胁分析和漏洞管理功能。它可以选择启用其他功能。
### 威胁分析来自 GuardDuty
**类型**:部署
**描述**:开启所选 Amazon GuardDuty 功能,持续监控、分析和处理 AWS 环境中的 AWS 数据源和日志。
### 来自 Sec AWS urity Hub 的状态管理 (CSPM)
**类型**:部署
**描述**:此配置启用 Security Hub CSPM 的标准和控件,这些标准和控件可检测您的 AWS 账户和资源何时偏离安全最佳实践。
### Amazon Inspector 提供的漏洞管理
**类型**:政策
**描述**:此配置开启选定的 Amazon Inspector 功能,这些功能可自动发现工作负载、实例、容器映像等,并扫描它们是否存在漏洞和网络暴露。
## 启用具有某种策略类型的配置
以下过程介绍如何使用 AWS 组织账户的策略类型创建配置。要创建配置策略,需要在 AWS 组织管理账户中创建委派管理员策略。有关在 Security Hub 中创建委派管理员策略的信息,请参阅[在 Security Hub 中创建委派管理员策略](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-v2-policy-statement.html)。
**创建启用和禁用成员账户的策略**
1. 使用带有委派管理员凭证的 AWS 账户登录。在 [https://console.aws.amazon.com/securityhub/v2/](https://console.aws.amazon.com/securityhub/v2/home?) home 中打开 Security Hub 控制台。
1. 从导航窗格中选择 “**管理**”,然后选择 “**配置**”。
1. 从配置目录中选择一个具有**策略**或**策略类型的项目并进行部署**。要完全配置 Security Hub,建议选择 Sec **urity Hub(基本功能和附加功能)**。
1. 在 “**配置 Security Hub**” 页面的 “**详细信息**” 部分,输入策略的名称和描述。
1. 在 “**安全功能**” 部分中,执行以下任一操作:
1. (选项 1)选择 “**启用所有功能**”。这将启用 Security Hub 的所有基本功能、威胁分析和其他功能。
1. (选项 2)选择 “**自定义功能**”。选择应开启的威胁分析和其他功能。您不能取消选择 Security Hub 基本计划功能中的任何功能。
1. 在**账户选择**部分,选择以下选项之一。如果要将配置应用于**所有组织单位和帐户**,请选择 “所有组织单位和帐户”。如果要将配置应用于**特定的组织单位和帐户**,请选择 “特定组织单位和帐户”。如果您选择此选项,请使用搜索栏或组织结构树来指定将应用该策略的组织单元和账户。如果您**不想将配置应用于任何组织单位或帐户,请选择无**组织单位或帐户。
1. 在 “**区域**” 部分,选择 “**启用所有区域**”、“**禁用所有区域****” 或 “指定区域”**。如果您选择**启用所有区域**,则可以决定是否自动启用新区域。如果您选择**禁用所有区域**,则可以决定是否自动禁用新区域。如果选择**指定区域**,则必须选择要启用和禁用的区域。
1. (可选)有关**高级设置**,请参阅中的[指南](https://docs.aws.amazon.com/organizations/latest/userguide/policy-operators.html) AWS Organizations。
1. (可选)对于**资源标签**,将标签添加为键值对,以帮助您轻松识别配置。
1. 选择**下一步**。
1. 查看您的更改,然后选择**应用**。您的目标账户是根据策略进行配置的。您的策略的配置状态将显示在 “策略” 页面的顶部。每项功能都将显示其是否已配置或部署失败的状态。对于任何故障,请单击失败消息链接以查看更多详细信息。要查看账户级别的有效策略,您可以查看**配置**页面上的**组织**选项卡,可以在其中选择一个账户。
## 启用具有某种部署类型的配置
以下过程介绍如何为您的 AWS 组织账户创建具有部署类型的配置。
**创建启用和禁用成员帐户的部署**
1. 使用带有委派管理员凭证的 AWS 账户登录。在 [https://console.aws.amazon.com/securityhub/v2/](https://console.aws.amazon.com/securityhub/v2/home?) home 中打开 Security Hub 控制台。
1. 从导航窗格中选择 “**管理**”,然后选择 “**配置**”。
1. 从配置目录中选择具有**部署**类型的项目。要完全配置 Security Hub,建议选择 Sec **urity Hub(基本功能和附加功能)**。
1. 在 “**安全功能**” 部分中,选择应开启的安全功能。
1. 在**账户选择**部分,选择以下选项之一。如果要将配置应用于**所有组织单位和帐户**,请选择 “所有组织单位和帐户”。如果要将配置应用于**特定的组织单位和帐户**,请选择 “特定组织单位和帐户”。如果您选择此选项,请使用搜索栏或组织结构树来指定将应用该策略的组织单元和账户。如果您**不想将配置应用于任何组织单位或帐户,请选择无**组织单位或帐户。
1. 在 “**区域**” 部分,选择 “**启用所有区域**”、“**禁用所有区域****” 或 “指定区域”**。如果您选择**启用所有区域**,则可以决定是否自动启用新区域。如果您选择**禁用所有区域**,则可以决定是否自动禁用新区域。如果选择**指定区域**,则必须选择要启用和禁用的区域。
1. 选择**配置**。
## 编辑配置策略
**您可以编辑与具有某种策略类型的配置关联的权能、区域和账户。**
以下内容介绍如何在 Security Hub 中编辑配置策略
**要创建,请编辑配置策略**
1. 使用带有委派管理员凭证的 AWS 账户登录。在 [https://console.aws.amazon.com/securityhub/v2/](https://console.aws.amazon.com/securityhub/v2/home?) home 中打开 Security Hub 控制台。
1. 从导航窗格中选择 “**管理**”,然后选择 “**配置**”。
1. 在 “**已配置的策略**” 选项卡中,选择要编辑的策略的单选按钮。选择 “**编辑”**。
1. 要在 “**账户选择**” 部分进行更改,请选择以下选项之一。如果要将配置应用于**所有组织单位和帐户**,请选择 “所有组织单位和帐户”。如果要将配置应用于**特定的组织单位和帐户**,请选择 “特定组织单位和帐户”。如果您选择此选项,请使用搜索栏或组织结构树来指定将应用该策略的组织单元和账户。如果您**不想将配置应用于任何组织单位或帐户,请选择无**组织单位或帐户。
1. 要在 “**区域**” 部分进行更改,请选择 “**启用所有区域**”、“**禁用所有区域****” 或 “指定区域”**。如果您选择**启用所有区域**,则可以决定是否自动启用新区域。如果您选择**禁用所有区域**,则可以决定是否自动禁用新区域。如果选择**指定区域**,则必须选择要启用和禁用的区域。
1. 选择**下一步**。
1. 查看您的更改,然后选择**更新**。您的目标账户是根据策略进行配置的。
## 删除配置策略
您可以删除您拥有某种**策略**的配置。删除政策后,所有关联的账户和组织单位都将从该政策中删除。
下面介绍如何在 Security Hub 中删除配置策略。
**要创建,请删除配置策略**
1. 使用带有委派管理员凭证的 AWS 账户登录。在 [https://console.aws.amazon.com/securityhub/v2/](https://console.aws.amazon.com/securityhub/v2/home?) home 中打开 Security Hub 控制台。
1. 从导航窗格中选择 “**管理**”,然后选择 “**配置**”。
1. 在 “**已配置的策略**” 选项卡中,选择要编辑的策略的单选按钮。选择**删除**按钮。
1. 在确认框中键入**删除**。选择 “**删除”**。
# 在 Security Hub 中移除委派管理员账户
您可以随时在 Security Hub 控制台中移除委派管理员账户。但是,此操作不仅会从 Security Hub 中移除委派管理员,还会从 Security Hub CSPM 中移除委派管理员。我们建议您仅在通过安全账户确认此操作后才执行此操作。
**注意**
如果您使用组织管理账户以外的账户作为 Security Hub CSPM 委托管理员,则通过 CSPM 控制台或 AWS Organizations API 将其删除也会将其从 Security Hub 中删除。
同样,如果您通过 Security Hub 控制台或 AWS Organizations API 移除 Security Hub 委托的管理员,则该管理员也将从 Security Hub CSPM 中删除。当从 CSPM 中移除委派管理员时,中心配置将自动选择退出。
**移除委派管理员账户**
1. 使用您的组织管理 AWS 账户凭据登录您的账户。在 [https://console.aws.amazon.com/securityhub/v2/](https://console.aws.amazon.com/securityhub/v2/home?) home 中打开 Security Hub 控制台。
1. 在导航窗格中,选择**常规**。
1. 在**委派管理员**中,选择**移除委派管理员**。在弹出窗口中,输入*移除*,然后选择**移除**。
# 重新启用 Security Hub
在对以前使用 Security Hub 策略禁用的账户重新启用 Security Hub 之前,必须先取消禁用策略。如果您在账户或组织单位仍有禁用策略的情况下尝试重新启用 Security Hub,则禁用策略将覆盖启用,而 Security Hub 将保持禁用状态。
**要移除 Security Hub,请禁用组织或账户的策略。**
1. 使用您的 AWS 账户和组织管理账户凭据登录。在 [https://console.aws.amazon.com/organizations/v2/](https://console.aws.amazon.com/organizations/v2/home) home 中打开 Security Hub 控制台。
1. 从导航面板中选择**AWS 账户**。
1. 如果当前的 Security Hub 禁用策略适用于您的整个组织,请在 “**组织结构**” 下选择 “**根**”。如果当前的 Security Hub 禁用策略适用于特定账户,请在**组织结构**下选择特定账户,然后按照每个账户的剩余步骤进行操作。
1. 在 “**策略**” 选项卡中,找到标题为 “Sec **urity Hub 策略**” 的部分
1. 选择禁用 Security Hub 的策略旁边的单选按钮。选择 “**分离”。**
从您的组织或账户中附加策略后,您可以重新启用 Security Hub。有关重新启用 S [ecurity Hub 的详细信息,请参阅管理 AWS 组织中成员帐户的配置](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-v2-da-policy.html)。