在 Security Hub 中启用中心配置
委托 AWS Security Hub 管理员账户可以使用中心配置为 AWS 区域 的多个账户和组织单位(OU)配置 Security Hub、标准和控件。
有关中心配置的好处及其工作原理的背景信息,请参阅了解 Security Hub 中的中心配置。
本节介绍中心配置的先决条件以及如何开始使用。
中心配置的先决条件
在开始使用中心配置之前,必须将 Security Hub 与 AWS Organizations 集成,并指定主区域。如果您使用 Security Hub 控制台,则这些先决条件包含在中心配置的选择加入工作流程中。
与 Organizations 集成
您必须集成 Security Hub 和 Organizations 才能使用中心配置。
要集成这些服务,首先要在 Organizations 中创建一个组织。在组织管理账户中,指定一个 Security Hub 委托管理员账户。有关说明,请参阅 将 Security Hub 与 AWS Organizations 集成。
确保您在预期主区域指定您的委托管理员。当您开始使用中心配置时,还会在所有关联区域中自动设置相同的委托管理员。组织管理账户不能设置为委托管理员账户。
在使用中心配置时,无法使用 Security Hub 控制台或 Security Hub API 来更改或删除委托管理员账户。如果组织管理账户使用 AWS Organizations API 更改或删除 Security Hub 委托管理员,则 Security Hub 会自动停止中心配置。您的配置策略也将被取消关联和删除。成员账户保留其在更改或删除委托管理员之前的配置。
指定主区域
您必须指定主区域才能使用中心配置。主区域是委托管理员从中配置组织的区域。
主区域不能是 AWS 已指定为选择加入区域的区域。默认情况下,选择加入区域处于禁用状态。有关选择加入区域的列表,请参阅《AWS 账户管理参考指南》中的启用和禁用区域之前的注意事项。
或者,您可以指定一个或多个可从主区域进行配置的关联区域。
委托管理员只能从主区域创建和管理配置策略。配置策略在主区域和所有关联区域生效。您无法创建仅适用于某些区域而不适用于其他区域的配置策略。唯一的例外是涉及全球资源的控制。如果您使用中心配置,Security Hub 会自动禁用涉及除主区域之外的所有区域的全球资源的控件。有关更多信息,请参阅 使用全局资源的控件。
主区域也是您的 Security Hub 聚合区域,用于接收来自关联区域的调查发现、见解和其他数据。
如果您已经为跨区域聚合设置了聚合区域,那么这就是中心配置的默认主区域。在开始使用中心配置之前,您可以通过删除当前的调查发现聚合器并在所需的主区域中创建一个新的聚合器来更改主区域。调查发现聚合器是一种 Security Hub 资源,用于指定主区域和关联区域。
要指定主区域,请参阅设置聚合区域的步骤。如果您已经有主区域,则可以调用 GetFindingAggregator API 来查看有关它的详细信息,包括当前与其关联的区域。
启用中心配置的说明
选择您的首选方法,然后按照步骤为组织启用中心配置。
- Security Hub console
-
启用中心配置(控制台)
通过以下网址打开 AWS Security Hub 控制台:https://console.aws.amazon.com/securityhub/。
-
在导航窗格中,选择设置和配置。然后,选择启用中心配置。
如果要加入 Security Hub,请选择前往 Security Hub。
-
在指定委托管理员页面上,选择您的委托管理员账户或输入其账户 ID。如果适用,我们建议选择您为其他 AWS 安全与合规服务设置的相同委托管理员。选择添加委托管理员。
-
在集中组织页面的区域部分,选择您的主区域。您必须登录到主区域才能继续。如果您已经为跨区域聚合设置了聚合区域,则该聚合区域将显示为主区域。要更改主区域,请选择编辑区域设置。然后,您可以选择首选的主区域并返回到此工作流程。
-
至少选择一个区域以链接到主区域。或者选择是否要自动将未来受支持的区域链接到主区域。您在此处选择的区域可由委托管理员从主区域进行配置。配置策略将在主区域和所有关联区域生效。
-
选择确认并继续。
-
现在可以使用中心配置了。继续按照控制台提示创建您的第一个配置策略。如果您尚未准备好创建配置策略,请选择我还没准备好配置。您可以稍后通过在导航窗格中选择设置和配置来创建策略。有关创建配置策略的说明,请参阅创建和关联配置策略。
- Security Hub API
-
启用中心配置(API)
-
使用委托管理员账户的凭证,从主区域调用 UpdateOrganizationConfiguration API。
-
将 AutoEnable
字段设置为 false
。
-
将 OrganizationConfiguration
对象中的 ConfigurationType
字段设置为 CENTRAL
。此操作会产生以下影响:
-
在所有关联区域中将调用账户指定为 Security Hub 的委托管理员。
-
在所有关联区域的委托管理员账户中启用 Security Hub。
-
将调用账户指定为使用 Security Hub 且属于该组织的新账户和现有账户的 Security Hub 委托管理员。在主区域和所有关联区域均如此。只有当新组织账户与启用了 Security Hub 的配置策略关联时,才会将调用账户设置为该新账户的委托管理员。只有当现有组织账户已启用 Security Hub 时,才会将调用账户设置为该现有账户的委托管理员。
-
在所有关联区域中将 AutoEnable 设置为 false
,并在主区域和所有关联区域中将 AutoEnableStandards 设置为 NONE
。如果您使用中心配置,则这些参数在主区域和关联区域中无关,但您可以通过使用配置策略在组织账户中自动启用 Security Hub 和默认安全标准。
现在可以使用中心配置了。委托管理员可以通过创建配置策略在您的组织中配置 Security Hub。有关创建配置策略的说明,请参阅创建和关联配置策略。
API 请求示例:
{
"AutoEnable": false,
"OrganizationConfiguration": {
"ConfigurationType": "CENTRAL"
}
}
- AWS CLI
-
启用中心配置(AWS CLI)
-
使用委托管理员账户的凭证,从主区域运行 update-organization-configuration 命令。
-
包含 no-auto-enable
参数。
-
将 organization-configuration
对象中的 ConfigurationType
字段设置为 CENTRAL
。此操作会产生以下影响:
-
在所有关联区域中将调用账户指定为 Security Hub 的委托管理员。
-
在所有关联区域的委托管理员账户中启用 Security Hub。
-
将调用账户指定为使用 Security Hub 且属于该组织的新账户和现有账户的 Security Hub 委托管理员。在主区域和所有关联区域均如此。只有当新组织账户与启用了 Security Hub 的配置策略关联时,才会将调用账户设置为该新账户的委托管理员。只有当现有组织账户已启用 Security Hub 时,才会将调用账户设置为该现有账户的委托管理员。
-
在所有关联区域中将自动启用选项设置为 no-auto-enable,并在主区域和所有关联区域中将 auto-enable-standards 设置为 NONE
。如果您使用中心配置,则这些参数在主区域和关联区域中无关,但您可以通过使用配置策略在组织账户中自动启用 Security Hub 和默认安全标准。
现在可以使用中心配置了。委托管理员可以通过创建配置策略在您的组织中配置 Security Hub。有关创建配置策略的说明,请参阅创建和关联配置策略。
命令示例:
aws securityhub --region us-east-1 update-organization-configuration \
--no-auto-enable \
--organization-configuration '{"ConfigurationType": "CENTRAL
"}'