比較集中管理和自我管理的目標 - AWS Security Hub
在自我管理帳戶中設定設定的選項選擇管理類型

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

比較集中管理和自我管理的目標

當您啟用中央組態時,委派的 AWS Security Hub 管理員可以將每個組織帳戶、組織單位 (OU) 和根指定為集中管理自我管理。目標的管理類型決定如何指定其 Security Hub 設定。

如需中央組態優點及其運作方式的背景資訊,請參閱 了解安全中心中的中央配置

本節說明集中管理和自我管理指定之間的差異,以及如何選擇帳戶、OU 或根的管理類型。

自我管理

自我管理帳戶、OU 或根的擁有者必須在每個帳戶中分別設定其設定 AWS 區域。委派管理員無法建立自我管理目標的組態政策。

集中管理

只有委派的 Security Hub 管理員才能設定集中受管帳戶、 OUs或主區域和連結區域的根目錄的設定。組態政策可以與集中受管帳戶 和 建立關聯OUs。

委派管理員可以在自我管理和集中管理之間切換目標的狀態。根據預設,當您透過 Security Hub 啟動中央組態時,所有帳戶和 OU 都會自我管理API。在 主控台中,管理類型取決於您的第一個組態政策。OUs 您與您第一個政策相關聯的 帳戶會集中管理。其他帳戶 和 OUs 預設會自我管理。

如果您將組態政策與先前自我管理的帳戶建立關聯,政策設定會覆寫自我管理的指定。帳戶會成為集中管理,並採用組態政策中所反映的設定。

如果您將集中受管帳戶變更為自我管理帳戶,則先前透過組態政策套用至帳戶的設定仍會保留。例如,集中受管帳戶一開始可以與啟用 Security Hub、啟用 AWS 基礎安全最佳實務 1.0.0 版和停用的政策建立關聯 CloudTrail。1. 如果您接著將帳戶指定為自我管理,則所有設定保持不變。不過,帳戶擁有者可以獨立變更帳戶之後的設定。

子帳戶 和 OUs可以繼承自我管理父系的自我管理行為,方式與子帳戶相同,OUs也可以繼承中央受管父系的組態政策。如需詳細資訊,請參閱透過應用程式和繼承的政策關聯

自我管理帳戶或 OU 無法從父節點或根繼承組態政策。例如,如果您希望OUs組織中的所有帳戶和 繼承根目錄的組態政策,您必須將自我管理節點的管理類型變更為集中管理。

在自我管理帳戶中設定設定的選項

自我管理帳戶必須在每個區域中分別設定自己的設定。

自我管理帳戶的擁有者可以叫用API每個區域中 Security Hub 的下列操作來設定其設定:

  • EnableSecurityHubDisableSecurityHub 來啟用或停用 Security Hub 服務 (如果自我管理帳戶具有委派的 Security Hub 管理員,則管理員必須先取消帳戶關聯,帳戶擁有者才能停用 Security Hub)。

  • BatchEnableStandardsBatchDisableStandards 來啟用或停用標準

  • BatchUpdateStandardsControlAssociationsUpdateStandardsControl 以啟用或停用控制項

自我管理帳戶也可以使用 *Invitations*Members操作。不過,我們建議自我管理帳戶不要使用這些操作。如果成員帳戶擁有自己的成員,且成員屬於委派管理員以外的組織,則政策關聯可能會失敗。

如需 Security Hub API動作的說明,請參閱 AWS Security Hub API 參考

自我管理帳戶也可以使用 Security Hub 主控台或 AWS CLI 在每個區域中設定其設定。

自我管理帳戶無法叫用與 Security Hub 組態政策和政策關聯APIs相關的任何 。只有委派的管理員可以叫用中央組態APIs,並使用組態政策來設定中央受管帳戶。

選擇目標的管理類型

選擇您偏好的方法,並依照步驟指定 帳戶或 OU 做為集中管理或自我管理 AWS Security Hub。

Security Hub console
選擇帳戶或 OU 的管理類型

  1. 在 開啟 AWS Security Hub 主控台https://console.aws.amazon.com/securityhub/

    使用主要區域中委派 Security Hub 管理員帳戶的登入資料登入。

  2. 選擇 Configuration (組態)

  3. 組織索引標籤上,選取目標帳戶或 OU。選擇編輯

  4. 定義組態頁面上,對於管理類型,如果您希望委派管理員設定目標帳戶或 OU,請選擇集中管理。然後,如果您想要將現有的組態政策與目標建立關聯,請選擇套用特定政策。如果您想要目標繼承其最接近的父系組態,請選擇從我的組織繼承。如果您想要帳戶或 OU 設定自己的設定,請選擇自我管理

  5. 選擇 Next (下一步)。檢閱您的變更,然後選擇儲存

Security Hub API
選擇帳戶或 OU 的管理類型

  1. 叫用 StartConfigurationPolicyAssociation API 從主區域中的 Security Hub 委派管理員帳戶。

  2. 對於 ConfigurationPolicyIdentifier 欄位,SELF_MANAGED_SECURITY_HUB如果您想要帳戶或 OU 控制自己的設定,請提供 。如果您希望委派管理員控制帳戶或 OU 的設定,請提供相關組態政策的 Amazon Resource Name (ARN) 或 ID。

  3. 針對 Target 欄位,提供您要變更其管理類型之目標的 AWS 帳戶 ID、OU ID 或根 ID。這會將自我管理行為或指定的組態政策與目標建立關聯。目標的子帳戶可能會繼承自我管理的行為或組態政策。

指定自我管理帳戶的範例API請求:

{
    "ConfigurationPolicyIdentifier": "SELF_MANAGED_SECURITY_HUB",
    "Target": {"AccountId": "123456789012"}
}
AWS CLI
選擇帳戶或 OU 的管理類型

  1. 執行 start-configuration-policy-association 來自主區域中 Security Hub 委派管理員帳戶的 命令。

  2. 對於 configuration-policy-identifier 欄位,SELF_MANAGED_SECURITY_HUB如果您想要帳戶或 OU 控制自己的設定,請提供 。如果您希望委派管理員控制帳戶或 OU 的設定,請提供相關組態政策的 Amazon Resource Name (ARN) 或 ID。

  3. 針對 target 欄位,提供您要變更其管理類型之目標的 AWS 帳戶 ID、OU ID 或根 ID。這會將自我管理行為或指定的組態政策與目標建立關聯。目標的子帳戶可能會繼承自我管理的行為或組態政策。

指定自我管理帳戶的範例命令:

aws securityhub --region us-east-1 start-configuration-policy-association \
--configuration-policy-identifier "SELF_MANAGED_SECURITY_HUB" \
--target '{"AccountId": "123456789012"}'