本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
將 Security Hub 與 整合 AWS Organizations
若要整合 AWS Security Hub 和 AWS Organizations,您可以在 Organizations 中建立組織,並使用組織管理帳戶來指定委派的 Security Hub 管理員帳戶。這可讓 Security Hub 成為 Organizations 中的信任服務。它還為委派的管理員帳戶在目前的 AWS 區域 中啟用 Security Hub,並允許委派的管理員為成員帳戶啟用 Security Hub、檢視成員帳戶中的資料,以及在成員帳戶上執行其他允許的動作。
如果您使用中央組態,則委派管理員也可以建立 Security Hub 組態政策,以指定組織帳戶中應該如何設定 Security Hub 服務、標準和控制項。
建立組織
組織是您建立來合併 的實體, AWS 帳戶 讓您可以以單一單位管理它們。
您可以使用 AWS Organizations 主控台或使用來自 或 AWS CLI 其中一個 SDK 的命令來建立組織APIs。如需詳細說明,請參閱AWS Organizations 《 使用者指南》中的建立組織。
您可以使用 AWS Organizations 集中檢視和管理組織內的所有帳戶。組織具有一個管理帳戶,以及零個或多個成員帳戶。您可以在階層式樹狀結構中組織帳戶,其根位於根目錄頂端,而組織單位 (OUs) 巢狀在根目錄下。每個帳戶可以直接位於根下,或放置在階層OUs中的其中一個 中。OU 是特定帳戶的容器。例如,您可以建立財務 OU,其中包含與財務操作相關的所有帳戶。
選擇委派 Security Hub 管理員的建議
如果您擁有來自手動邀請程序的管理員帳戶,並正使用 轉換至帳戶管理 AWS Organizations,我們建議您將該帳戶指定為委派的 Security Hub 管理員。
雖然 Security Hub APIs和主控台允許組織管理帳戶成為委派的 Security Hub 管理員,但我們建議您選擇兩個不同的帳戶。這是因為有權存取組織管理帳戶來管理帳單的使用者,可能與需要存取 Security Hub 以進行安全管理的使用者不同。
我們建議跨區域使用相同的委派管理員。如果您選擇加入中央組態,Security Hub 會自動在您的主要區域和任何連結區域中指定相同的委派管理員。
驗證設定委派管理員的許可
若要指定和移除委派的 Security Hub 管理員帳戶,組織管理帳戶必須具有 Security Hub 中 EnableOrganizationAdminAccount和 DisableOrganizationAdminAccount動作的許可。Organizations 管理帳戶也必須具有 Organizations 的管理許可。
若要授予所有必要的許可,請將下列 Security Hub 受管政策連接至組織管理帳戶的IAM委託人:
指定委派管理員
若要指定委派的 Security Hub 管理員帳戶,您可以使用 Security Hub 主控台、Security Hub API或 AWS CLI。Security Hub AWS 區域 只會在目前 中設定委派的管理員,您必須在其他 區域中重複 動作。如果您開始使用中央組態,Security Hub 會自動在主要區域和連結區域中設定相同的委派管理員。
組織管理帳戶不需要啟用 Security Hub,即可指定委派的 Security Hub 管理員帳戶。
我們建議組織管理帳戶不是委派的 Security Hub 管理員帳戶。不過,如果您選擇組織管理帳戶做為 Security Hub 委派管理員,則管理帳戶必須啟用 Security Hub。如果管理帳戶未啟用 Security Hub,您必須手動為其啟用 Security Hub。無法自動為組織管理帳戶啟用 Security Hub。
您必須使用下列其中一種方法來指定委派的 Security Hub 管理員。使用 Organizations 指定委派的 Security Hub 管理員APIs不會反映在 Security Hub 中。
選擇您偏好的方法,然後依照步驟指定委派的 Security Hub 管理員帳戶。
