本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
整合 Security Hub 與 AWS Organizations
若要整合 AWS Security Hub 以及 AWS Organizations,您可 Organizations 在 [組織] 中建立組織,並使用組織管理帳戶來指定委派的 Security Hub 系統管理員帳戶。這使 Security Hub 作為 Organizations 中的信任服務。它還使安全中心在當前 AWS 區域 對於委派的系統管理員帳戶,並允許委派系統管理員為成員帳戶啟用 Security Hub、檢視成員帳戶中的資料,以及對成員帳戶執行其他允許的動作。
如果您使用中央組態,則委派的系統管理員也可以建立 Security Hub 組態原則,以指定如何在組織帳戶中設定 Security Hub 服務、標準和控制項。
建立組織
組織是您建立用來合併您的實體 AWS 帳戶 這樣您就可以將它們作為一個單元進行管理。
您可以使用 AWS Organizations 控制台或通過使用命令 AWS CLI 或其中一個 SDKAPIs. 如需詳細指示,請參閱 AWS Organizations 用戶指南。
您可以使用... AWS Organizations 以集中檢視及管理組織內的所有帳戶。組織具有一個管理帳戶,以及零個或多個成員帳戶。您可以使用階層式、樹狀結構來組織帳號,頂端有根目錄,組織單位 (OUs) 嵌套在根目錄下。每個帳戶都可以直接位於根目錄下,也可以放置在階層中的其OUs中一個帳戶中。OU 是特定帳戶的容器。例如,您可以建立包含與財務作業相關之所有帳戶的財務 OU。
選擇委派 Security Hub 系統管理員的建議
如果您在手動邀請程序中擁有管理員帳戶,並且正在使用以下方式轉換至帳戶管理 AWS Organizations,我們建議您將該帳戶指定為委派的 Security Hub 系統管理員。
雖然 Security Hub APIs 和主控台允許組織管理帳戶成為委派的 Security Hub 系統管理員,但我們建議您選擇兩個不同的帳戶。這是因為有權存取組織管理帳戶以管理帳單的使用者,可能與需要存取 Security Hub 進行安全性管理的使用者不同。
我們建議跨區域使用相同的委派管理員。如果您選擇加入中央設定,Security Hub 會自動在您的主區域和任何連結的區域中指定相同的委派系統管理員。
驗證設定委派管理員的權限
若要指定和移除委派的 Security Hub 系統管理員帳戶,組織管理帳戶必須具有 Security Hub 中的EnableOrganizationAdminAccount和DisableOrganizationAdminAccount動作的權限。Organizations 管理帳戶也必須具有 Organizations 的管理權限。
若要授與所有必要的權限,請將下列 Security Hub 管理的原則附加至組織管理帳戶的IAM主參與者:
指定委派的管理員
若要指定委派的 Security Hub 系統管理員帳戶,您可以使用 Security Hub 主控台、Security HubAPI,或 AWS CLI。 Security Hub 設置委託管理員在當前 AWS 區域 只有,而且您必須在其他區域中重複此動作。如果您開始使用中央組態,則 Security Hub 會自動在主區域和連結的區域中設定相同的委派系統管理員。
組織管理帳戶不需要啟用安全性中樞,即可指定委派的安全中心系統管理員帳戶。
我們建議組織管理帳戶不是委派的 Security Hub 系統管理員帳戶。不過,如果您確實選擇組織管理帳戶做為 Security Hub 委派的系統管理員,則管理帳戶必須啟用 Security Hub。如果管理帳戶未啟用 Security Hub,您必須手動為其啟用 Security Hub。無法為組織管理帳戶自動啟用 Security Hub。
您必須使用下列其中一種方法指定委派的 Security Hub 系統管理員。將委派的 Security Hub 系統管理員指定為 Organizations APIs 並不會反映在資訊安全中心中。
選擇您偏好的方法,然後按照步驟指定委派的 Security Hub 系統管理員帳戶。
