本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 Organizations 管理 Security Hub 管理員和成員帳戶
您可以整合 AWS Security Hub 取代為 AWS Organizations,然後針對組織中的帳戶管理安全中心。
若要整合 Security Hub AWS Organizations,您可以在中建立組織 AWS Organizations。 組 Organizations 管理帳戶會將一個帳戶指定為組織的 Security Hub 委派系統管理員。委派的系統管理員接著可以為組織中的其他帳戶啟用 Security Hub、將這些帳戶新增為 Security Hub 成員帳戶,並對成員帳戶採取允許的動作。Security Hub 委派的系統管理員可以啟用和管理最多 10,000 個成員帳戶的 Security Hub。
委派管理員的組態能力範圍取決於您是否使用中央組態。啟用中央配置後,您不需要在每個成員帳戶中單獨配置 Security Hub, AWS 區域。 委派的系統管理員可以在指定的成員帳戶和組織單位 (OUs) 中強制執行跨區域的特定 Security Hub 設定。
Security Hub 委派的系統管理員帳戶可以對成員帳戶執行下列動作:
-
如果使用中央組態,請集中設定成員帳戶的安全中心,並OUs建立 Security Hub 組態原則。組態原則可用來啟用和停用 Security Hub、啟用和停用標準,以及啟用和停用控制項。
-
加入組織時,自動將新帳戶視為 Security Hub 成員帳戶。如果您使用中央組態,與 OU 相關聯的組態原則會包含屬於 OU 一部分的現有帳戶和新帳戶。
-
將現有的組織帳戶視為「Security Hub」成員帳戶。如果您使用中央規劃,這會自動發生。
-
取消屬於組織的成員帳戶的關聯。如果您使用中央設定,則只有在將成員帳戶指定為自我管理後,才能將其取消關聯。或者,您可以將停用 Security Hub 的組態原則與特定的集中管理成員帳戶建立關聯。
如果您未選擇加入中央設定,您的組織會使用稱為本機設定的預設組態類型。在本機組態下,委派系統管理員在成員帳戶中強制執行設定的能力更有限。如需詳細資訊,請參閱了解安全中心中的本機組態。
如需委派系統管理員可對成員帳戶執行的動作完整清單,請參閱管理員和成員帳戶在 Security Hub 中允許的動作。
本節中的主題說明如何將 Security Hub 與 AWS Organizations 以及如何管理組織中帳戶的安全中心。在相關的情況下,每個部分都會識別中央組態使用者的管理優點和差異。
