本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
如果您的 AWS 環境有多個帳戶,您可以將使用 AWS Security Hub 的帳戶視為成員帳戶,並將其與單一管理員帳戶建立關聯。管理員可以監控您的整體安全狀態,並對成員帳戶採取允許的動作。管理員也可以大規模執行各種帳戶管理和管理任務,例如監控預估用量成本和評估帳戶配額。
您可以透過兩種方式將成員帳戶與管理員建立關聯,方法是將 Security Hub 與 整合, AWS Organizations 或在 Security Hub 中手動傳送和接受成員邀請。
使用 管理帳戶 AWS Organizations
AWS Organizations 是一種全域帳戶管理服務,可讓 AWS 管理員合併和管理多個帳戶 AWS 帳戶。它提供帳戶管理和合併帳單功能,旨在支援預算、安全和合規需求。它免費提供,並且與多個 整合 AWS 服務,包括 AWS Security Hub、Amazon Macie 和 Amazon GuardDuty。如需詳細資訊,請參閱《AWS Organizations 使用者指南》。
當您整合 Security Hub 和 時 AWS Organizations, Organizations 管理帳戶會指定 Security Hub 委派管理員。Security Hub 會在 AWS 區域 其指定所在 的委派管理員帳戶中自動啟用。
指定委派管理員之後,建議您使用中央組態來管理 Security Hub 中的帳戶。這是自訂 Security Hub 的最有效方法,並確保為您的組織提供足夠的安全涵蓋範圍。
中央組態可讓委派的管理員跨多個組織帳戶和區域自訂 Security Hub,而不是Region-by-Region設定。您可以為整個組織建立組態政策,或為不同的帳戶和 OUs 建立不同的組態政策。政策會指定在關聯帳戶中啟用或停用 Security Hub,以及啟用了哪些安全標準和控制項。
委派管理員可以將帳戶指定為集中管理或自我管理。集中受管帳戶只能由委派管理員設定。自我管理帳戶可以指定自己的設定。
如果您不選擇加入中央組態,委派管理員具有更有限的能力來設定 Security Hub,稱為本機組態。在本機組態下,委派管理員可以在目前區域中的新組織帳戶中自動啟用 Security Hub 和預設安全標準。不過,現有帳戶不會使用這些設定,因此組態偏離可能會在帳戶加入組織之後發生。
除了這些新帳戶設定之外,本機組態是帳戶特定和區域特定。每個組織帳戶都必須在每個區域中分別設定 Security Hub 服務、標準和控制項。本機組態也不支援使用組態政策。
依邀請手動管理帳戶
如果您有獨立帳戶或未與 Organizations 整合,則必須在 Security Hub 中透過邀請手動管理成員帳戶。獨立帳戶無法與 Organizations 整合,因此需要手動管理。如果您未來新增其他帳戶,我們建議您整合 AWS Organizations 和 使用中央組態。
當您使用手動帳戶管理時,您會指定 帳戶做為 Security Hub 管理員。管理員帳戶可以檢視成員帳戶中的資料,並對成員帳戶調查結果採取特定動作。Security Hub 管理員邀請其他帳戶成為成員帳戶,並在潛在成員帳戶接受邀請時建立管理員成員關係。
手動帳戶管理不支援使用組態政策。如果沒有組態政策,管理員就無法透過設定不同帳戶的變數設定,集中自訂 Security Hub。反之,每個組織帳戶都必須在每個區域中分別啟用和設定 Security Hub。這可能會讓確保您在使用 Security Hub 的所有帳戶和區域擁有足夠的安全涵蓋範圍變得更加困難和耗時。它也可能導致組態偏離,因為成員帳戶可以指定自己的設定,而無需管理員輸入。
若要依邀請管理帳戶,請參閱 在 Security Hub 中透過邀請管理帳戶。
