啟用和設定 Security Hub - AWS Security Hub
驗證必要的權限透過 Organizations 整合啟用 Security Hub手動啟用 Security Hub啟用 Security Hub 後的後續步驟

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

啟用和設定 Security Hub

有兩種方法可以啟用 AWS Security Hub,透過整合 AWS Organizations 或手動。

我們強烈建議您在多帳戶和多區域環境中與 Organizations 整合。如果您有獨立帳戶,則必須手動設定 Security Hub。

驗證必要的權限

註冊 Amazon Web Services 後(AWS),您必須啟用 Security Hub 才能使用其功能和功能。若要啟用安全性中樞,您必須先設定權限,以便存取 Security Hub 主控台和API作業。您或您的 AWS 管理員可以使用 AWS Identity and Access Management (IAM) 附上 AWS 管理策略調AWSSecurityHubFullAccess用到您的IAM身份。

若要透過 Organizations 整合啟用和管理 Security Hub,您也應該附加 AWS 受管理的策略稱為AWSSecurityHubOrganizationsAccess

如需詳細資訊,請參閱AWSAWS Security Hub 的受管理原則

透過 Organizations 整合啟用 Security Hub

若要開始使用 Security Hub AWS Organizations,該 AWS Organizations 組織的管理帳戶會將帳戶指定為組織的委派 Security Hub 系統管理員帳戶。Security Hub 會在目前區域中的委派系統管理員帳戶中自動啟用。

選擇您偏好的方法,然後依照步驟指定委派的管理員。

Security Hub console
在上線時指定委派的 Security Hub 系統管理員

  1. 打開 AWS Security Hub 主控台位於https://console.aws.amazon.com/securityhub/

  2. 選擇 [移至 Security Hub]。系統會提示您登入 Organizations 管理帳戶。

  3. 在 [指定委派管理員] 頁面的 [委派管理員帳戶] 區段中,指定委派管理員帳戶。建議您選擇您為其他人設定的相同委派管理員 AWS 安全性與合規性服務。

  4. 選擇設定委派管理員

Security Hub API

EnableOrganizationAdminAccountAPI從「組 Organizations」管理帳戶呼叫。提供 AWS 帳戶 Security Hub 委派系統管理員帳戶的識別碼。

AWS CLI

從 Organizations 管理帳戶執行enable-organization-admin-account命令。提供 AWS 帳戶 Security Hub 委派系統管理員帳戶的識別碼。

範例命令:

aws securityhub enable-organization-admin-account --admin-account-id 777788889999

如需與 Organizations 整合的詳細資訊,請參閱整合 Security Hub 與 AWS Organizations

指定委派的系統管理員之後,我們建議您繼續使用中央設定來設定 Security Hub。控制台會提示您這樣做。透過使用中央設定,您可以簡化為組織啟用和設定 Security Hub 的程序,並確保您的組織具有足夠的安全性涵蓋範圍。

中央設定可讓委派的系統管理員跨多個組織帳戶和區域自訂 Security Hub,而不是依區域設定。您可以為整個組織建立組態策略,或為不同帳戶和建立不同的組態策略OUs。這些原則會指定在關聯帳戶中是否啟用或停用 Security Hub,以及啟用哪些安全性標準和控制項。

委派管理員可以將帳戶指定為集中管理或自我管理的帳戶。集中管理的帳戶只能由委派的系統管理員設定。自我管理帳戶可以指定自己的設定。

如果您不使用中央設定,委派的系統管理員可以設定 Security Hub 的能力更有限。如需詳細資訊,請參閱使用 Organizations 管理 Security Hub 管理員和成員帳戶

手動啟用 Security Hub

如果您擁有獨立帳戶,或未與整合,則必須手動啟用 Security Hub AWS Organizations。 獨立帳戶無法整合 AWS Organizations 並且必須使用手動啟用。

當您手動啟用 Security Hub 時,您可以指定 Security Hub 系統管理員帳戶,並邀請其他帳戶成為成員帳戶。當潛在成員帳戶接受邀請時,就會建立管理員與成員關係。

選擇您偏好的方法,然後按照步驟啟用 Security Hub。當您從主控台啟用 Security Hub 時,您也可以選擇啟用支援的安全性標準。

Security Hub console

  1. 打開 AWS Security Hub 主控台位於https://console.aws.amazon.com/securityhub/

  2. 當您第一次開啟 Security Hub 主控台時,請選擇 [移至 Security Hub]。

  3. 在歡迎頁面上,[安全性標準] 區段會列出 Security Hub 支援的安全性標準。

    選取標準的勾選方塊以啟用標準,然後清除勾選方塊將其停用。

    您可以隨時啟用或停用標準,或是其個別的控制項。如需管理安全性標準的資訊,請參閱了解 Security Hub 中的安全標準

  4. 選擇 Enable Security Hub (啟用 Security Hub)

Security Hub API

叫用 EnableSecurityHubAPI. 當您從啟用 Security Hub 時API,它會自動啟用下列預設安全性標準:

  • AWS 基礎安全性最佳做法

  • 互聯網安全中心 (CIS) AWS 基金會基準 V1.2.0

如果您不希望啟用這些標準,請將 EnableDefaultStandards 設為 false

您也可以使用Tags參數將標籤值指派給 Hub 資源。

AWS CLI

執行 enable-security-hub 命令。若要啟用預設標準,請包括--enable-default-standards。若要不啟用預設標準,請包括--no-enable-default-standards。預設安全性標準如下:

  • AWS 基礎安全性最佳做法

  • 互聯網安全中心 (CIS) AWS 基金會基準 V1.2.0

aws securityhub enable-security-hub [--tags <tag values>] [--enable-default-standards | --no-enable-default-standards]

範例

aws securityhub enable-security-hub --enable-default-standards --tags '{"Department": "Security"}'

多帳戶啟用腳本

注意

我們建議您使用中央設定來啟用和設定多個帳戶和區域的 Security Hub,而不是這個指令碼。

中的 Security Hub 多帳戶啟用指令碼 GitHub可讓您跨帳戶和區域啟用 Security Hub。該腳本還可以自動發送邀請到會員帳戶並啟用的過程 AWS Config.

此指令碼會自動啟用所有區域中所有資源 (包括全域資源) 的資源記錄。它不會將全球資源記錄限制在單一區域。

有一個對應的腳本可以跨帳戶和區域禁用 Security Hub。

啟用 Security Hub 後的後續步驟

啟用 Security Hub 之後,我們建議您啟用對您的安全性需求很重要的安全性標準和安全性控制項。啟用控制項之後,Security Hub 會開始執行安全性檢查並產生控制項發現項目。您還可以利用 Security Hub 和其他之間的集成 AWS 服務 和第三方解決方案,以查看他們在安全中心的發現。