本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 管理 AWS 組織中成員帳戶的組態
<a name="securityhub-v2-da-policy"></a>

 AWS 組織的委派管理員可以跨成員帳戶和區域設定安全功能。有兩種可用的組態類型：**政策和****部署**。**政策**會為 AWS Security Hub 和 Amazon Inspector 的帳戶和區域產生 AWS Organizations 政策。**部署**是一種一次性動作，可在 Amazon GuardDuty 和 AWS Security Hub CSPM 的所選帳戶和區域中啟用安全功能。與 政策不同，您無法檢視或編輯部署，且部署不適用於新啟用的帳戶。Amazon GuardDuty 和 AWS Security Hub CSPM 提供適用於新成員帳戶的自動啟用功能。

## Security Hub 組態目錄
<a name="securityhub-v2-configuration-catalog"></a>

 Security Hub 的組態目錄提供多種選項，以協助為 提供的安全功能設定您的 AWS Organization 帳戶。

 以下是 Security Hub 組態目錄中可用的選項。

### Security Hub （基本和其他功能）
<a name="securityhub-v2-configuration-catalog-SH"></a>

 這是針對 Security Hub 部署的建議組態。

 **類型**：政策和部署 

 **描述**：此組態在 Security Hub 的基本安全管理、狀態管理、威脅分析和漏洞管理功能上產生錯誤。它可選擇性地啟用其他功能。

### 來自 GuardDuty 的威脅分析
<a name="securityhub-v2-configuration-catalog-ta"></a>

 **類型**：部署 

 **描述**：開啟選取的 Amazon GuardDuty 功能，以持續監控、分析和處理 AWS 環境中的 AWS 資料來源和日誌。

### Security AWS Hub CSPM 中的狀態管理）
<a name="securityhub-v2-configuration-catalog-CSPM"></a>

 **類型**：部署 

 **描述**：此組態會開啟 Security Hub CSPM 的標準和控制項，以偵測 AWS 您的帳戶和資源何時偏離安全最佳實務。

### Amazon Inspector 的漏洞管理
<a name="securityhub-v2-configuration-catalog-vuln"></a>

 **類型**：政策 

 **描述**：此組態會開啟選取的 Amazon Inspector 功能，以自動探索工作負載、執行個體、容器映像等，並掃描它們是否有漏洞和網路暴露。

## 啟用具有 政策類型的組態
<a name="securityhub-v2-configuration-enable-policy"></a>

 下列程序說明如何為 AWS Organization 帳戶建立具有 政策類型的組態。若要建立組態政策，必須在 AWS 組織管理帳戶中建立委派的管理員政策。如需有關在 Security Hub 中建立委派管理員政策的資訊，請參閱[在 Security Hub 中建立委派管理員政策](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-v2-policy-statement.html)。

**建立啟用和停用成員帳戶的政策**

1.  使用您的 AWS 帳戶搭配委派管理員登入資料來登入。開啟位於 https：//[https://console.aws.amazon.com/securityhub/v2/home](https://console.aws.amazon.com/securityhub/v2/home?) 的 Security Hub 主控台。

1.  從導覽窗格中，選擇**管理**，然後選擇**組態**。

1.  從組態目錄中選擇具有**政策**或**政策類型和部署**的項目。若要完整設定 Security Hub，建議您選擇 **Security Hub （基本和其他功能）**。

1.  在**詳細資訊區段的設定 Security Hub** 頁面上，輸入政策的名稱和描述。 ****

1.  在**安全功能**區段中，執行下列其中一項操作：

   1.  （選項 1) 選擇**啟用所有功能**。這將開啟所有 Security Hub 基本功能、威脅分析和其他功能。

   1.  （選項 2) 選擇**自訂功能**。選取威脅分析和其他應開啟的功能。您無法取消選取屬於 Security Hub 基本計劃功能的任何功能。

1.  在**帳戶選取**區段中，選取下列其中一個選項。如果您想要將組態套用至**所有組織單位和帳戶**，請選擇所有組織單位和帳戶。如果您想要將組態套用至**特定組織單位和帳戶**，請選擇特定組織單位和帳戶。如果您選擇此選項，請使用搜尋列或組織結構樹來指定要套用政策的組織單位和帳戶。如果您不想將組態套用至任何**組織單位或帳戶，請選擇無**組織單位或帳戶。

1.  在**區域**區段中，選擇**啟用所有區域**、**停用所有區域**或**指定區域**。如果您選擇**啟用所有區域**，您可以決定是否自動啟用新區域。如果您選擇**停用所有區域**，您可以決定是否自動停用新區域。如果您選擇**指定區域**，則必須選擇要啟用和停用的區域。

1.  （選用） 如需**進階設定**，請參閱 中的[指引](https://docs.aws.amazon.com/organizations/latest/userguide/policy-operators.html) AWS Organizations。

1.  （選用） 針對**資源標籤**，將標籤新增為鍵/值對，以協助您輕鬆識別組態。

1.  選擇**下一步**。

1.  檢閱您的變更，然後選擇**套用**。您的目標帳戶是根據政策設定。政策的組態狀態會顯示在政策頁面頂端。如果已設定或發生部署失敗，每個功能都會提供 狀態。對於任何失敗，請按一下失敗訊息的連結以查看更多詳細資訊。若要在帳戶層級檢視有效政策，您可以檢閱**組態**頁面上**的組織**索引標籤，您可以在其中選擇帳戶。

## 啟用具有部署類型的組態
<a name="securityhub-v2-configuration-enable-deployment"></a>

下列程序說明如何為 AWS Organization 帳戶建立部署類型的組態。

**建立啟用和停用成員帳戶的部署**

1.  使用您的 AWS 帳戶搭配委派管理員登入資料來登入。開啟位於 https：//[https://console.aws.amazon.com/securityhub/v2/home](https://console.aws.amazon.com/securityhub/v2/home?) 的 Security Hub 主控台。

1.  從導覽窗格中，選擇**管理**，然後選擇**組態**。

1.  ****從組態目錄中選擇具有部署類型的項目。若要完整設定 Security Hub，建議您選擇 **Security Hub （基本和其他功能）**。

1.  在**安全功能**區段中，選取應該開啟的安全功能。

1.  在**帳戶選取**區段中，選取下列其中一個選項。如果您想要將組態套用至**所有組織單位和帳戶**，請選擇所有組織單位和帳戶。如果您想要將組態套用至**特定組織單位和帳戶**，請選擇特定組織單位和帳戶。如果您選擇此選項，請使用搜尋列或組織結構樹來指定要套用政策的組織單位和帳戶。如果您不想將組態套用至任何**組織單位或帳戶，請選擇無**組織單位或帳戶。

1.  在**區域**區段中，選擇**啟用所有區域**、**停用所有區域**或**指定區域**。如果您選擇**啟用所有區域**，您可以決定是否自動啟用新區域。如果您選擇**停用所有區域**，您可以決定是否自動停用新區域。如果您選擇**指定區域**，則必須選擇要啟用和停用的區域。

1.  選擇**設定**。

## 編輯組態政策
<a name="securityhub-v2-configuration-edit"></a>

 您可以編輯與具有 **政策**類型的組態相關聯的功能、區域和帳戶。

以下說明如何在 Security Hub 中編輯組態政策

**建立編輯組態政策**

1.  使用您的 AWS 帳戶搭配委派管理員登入資料來登入。開啟位於 https：//[https://console.aws.amazon.com/securityhub/v2/home](https://console.aws.amazon.com/securityhub/v2/home?) 的 Security Hub 主控台。

1.  從導覽窗格中，選擇**管理**，然後選擇**組態**。

1.  在**已設定政策**索引標籤中，選取要編輯的政策選項按鈕。選擇**編輯**。

1.  若要在**帳戶選擇**區段中進行變更，請選取下列其中一個選項。如果您想要將組態套用至**所有組織單位和帳戶**，請選擇所有組織單位和帳戶。如果您想要將組態套用至**特定組織單位和帳戶**，請選擇特定組織單位和帳戶。如果您選擇此選項，請使用搜尋列或組織結構樹來指定要套用政策的組織單位和帳戶。如果您不想將組態套用至任何**組織單位或帳戶，請選擇無**組織單位或帳戶。

1.  若要在**區域**區段中進行變更，請選擇**啟用所有區域**、**停用所有區域**或**指定區域**。如果您選擇**啟用所有區域**，您可以決定是否自動啟用新區域。如果您選擇**停用所有區域**，您可以決定是否自動停用新區域。如果您選擇**指定區域**，則必須選擇要啟用和停用的區域。

1.  選擇**下一步**。

1.  檢閱您的變更，然後選擇 **Update (更新)**。您的目標帳戶是根據政策設定。

## 刪除組態政策
<a name="securityhub-v2-configuration-delete"></a>

 您可以刪除您具有一種**政策**類型的組態。當您刪除政策時，所有連接的帳戶和組織單位都會從政策中移除。

以下說明如何刪除 Security Hub 中的組態政策。

**建立刪除組態政策**

1.  使用您的 AWS 帳戶搭配委派管理員登入資料來登入。開啟位於 https：//[https://console.aws.amazon.com/securityhub/v2/home](https://console.aws.amazon.com/securityhub/v2/home?) 的 Security Hub 主控台。

1.  從導覽窗格中，選擇**管理**，然後選擇**組態**。

1.  在**已設定政策**索引標籤中，選取要編輯的政策選項按鈕。選擇 **Delete** (刪除) 按鈕。

1.  在確認方塊中輸入**刪除**。選擇**刪除**。