在 Security Hub 中啟用中央組態 - AWS Security Hub

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

在 Security Hub 中啟用中央組態

委派的 AWS Security Hub 管理員帳戶可以使用中央組態來設定多個帳戶和組織單位 (OUs的 Security Hub、標準和控制項 AWS 區域。

如需中央組態優點及其運作方式的背景資訊,請參閱了解 Security Hub 中的中央組態

本節說明中央組態的先決條件,以及如何開始使用它。

中央組態的先決條件

您必須先將 Security Hub 與 整合 AWS Organizations 並指定主區域,才能開始使用中央組態。如果您使用 Security Hub 主控台,這些先決條件會包含在中央組態的選擇加入工作流程中。

與 Organizations 整合

您必須整合 Security Hub 和 Organizations,才能使用中央組態。

若要整合這些服務,請先在 Organizations 中建立組織。然後,從 Organizations 管理帳戶指定 Security Hub 委派管理員帳戶。如需說明,請參閱 將 Security Hub 與 整合 AWS Organizations

請確定您在預期的主區域中指定委派管理員。當您開始使用中央組態時,也會在所有連結區域中自動設定相同的委派管理員。Organizations 管理帳戶無法設定為委派管理員帳戶。

重要

當您使用中央組態時,無法使用 Security Hub 主控台或 Security Hub APIs來變更或移除委派的管理員帳戶。如果 Organizations 管理帳戶使用 AWS Organizations APIs來變更或移除 Security Hub 委派管理員,Security Hub 會自動停止中央組態。您的組態政策也會取消關聯並刪除。成員帳戶會保留在委派管理員變更或移除之前所擁有的組態。

指定主要區域

您必須指定主要區域才能使用中央組態。主要區域是委派管理員從中設定組織的區域。

注意

主區域不能是 AWS 已指定為選擇加入區域的區域。預設會停用選擇加入區域。如需選擇加入區域的清單,請參閱 AWS 帳戶管理參考指南中的啟用和停用區域的考量

或者,您可以指定一個或多個可從主區域設定的連結區域。

委派管理員只能從主要區域建立和管理組態政策。組態政策會在主區域和所有連結區域中生效。您無法建立僅適用於這些區域子集的組態政策,而不是其他區域。例外狀況是涉及全域資源的控制項。如果您使用中央組態,Security Hub 會自動停用涉及除主要區域以外所有區域中全域資源的控制項。如需詳細資訊,請參閱使用全域資源的控制項

主區域也是您的 Security Hub 彙總區域,可接收來自連結區域的調查結果、洞見和其他資料。

如果您已設定跨區域彙總的彙總區域,則這是中央組態的預設主區域。您可以在開始使用中央組態之前變更主要區域,方法是刪除目前的調查結果彙總器,並在所需的主要區域中建立新的問題清單彙總器。問題清單彙整工具是指定主區域和連結區域的 Security Hub 資源。

若要指定主要區域,請參閱設定彙總區域的步驟。如果您已經有主區域,您可以叫用 GetFindingAggregator API 來查看其詳細資訊,包括目前與其連結的區域。

啟用中央組態的指示

選擇您偏好的方法,並依照步驟為您的組織啟用中央組態。

Security Hub console
啟用中央組態 (主控台)
  1. 在 https://https://console.aws.amazon.com/securityhub/ 開啟 AWS Security Hub 主控台。

  2. 在導覽窗格中,選擇設定組態。然後,選擇啟動中央組態

    如果您要加入 Security Hub,請選擇前往 Security Hub

  3. 指定委派管理員頁面上,選取委派管理員帳戶或輸入其帳戶 ID。如果適用,我們建議您選擇已為其他 AWS 安全和合規服務設定的相同委派管理員。選擇設定委派管理員

  4. 集中組織頁面上的區域區段中,選取您的主要區域。您必須登入主區域才能繼續。如果您已設定跨區域彙總的彙總區域,則會顯示為主要區域。若要變更主要區域,請選擇編輯區域設定。然後,您可以選取您偏好的主區域並返回此工作流程。

  5. 選取至少一個區域以連結至主要區域。或者,選擇是否要自動將未來的支援區域連結至主要區域。您在此處選取的區域將由委派管理員從主要區域設定。組態政策會在您的主區域和所有連結區域中生效。

  6. 選擇確認並繼續

  7. 您現在可以使用中央組態。繼續遵循主控台提示建立您的第一個組態政策。如果您尚未準備好建立組態政策,請選擇我尚未準備好進行設定。您稍後可以在導覽窗格中選擇設定組態來建立政策。如需建立組態政策的說明,請參閱 建立和關聯組態政策

Security Hub API
啟用中央組態 (API)
  1. 使用委派管理員帳戶的登入資料,從主要區域叫用 UpdateOrganizationConfiguration API。

  2. AutoEnable 欄位設定為 false

  3. OrganizationConfiguration 物件中的 ConfigurationType 欄位設定為 CENTRAL。此動作具有下列影響:

    • 將呼叫帳戶指定為所有連結區域中的 Security Hub 委派管理員。

    • 在所有連結區域的委派管理員帳戶中啟用 Security Hub。

    • 將呼叫帳戶指定為使用 Security Hub 且屬於組織的新帳戶和現有帳戶的 Security Hub 委派管理員。這發生在主區域和所有連結的區域。呼叫帳戶只有在與已啟用 Security Hub 的組態政策相關聯時,才會設定為新組織帳戶的委派管理員。呼叫帳戶只有在已啟用 Security Hub 時,才會設定為現有組織帳戶的委派管理員。

    • false 在所有連結區域中AutoEnable設定為 ,並在NONE主要區域和所有連結區域中AutoEnableStandards設定為 。當您使用中央組態時,這些參數與主區域和連結區域無關,但您可以透過使用組態政策,在組織帳戶中自動啟用 Security Hub 和預設安全標準。

  4. 您現在可以使用中央組態。委派管理員可以建立組態政策,以設定組織中的 Security Hub。如需建立組態政策的說明,請參閱 建立和關聯組態政策

API 請求範例:

{ "AutoEnable": false, "OrganizationConfiguration": { "ConfigurationType": "CENTRAL" } }
AWS CLI
啟用中央組態 (AWS CLI)
  1. 使用委派管理員帳戶的登入資料,從主區域執行 update-organization-configuration命令。

  2. 納入 no-auto-enable 參數。

  3. organization-configuration 物件中的 ConfigurationType 欄位設定為 CENTRAL。此動作具有下列影響:

    • 將呼叫帳戶指定為所有連結區域中的 Security Hub 委派管理員。

    • 在所有連結區域的委派管理員帳戶中啟用 Security Hub。

    • 將呼叫帳戶指定為使用 Security Hub 且屬於組織的新帳戶和現有帳戶的 Security Hub 委派管理員。這發生在主區域和所有連結的區域。呼叫帳戶只有在與已啟用 Security Hub 的組態政策相關聯時,才會設定為新組織帳戶的委派管理員。呼叫帳戶只有在已啟用 Security Hub 時,才會設定為現有組織帳戶的委派管理員。

    • 在所有連結no-auto-enable的區域中將自動啟用選項設定為 ,並在NONE主要區域和所有連結的區域中auto-enable-standards將 設定為 。當您使用中央組態時,這些參數與主區域和連結區域無關,但您可以透過使用組態政策,在組織帳戶中自動啟用 Security Hub 和預設安全標準。

  4. 您現在可以使用中央組態。委派管理員可以建立組態政策,以設定組織中的 Security Hub。如需建立組態政策的說明,請參閱 建立和關聯組態政策

命令範例:

aws securityhub --region us-east-1 update-organization-configuration \ --no-auto-enable \ --organization-configuration '{"ConfigurationType": "CENTRAL"}'