啟用 Security Hub 中的集中配置 - AWS Security Hub

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

啟用 Security Hub 中的集中配置

委派的 AWS Security Hub 系統管理員帳戶可以使用中央設定,為多個帳戶和組織單位 (OUs) 設定 Security Hub、標準和控制項 AWS 區域。

如需中央組態優點及其運作方式的背景資訊,請參閱了解安全中心中的中央配置

本節說明中央組態的先決條件以及如何開始使用它。

中央組態的先決條件

在您開始使用中央組態之前,您必須先整合 Security Hub, AWS Organizations 並指定主區域。如果您使用 Security Hub 主控台,這些必要條件會包含在中央設定的選擇加入工作流程中。

與 Organizations 整合

您必須整合 Security Hub 和組 Organizations,才能使用集中設定。

若要整合這些服務,請先在 [組織] 中建立組 Organizations。然後,您可以從 Organizations 管理帳戶指定 Security Hub 委派的系統管理員帳戶。如需說明,請參閱 將 Security Hub 與 整合 AWS Organizations

請務必在您預定的本地區域中指定委派的管理員。當您開始使用中央組態時,相同的委派管理員也會在所有連結的區域中自動設定。Organizations 管理帳戶無法設定為委派的管理員帳戶。

重要

當您使用中央設定時,您無法使用 Security Hub 主控台或 Security Hub APIs 來變更或移除委派的系統管理員帳戶。如果組 Organizations 管理帳戶用 AWS Organizations APIs來變更或移除 Security Hub 委派的系統管理員,Security Hub 會自動停止中央設定。您的配置策略也會取消關聯並刪除。成員帳戶會保留在委派管理員變更或移除之前所擁有的組態。

指定居住地區

您必須指定「主區域」才能使用中央組態。「首頁區域」是指委派管理員從中設定組織的「區域」。

注意

本地區域不能是 AWS 已指定為選擇加入區域的地區。選擇加入的區域預設為停用。如需選擇加入區域的清單,請參閱《AWS 帳戶管理參考指南》中的啟用和停用區域之前的考事項。

或者,您可以指定一個或多個可從主「區域」設定的連結區域。

委派的系統管理員只能從主區域建立和管理組態原則。組態原則會在主區域和所有連結的區域中生效。您無法建立僅套用至這些區域的子集,而不適用於其他區域的組態原則。這種情況的例外是涉及全局資源的控制項。如果您使用中央組態,Security Hub 會自動停用與所有區域 (主區域除外) 中涉及全域資源的控制項。如需詳細資訊,請參閱使用全域資源的控制項

主區域也是您的 Security Hub 彙總區域,可從連結的區域接收發現項目、見解和其他資料。

如果您已經為跨區域彙總設定彙總區域,則這是中央組態的預設本地區域。您可以在開始使用中央配置之前更改主地區域,方法是刪除當前的發現項目彙總器並在您想要的主區域中創建一個新的地區。發現項目彙總器是指定本地區域和連結區域的 Security Hub 資源。

若要指定主區域,請參閱設定彙總區域的步驟。如果您已有主區域,您可以呼叫以查看有關該GetFindingAggregatorAPI區域的詳細資訊,包括目前連結至該地區的區域。

啟用中央組態的指示

選擇您偏好的方法,然後按照步驟為您的組織啟用中央設定。

Security Hub console
若要啟用中央設定 (主控台)
  1. 在開啟 AWS Security Hub 主控台https://console.aws.amazon.com/securityhub/

  2. 在功能窗格中,選擇 [設定] 和 [設]。然後,選擇啟動中央配置

    如果您要上線至 Security Hub,請選擇 [移至 Security Hub]。

  3. 在 [指定委派管理員] 頁面上,選取您的委派管理員帳戶或輸入其帳戶 ID。如果適用,建議您選擇您為其他 AWS 安全性和規範遵循服務設定的相同委派管理員。選擇設定委派管理員

  4. 在「集中化組織」頁面的「區域」段中,選取您的首頁「地區」。您必須登入所在地區才能繼續。如果您已經為跨區域彙總設定彙總區域,它會顯示為本地區域。若要變更主要地區,請選擇 「編輯區域設定」。然後,您可以選擇首選的主地區域並返回此工作流程。

  5. 選取至少一個「地區」以連結至本地區域。選擇性地選擇是否要將 future 支援的區域自動連結至本位目錄「區域」。您在此選取的區域可由委派的系統管理員從主區域設定。設定原則會在您的家用區域和所有連結的區域中生效。

  6. 選擇確認並繼續

  7. 您現在可以使用中央規劃。繼續依照主控台提示建立您的第一個設定原則。如果您尚未準備好建立設定原則,請選擇 [我還沒準備好進行設定]。您可以稍後在導覽窗格中選擇 [設定] 和 [組態] 來建立原則。如需建立組態原則的指示,請參閱建立和關聯組態政策

Security Hub API
若要啟用中央設定 (API)
  1. 使用委派管理員帳戶的認證,UpdateOrganizationConfigurationAPI從主區域呼叫。

  2. AutoEnable欄位設定為false

  3. 將物件中的ConfigurationType欄位設OrganizationConfiguration定為CENTRAL。此動作會產生下列影響:

    • 在所有連結的區域中,將呼叫帳戶指定為 Security Hub 委派的系統管理員。

    • 在所有連結的區域中,啟用委派管理員帳戶中的安全性中樞。

    • 針對使用 Security Hub 且屬於組織的新帳戶和現有帳戶,指定呼叫帳戶為 Security Hub 委派系統管理員。這發生在首頁「區域」和所有連結的區域中。只有在新組織帳戶與啟用 Security Hub 的組態原則相關聯時,呼叫帳戶才會設定為委派的系統管理員。只有在現有組織帳戶已啟用 Security Hub 時,呼叫帳戶才會設定為委派的系統管理員。

    • false在所有連結的區域中設AutoEnable定為,並設定AutoEnableStandardsNONE在主「區域」和所有連結的區域中。當您使用中央設定時,這些參數與家用和連結的區域無關,但您可以透過使用組態原則,在組織帳戶中自動啟用 Security Hub 和預設安全性標準。

  4. 您現在可以使用中央規劃。委派的系統管理員可以建立組態原則,以在組織中設定 Security Hub。如需建立組態原則的指示,請參閱建立和關聯組態政策

API請求示例:

{ "AutoEnable": false, "OrganizationConfiguration": { "ConfigurationType": "CENTRAL" } }
AWS CLI
若要啟用中央設定 (AWS CLI)
  1. 使用委派管理員帳戶的認證,從主區域執行update-organization-configuration命令。

  2. 納入 no-auto-enable 參數。

  3. 將物件中的ConfigurationType欄位設organization-configuration定為CENTRAL。此動作會產生下列影響:

    • 在所有連結的區域中,將呼叫帳戶指定為 Security Hub 委派的系統管理員。

    • 在所有連結的區域中,啟用委派管理員帳戶中的安全性中樞。

    • 針對使用 Security Hub 且屬於組織的新帳戶和現有帳戶,指定呼叫帳戶為 Security Hub 委派系統管理員。這發生在首頁「區域」和所有連結的區域中。只有在新組織帳戶與啟用 Security Hub 的組態原則相關聯時,呼叫帳戶才會設定為委派的系統管理員。只有在現有組織帳戶已啟用 Security Hub 時,呼叫帳戶才會設定為委派的系統管理員。

    • 在所有連結的區域no-auto-enable中將自動啟用選項設定為,並NONE在主區域和所有連結的區域中設定auto-enable-standards為。當您使用中央設定時,這些參數與家用和連結的區域無關,但您可以透過使用組態原則,在組織帳戶中自動啟用 Security Hub 和預設安全性標準。

  4. 您現在可以使用中央規劃。委派的系統管理員可以建立組態原則,以在組織中設定 Security Hub。如需建立組態原則的指示,請參閱建立和關聯組態政策

範例命令:

aws securityhub --region us-east-1 update-organization-configuration \ --no-auto-enable \ --organization-configuration '{"ConfigurationType": "CENTRAL"}'