本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
在 Security Hub 中啟用中央組態
委派的 AWS Security Hub 管理員帳戶可以使用中央組態來設定多個帳戶和組織單位 (OUs的 Security Hub、標準和控制項 AWS 區域。
如需中央組態優點及其運作方式的背景資訊,請參閱了解 Security Hub 中的中央組態。
本節說明中央組態的先決條件,以及如何開始使用它。
中央組態的先決條件
您必須先將 Security Hub 與 整合 AWS Organizations 並指定主區域,才能開始使用中央組態。如果您使用 Security Hub 主控台,這些先決條件會包含在中央組態的選擇加入工作流程中。
與 Organizations 整合
您必須整合 Security Hub 和 Organizations,才能使用中央組態。
若要整合這些服務,請先在 Organizations 中建立組織。然後,從 Organizations 管理帳戶指定 Security Hub 委派管理員帳戶。如需說明,請參閱 將 Security Hub 與 整合 AWS Organizations。
請確定您在預期的主區域中指定委派管理員。當您開始使用中央組態時,也會在所有連結區域中自動設定相同的委派管理員。Organizations 管理帳戶無法設定為委派管理員帳戶。
當您使用中央組態時,無法使用 Security Hub 主控台或 Security Hub APIs來變更或移除委派的管理員帳戶。如果 Organizations 管理帳戶使用 AWS Organizations APIs來變更或移除 Security Hub 委派管理員,Security Hub 會自動停止中央組態。您的組態政策也會取消關聯並刪除。成員帳戶會保留在委派管理員變更或移除之前所擁有的組態。
指定主要區域
您必須指定主要區域才能使用中央組態。主要區域是委派管理員從中設定組織的區域。
主區域不能是 AWS 已指定為選擇加入區域的區域。預設會停用選擇加入區域。如需選擇加入區域的清單,請參閱 AWS 帳戶管理參考指南中的啟用和停用區域的考量。
或者,您可以指定一個或多個可從主區域設定的連結區域。
委派管理員只能從主要區域建立和管理組態政策。組態政策會在主區域和所有連結區域中生效。您無法建立僅適用於這些區域子集的組態政策,而不是其他區域。例外狀況是涉及全域資源的控制項。如果您使用中央組態,Security Hub 會自動停用涉及除主要區域以外所有區域中全域資源的控制項。如需詳細資訊,請參閱使用全域資源的控制項。
主區域也是您的 Security Hub 彙總區域,可接收來自連結區域的調查結果、洞見和其他資料。
如果您已設定跨區域彙總的彙總區域,則這是中央組態的預設主區域。您可以在開始使用中央組態之前變更主要區域,方法是刪除目前的調查結果彙總器,並在所需的主要區域中建立新的問題清單彙總器。問題清單彙整工具是指定主區域和連結區域的 Security Hub 資源。
若要指定主要區域,請參閱設定彙總區域的步驟。如果您已經有主區域,您可以叫用 GetFindingAggregator API 來查看其詳細資訊,包括目前與其連結的區域。
啟用中央組態的指示
選擇您偏好的方法,並依照步驟為您的組織啟用中央組態。
- Security Hub console
-
啟用中央組態 (主控台)
在 https://https://console.aws.amazon.com/securityhub/ 開啟 AWS Security Hub 主控台。
-
在導覽窗格中,選擇設定和組態。然後,選擇啟動中央組態。
如果您要加入 Security Hub,請選擇前往 Security Hub。
-
在指定委派管理員頁面上,選取委派管理員帳戶或輸入其帳戶 ID。如果適用,我們建議您選擇已為其他 AWS 安全和合規服務設定的相同委派管理員。選擇設定委派管理員。
-
在集中組織頁面上的區域區段中,選取您的主要區域。您必須登入主區域才能繼續。如果您已設定跨區域彙總的彙總區域,則會顯示為主要區域。若要變更主要區域,請選擇編輯區域設定。然後,您可以選取您偏好的主區域並返回此工作流程。
-
選取至少一個區域以連結至主要區域。或者,選擇是否要自動將未來的支援區域連結至主要區域。您在此處選取的區域將由委派管理員從主要區域設定。組態政策會在您的主區域和所有連結區域中生效。
-
選擇確認並繼續。
-
您現在可以使用中央組態。繼續遵循主控台提示建立您的第一個組態政策。如果您尚未準備好建立組態政策,請選擇我尚未準備好進行設定。您稍後可以在導覽窗格中選擇設定和組態來建立政策。如需建立組態政策的說明,請參閱 建立和關聯組態政策。
- Security Hub API
-
啟用中央組態 (API)
-
使用委派管理員帳戶的登入資料,從主要區域叫用 UpdateOrganizationConfiguration API。
-
將 AutoEnable
欄位設定為 false
。
-
將 OrganizationConfiguration
物件中的 ConfigurationType
欄位設定為 CENTRAL
。此動作具有下列影響:
-
將呼叫帳戶指定為所有連結區域中的 Security Hub 委派管理員。
-
在所有連結區域的委派管理員帳戶中啟用 Security Hub。
-
將呼叫帳戶指定為使用 Security Hub 且屬於組織的新帳戶和現有帳戶的 Security Hub 委派管理員。這發生在主區域和所有連結的區域。呼叫帳戶只有在與已啟用 Security Hub 的組態政策相關聯時,才會設定為新組織帳戶的委派管理員。呼叫帳戶只有在已啟用 Security Hub 時,才會設定為現有組織帳戶的委派管理員。
-
false
在所有連結區域中AutoEnable設定為 ,並在NONE
主要區域和所有連結區域中AutoEnableStandards設定為 。當您使用中央組態時,這些參數與主區域和連結區域無關,但您可以透過使用組態政策,在組織帳戶中自動啟用 Security Hub 和預設安全標準。
您現在可以使用中央組態。委派管理員可以建立組態政策,以設定組織中的 Security Hub。如需建立組態政策的說明,請參閱 建立和關聯組態政策。
API 請求範例:
{
"AutoEnable": false,
"OrganizationConfiguration": {
"ConfigurationType": "CENTRAL"
}
}
- AWS CLI
-
啟用中央組態 (AWS CLI)
-
使用委派管理員帳戶的登入資料,從主區域執行 update-organization-configuration命令。
-
納入 no-auto-enable
參數。
-
將 organization-configuration
物件中的 ConfigurationType
欄位設定為 CENTRAL
。此動作具有下列影響:
-
將呼叫帳戶指定為所有連結區域中的 Security Hub 委派管理員。
-
在所有連結區域的委派管理員帳戶中啟用 Security Hub。
-
將呼叫帳戶指定為使用 Security Hub 且屬於組織的新帳戶和現有帳戶的 Security Hub 委派管理員。這發生在主區域和所有連結的區域。呼叫帳戶只有在與已啟用 Security Hub 的組態政策相關聯時,才會設定為新組織帳戶的委派管理員。呼叫帳戶只有在已啟用 Security Hub 時,才會設定為現有組織帳戶的委派管理員。
-
在所有連結no-auto-enable的區域中將自動啟用選項設定為 ,並在NONE
主要區域和所有連結的區域中auto-enable-standards將 設定為 。當您使用中央組態時,這些參數與主區域和連結區域無關,但您可以透過使用組態政策,在組織帳戶中自動啟用 Security Hub 和預設安全標準。
您現在可以使用中央組態。委派管理員可以建立組態政策,以設定組織中的 Security Hub。如需建立組態政策的說明,請參閱 建立和關聯組態政策。
命令範例:
aws securityhub --region us-east-1 update-organization-configuration \
--no-auto-enable \
--organization-configuration '{"ConfigurationType": "CENTRAL
"}'