Manuelles Aktivieren von Security Hub CSPM in neuen Organisationskonten - AWS Security Hub

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Manuelles Aktivieren von Security Hub CSPM in neuen Organisationskonten

Wenn Sie Security Hub CSPM nicht automatisch in neuen Organisationskonten aktivieren, wenn diese der Organisation beitreten, können Sie diese Konten als Mitglieder hinzufügen und Security Hub CSPM in ihnen manuell aktivieren, nachdem sie der Organisation beigetreten sind. Sie müssen Security Hub CSPM auch manuell aktivieren, da Sie zuvor AWS-Konten die Verbindung zu einer Organisation getrennt haben.

Anmerkung

Dieser Abschnitt gilt nicht für Sie, wenn Sie die zentrale Konfiguration verwenden. Wenn Sie die zentrale Konfiguration verwenden, können Sie Konfigurationsrichtlinien erstellen, die Security Hub CSPM in bestimmten Mitgliedskonten und Organisationseinheiten aktivieren ()OUs. Sie können auch spezifische Standards und Kontrollen für diese Konten und aktivieren. OUs

Sie können Security Hub CSPM nicht in einem Konto aktivieren, wenn es sich bereits um ein Mitgliedskonto in einer anderen Organisation handelt.

Sie können Security Hub CSPM auch nicht in einem Konto aktivieren, das derzeit gesperrt ist. Wenn Sie versuchen, den Dienst in einem gesperrten Konto zu aktivieren, ändert sich der Kontostatus in Konto gesperrt.

  • Wenn Security Hub CSPM für das Konto nicht aktiviert ist, ist Security Hub CSPM in diesem Konto aktiviert. Der Standard AWS Foundational Security Best Practices (FSBP) und der CIS AWS Foundations Benchmark v1.2.0 sind ebenfalls im Konto aktiviert, sofern Sie die Standardsicherheitsstandards nicht deaktivieren.

    Eine Ausnahme bildet das Verwaltungskonto für Organizations. Security Hub CSPM kann nicht automatisch im Verwaltungskonto der Organizations aktiviert werden. Sie müssen Security Hub CSPM manuell im Verwaltungskonto der Organizations aktivieren, bevor Sie es als Mitgliedskonto hinzufügen können.

  • Wenn Security Hub CSPM für das Konto bereits aktiviert ist, nimmt Security Hub CSPM keine weiteren Änderungen am Konto vor. Es aktiviert nur die Mitgliedschaft.

Damit Security Hub CSPM Kontrollergebnisse generieren kann, müssen Mitgliedskonten AWS Config aktiviert und konfiguriert sein, um die erforderlichen Ressourcen aufzuzeichnen. Weitere Informationen zur Konfiguration von SSH finden Sie unter Aktivieren und Konfigurieren von AWS Config.

Wählen Sie Ihre bevorzugte Methode und folgen Sie den Schritten, um ein Organisationskonto als Security Hub CSPM-Mitgliedskonto zu aktivieren.

Security Hub CSPM console
Um Organisationskonten manuell als Security Hub CSPM-Mitglieder zu aktivieren

  1. Öffnen Sie die AWS Security Hub Cloud Security Posture Management (CSPM) -Konsole unter. https://console.aws.amazon.com/securityhub/

    Melden Sie sich mit den Anmeldeinformationen des delegierten Administratorkontos an.

  2. Wählen Sie im Security Hub CSPM-Navigationsbereich unter Einstellungen die Option Konfiguration aus.

  3. Wählen Sie in der Kontenliste jedes Unternehmenskonto aus, das Sie aktivieren möchten.

  4. Wählen Sie Aktionen und dann Mitglied hinzufügen aus.

Security Hub CSPM API

Um Organisationskonten manuell als Security Hub CSPM-Mitglieder zu aktivieren

Rufen Sie die CreateMembersAPI vom delegierten Administratorkonto aus auf. Geben Sie für jedes Konto, das aktiviert werden soll, die Konto-ID an.

Im Gegensatz zum manuellen Einladungsprozess müssen CreateMembers Sie bei der Aktivierung eines Unternehmenskontos keine Einladung versenden.

AWS CLI

Um Organisationskonten manuell als Security Hub CSPM-Mitglieder zu aktivieren

Führen Sie den create-membersBefehl über das delegierte Administratorkonto aus. Geben Sie für jedes Konto, das aktiviert werden soll, die Konto-ID an.

Im Gegensatz zum manuellen Einladungsprozess create-members müssen Sie bei der Aktivierung eines Unternehmenskontos keine Einladung versenden.

aws securityhub create-members --account-details '[{"AccountId": "<accountId>"}]'

Beispiel

aws securityhub create-members --account-details '[{"AccountId": "123456789111"}, {"AccountId": "123456789222"}]'