Mengintegrasikan CSPM Security Hub dengan AWS Organizations - AWS Security Hub
Membuat organisasiRekomendasi untuk memilih administrator CSPM Security Hub yang didelegasikanVerifikasi izin untuk mengonfigurasi administrator yang didelegasikanMenunjuk administrator yang didelegasikan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengintegrasikan CSPM Security Hub dengan AWS Organizations

Untuk mengintegrasikan AWS Security Hub Cloud Security Posture Management (CSPM) dan AWS Organizations, Anda membuat organisasi di Organizations dan menggunakan akun manajemen organisasi untuk menunjuk akun administrator CSPM Security Hub yang didelegasikan. Hal ini memungkinkan Security Hub CSPM sebagai layanan terpercaya di Organizations. Ini juga memungkinkan Security Hub CSPM saat ini Wilayah AWS untuk akun administrator yang didelegasikan, dan memungkinkan administrator yang didelegasikan untuk mengaktifkan CSPM Security Hub untuk akun anggota, melihat data di akun anggota, dan melakukan tindakan lain yang diizinkan pada akun anggota.

Jika Anda menggunakan konfigurasi pusat, administrator yang didelegasikan juga dapat membuat kebijakan konfigurasi CSPM Security Hub yang menentukan bagaimana layanan, standar, dan kontrol CSPM Security Hub harus dikonfigurasi di akun organisasi.

Membuat organisasi

Organisasi adalah entitas yang Anda buat untuk mengkonsolidasikan Anda Akun AWS sehingga Anda dapat mengelolanya sebagai satu kesatuan.

Anda dapat membuat organisasi dengan menggunakan AWS Organizations konsol atau dengan menggunakan perintah dari AWS CLI atau salah satu SDK APIs. Untuk petunjuk mendetail, lihat Membuat organisasi di Panduan AWS Organizations Pengguna.

Anda dapat menggunakan AWS Organizations untuk melihat dan mengelola semua akun dalam organisasi secara terpusat. Sebuah organisasi memiliki satu akun manajemen bersama dengan nol atau lebih akun anggota. Anda dapat mengatur akun dalam struktur hierarkis seperti pohon dengan root di bagian atas dan unit organisasi (OUs) bersarang di bawah root. Setiap akun dapat langsung di bawah root, atau ditempatkan di salah satu OUs dalam hierarki. OU adalah wadah untuk akun tertentu. Misalnya, Anda dapat membuat OU keuangan yang mencakup semua akun yang terkait dengan operasi keuangan.

Rekomendasi untuk memilih administrator CSPM Security Hub yang didelegasikan

Jika Anda memiliki akun administrator dari proses undangan manual dan sedang beralih ke manajemen akun AWS Organizations, sebaiknya tentukan akun tersebut sebagai administrator CSPM Security Hub yang didelegasikan.

Meskipun CSPM APIs dan konsol Security Hub memungkinkan akun manajemen organisasi menjadi administrator CSPM Security Hub yang didelegasikan, sebaiknya pilih dua akun yang berbeda. Ini karena pengguna yang memiliki akses ke akun manajemen organisasi untuk mengelola penagihan cenderung berbeda dari pengguna yang membutuhkan akses ke Security Hub CSPM untuk manajemen keamanan.

Sebaiknya gunakan administrator yang didelegasikan sama di seluruh Wilayah. Jika Anda ikut serta dalam konfigurasi pusat, Security Hub CSPM secara otomatis menunjuk administrator yang didelegasikan yang sama di Wilayah asal Anda dan Wilayah yang ditautkan.

Verifikasi izin untuk mengonfigurasi administrator yang didelegasikan

Untuk menetapkan dan menghapus akun administrator CSPM Security Hub yang didelegasikan, akun manajemen organisasi harus memiliki izin dan tindakan EnableOrganizationAdminAccount di CSPM DisableOrganizationAdminAccount Security Hub. Akun manajemen Organizations juga harus memiliki izin administratif untuk Organizations.

Untuk memberikan semua izin yang diperlukan, lampirkan kebijakan terkelola CSPM Security Hub berikut ke kepala IAM untuk akun manajemen organisasi:

Menunjuk administrator yang didelegasikan

Untuk menetapkan akun administrator CSPM Security Hub yang didelegasikan, Anda dapat menggunakan konsol CSPM Security Hub, Security Hub CSPM API, atau. AWS CLI Security Hub CSPM menetapkan administrator yang didelegasikan Wilayah AWS hanya di saat ini, dan Anda harus mengulangi tindakan di Wilayah lain. Jika Anda mulai menggunakan konfigurasi pusat, maka Security Hub CSPM secara otomatis menetapkan administrator yang didelegasikan yang sama di Wilayah beranda dan Wilayah yang ditautkan.

Akun manajemen organisasi tidak harus mengaktifkan CSPM Security Hub untuk menetapkan akun administrator CSPM Security Hub yang didelegasikan.

Kami menyarankan agar akun manajemen organisasi bukan akun administrator CSPM Security Hub yang didelegasikan. Namun, jika Anda memilih akun manajemen organisasi sebagai administrator yang didelegasikan CSPM Security Hub, akun manajemen harus mengaktifkan CSPM Security Hub. Jika akun manajemen tidak mengaktifkan Security Hub CSPM, Anda harus mengaktifkan Security Hub CSPM untuk itu secara manual. CSPM Security Hub tidak dapat diaktifkan secara otomatis untuk akun manajemen organisasi.

Anda harus menunjuk administrator CSPM Security Hub yang didelegasikan menggunakan salah satu metode berikut. Menunjuk administrator CSPM Security Hub yang didelegasikan dengan Organizations APIs tidak tercermin dalam Security Hub CSPM.

Pilih metode yang Anda inginkan, dan ikuti langkah-langkah untuk menetapkan akun administrator CSPM Security Hub yang didelegasikan.

Security Hub CSPM console
Untuk menunjuk administrator yang didelegasikan saat melakukan orientasi

  1. Buka konsol AWS Security Hub Cloud Security Posture Management (CSPM) di. https://console.aws.amazon.com/securityhub/

  2. Pilih Buka Security Hub CSPM. Anda diminta untuk masuk ke akun manajemen organisasi.

  3. Pada halaman Tentukan administrator yang didelegasikan, di bagian Akun administrator yang didelegasikan, tentukan akun administrator yang didelegasikan. Sebaiknya pilih administrator yang didelegasikan sama yang telah Anda tetapkan untuk layanan AWS keamanan dan kepatuhan lainnya.

  4. Pilih Setel administrator yang didelegasikan. Anda diminta untuk masuk ke akun administrator yang didelegasikan (jika belum) untuk melanjutkan orientasi dengan konfigurasi pusat. Jika Anda tidak ingin memulai konfigurasi pusat, pilih Batal. Administrator yang didelegasikan Anda disetel, tetapi Anda belum menggunakan konfigurasi pusat.

Untuk menunjuk administrator yang didelegasikan dari halaman Pengaturan

  1. Buka konsol AWS Security Hub Cloud Security Posture Management (CSPM) di. https://console.aws.amazon.com/securityhub/

  2. Di panel navigasi CSPM Security Hub, pilih Pengaturan. Kemudian pilih Umum.

  3. Jika akun administrator CSPM Security Hub saat ini ditetapkan, maka sebelum Anda dapat menunjuk akun baru, Anda harus menghapus akun saat ini.

    Di bawah Administrator Delegasi, untuk menghapus akun saat ini, pilih Hapus.

  4. Masukkan ID akun akun yang ingin Anda tetapkan sebagai akun administrator CSPM Security Hub.

    Anda harus menetapkan akun administrator CSPM Security Hub yang sama di semua Wilayah. Jika Anda menetapkan akun yang berbeda dari akun yang ditunjuk di Wilayah lain, konsol akan mengembalikan kesalahan.

  5. Pilih Delegasikan.

Security Hub CSPM API, AWS CLI

Dari akun manajemen organisasi, gunakan EnableOrganizationAdminAccountpengoperasian Security Hub CSPM API. Jika Anda menggunakan AWS CLI, jalankan enable-organization-admin-accountperintah. Berikan Akun AWS ID administrator CSPM Security Hub yang didelegasikan.

Contoh berikut menunjuk administrator CSPM Security Hub yang didelegasikan. Contoh ini diformat untuk Linux, macOS, atau Unix, dan menggunakan karakter garis miring terbalik (\) untuk meningkatkan keterbacaan.

$ aws securityhub enable-organization-admin-account --admin-account-id 123456789012