Mengelola akun administrator dan anggota di Security Hub CSPM - AWS Security Hub
Mengelola akun dengan AWS OrganizationsMengelola akun secara manual dengan undangan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengelola akun administrator dan anggota di Security Hub CSPM

Jika AWS lingkungan Anda memiliki beberapa akun, Anda dapat memperlakukan akun yang menggunakan AWS Security Hub Cloud Security Posture Management (CSPM) sebagai akun anggota dan mengaitkannya dengan satu akun administrator. Administrator dapat memantau postur keamanan Anda secara keseluruhan dan mengambil tindakan yang diizinkan pada akun anggota. Administrator juga dapat melakukan berbagai tugas manajemen akun dan administrasi dalam skala besar, seperti memantau perkiraan biaya penggunaan dan menilai kuota akun.

Anda dapat mengaitkan akun anggota dengan administrator dalam dua cara, dengan mengintegrasikan Security Hub CSPM dengan AWS Organizations atau dengan mengirim dan menerima undangan keanggotaan secara manual di Security Hub CSPM.

Mengelola akun dengan AWS Organizations

AWS Organizations adalah layanan manajemen akun global yang memungkinkan AWS administrator untuk mengkonsolidasikan dan mengelola beberapa. Akun AWS Ini menyediakan manajemen akun dan fitur penagihan terkonsolidasi yang dirancang untuk mendukung kebutuhan anggaran, keamanan, dan kepatuhan. Ini ditawarkan tanpa biaya tambahan, dan terintegrasi dengan beberapa Layanan AWS, termasuk AWS Security Hub Cloud Security Posture Management (CSPM), Amazon Macie, dan Amazon. GuardDuty Untuk informasi selengkapnya, silakan lihat Panduan Pengguna AWS Organizations .

Saat Anda mengintegrasikan CSPM Security Hub dan AWS Organizations, akun manajemen Organizations menunjuk administrator yang didelegasikan CSPM Security Hub. Security Hub CSPM secara otomatis diaktifkan di akun administrator yang didelegasikan Wilayah AWS di mana ia ditunjuk.

Setelah menunjuk administrator yang didelegasikan, kami sarankan mengelola akun di Security Hub CSPM dengan konfigurasi pusat. Ini adalah cara paling efisien untuk menyesuaikan Security Hub CSPM dan memastikan cakupan keamanan yang memadai untuk organisasi Anda.

Konfigurasi pusat memungkinkan administrator yang didelegasikan menyesuaikan CSPM Security Hub di beberapa akun organisasi dan Wilayah daripada mengonfigurasi. Region-by-Region Anda dapat membuat kebijakan konfigurasi untuk seluruh organisasi, atau membuat kebijakan konfigurasi yang berbeda untuk akun yang berbeda dan OUs. Kebijakan menentukan apakah CSPM Security Hub diaktifkan atau dinonaktifkan di akun terkait dan standar dan kontrol keamanan mana yang diaktifkan.

Administrator yang didelegasikan dapat menetapkan akun sebagai dikelola secara terpusat atau dikelola sendiri. Akun yang dikelola secara terpusat hanya dapat dikonfigurasi oleh administrator yang didelegasikan. Akun yang dikelola sendiri dapat menentukan pengaturan mereka sendiri.

Jika Anda tidak ikut serta dalam konfigurasi pusat, administrator yang didelegasikan memiliki kemampuan yang lebih terbatas untuk mengonfigurasi CSPM Security Hub, yang disebut konfigurasi lokal. Di bawah konfigurasi lokal, administrator yang didelegasikan dapat secara otomatis mengaktifkan CSPM Security Hub dan standar keamanan default di akun organisasi baru di Wilayah saat ini. Namun, akun yang ada tidak menggunakan pengaturan ini, sehingga penyimpangan konfigurasi dapat terjadi setelah akun bergabung dengan organisasi.

Selain pengaturan akun baru ini, konfigurasi lokal bersifat spesifik akun dan spesifik Wilayah. Setiap akun organisasi harus mengonfigurasi layanan, standar, dan kontrol CSPM Security Hub secara terpisah di setiap Wilayah. Konfigurasi lokal juga tidak mendukung penggunaan kebijakan konfigurasi.

Mengelola akun secara manual dengan undangan

Anda harus mengelola akun anggota secara manual berdasarkan undangan di Security Hub CSPM jika Anda memiliki akun mandiri atau jika Anda tidak berintegrasi dengan Organizations. Akun mandiri tidak dapat diintegrasikan dengan Organizations, jadi Anda perlu mengelolanya secara manual. Kami merekomendasikan untuk mengintegrasikan dengan AWS Organizations dan menggunakan konfigurasi pusat jika Anda menambahkan akun tambahan di masa mendatang.

Saat Anda menggunakan manajemen akun manual, Anda menetapkan akun untuk menjadi administrator CSPM Security Hub. Akun administrator dapat melihat data di akun anggota dan mengambil tindakan tertentu pada temuan akun anggota. Administrator CSPM Security Hub mengundang akun lain untuk menjadi akun anggota, dan hubungan administrator-anggota terbentuk ketika akun calon anggota menerima undangan.

Manajemen akun manual tidak mendukung penggunaan kebijakan konfigurasi. Tanpa kebijakan konfigurasi, administrator tidak dapat menyesuaikan CSPM Security Hub secara terpusat dengan mengonfigurasi setelan variabel untuk akun yang berbeda. Sebagai gantinya, setiap akun organisasi harus mengaktifkan dan mengkonfigurasi CSPM Security Hub untuk dirinya sendiri secara terpisah di setiap Wilayah. Ini dapat membuatnya lebih sulit dan memakan waktu untuk memastikan cakupan keamanan yang memadai di semua akun dan Wilayah tempat Anda menggunakan Security Hub CSPM. Ini juga dapat menyebabkan penyimpangan konfigurasi karena akun anggota dapat menentukan pengaturan mereka sendiri tanpa masukan dari administrator.

Untuk mengelola akun berdasarkan undangan, lihatMengelola akun dengan undangan di Security Hub CSPM.