本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
在新组织账户中自动启用 Security Hub CSPM。
当新账户加入您的组织后,会被添加到 AWS Security Hub CSPM 控制台的账户页面的列表中。对于组织账户,类型为按组织。默认情况下,新账户在加入组织时不会成为 Security Hub CSPM 成员。他们的身份是非成员。当委派管理员账户加入组织后,可以自动添加新账户作为成员,并在这些账户中启用 Security Hub CSPM。
注意
尽管默认为您的 AWS 账户 启用许多 AWS 区域,但您必须手动激活某些区域。在本文档中,这些区域被称为选择加入区域。要在选择加入区域的新账户中自动启用 Security Hub CSPM,则账户必须先激活该区域。只有账户所有者才能激活选择加入区域。有关选择加入区域的更多信息,请参阅 Specify which AWS 区域 your account can use。
根据您使用的是中心配置(推荐)还是本地配置,此过程会有所不同。
自动启用新组织账户(中心配置)
如果您使用中心配置,则可以通过创建启用 Security Hub CSPM 的配置策略,在新的和现有组织账户中自动启用 Security Hub CSPM。然后,您可以将策略与组织根或特定组织单位(OU)相关联。
如果您将启用了 Security Hub CSPM 的配置策略与特定 OU 相关联,则会自动在属于该 OU 的所有账户(现有账户和新账户)中启用 Security Hub CSPM。不属于 OU 的新账户是自行管理的,并且不会自动启用 Security Hub CSPM。如果您将启用了 Security Hub CSPM 的配置策略与根相关联,则会自动在加入组织的所有账户(现有账户和新账户)中启用 Security Hub CSPM。如果一个账户通过应用或继承使用不同的策略,或者是自行管理的,则为例外情况。
在配置策略中,您还可以定义应在 OU 中启用哪些安全标准和控件。要生成针对已启用标准的控制调查发现,OU 中的账户必须已启用 AWS Config 并配置为记录所需资源。有关 AWS Config 记录的更多信息,请参阅启用和配置 AWS Config。
有关创建配置策略的说明,请参阅创建和关联配置策略。
自动启用新组织账户(本地配置)
当您使用本地配置并开启自动启用默认标准时,Security Hub CSPM 会将新组织账户添加为成员,并在当前区域的这些账户中启用 Security Hub CSPM。其他地区均不受影响。此外,开启自动启用不会在现有组织账户中启用 Security Hub CSPM,除非这些账户已添加为成员账户。
开启自动启用后,如果当前区域有新成员账户加入组织,也会为其启用默认安全标准。默认标准是 AWS 基础安全最佳实践(FSBP)和 Center for Internet Security(CIS)AWS 基金会基准 v1.2.0。您不能更改默认标准。如果您想在整个组织中启用其他标准,或者为选定的账户和 OU 启用标准,我们建议使用中心配置。
要生成针对默认标准(和其他已启用的标准)的控制调查发现,组织中的账户必须已启用 AWS Config 并配置为记录所需资源。有关 AWS Config 记录的更多信息,请参阅启用和配置 AWS Config。
选择您喜欢的方法,然后按照步骤在新组织账户中自动启用 Security Hub CSPM。这些说明仅在您使用本地配置时适用。
