集中管理目标与自我管理目标 - AWS Security Hub
配置自行管理账户中的设置的选项选择管理类型

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

集中管理目标与自我管理目标

启用集中配置后,委派的 Sec AWS urity Hub Cloud 安全态势管理 (CSPM) 管理员可以将每个组织帐户、组织单位 (OU) 和根目录指定为集中管理或自我管理目标的管理类型决定了如何指定其 Security Hub CSPM 设置。

有关中心配置的好处及其工作原理的背景信息,请参阅了解 Security Hub CSPM 中的中心配置

本节说明了集中管理和自行管理的指定之间的区别,以及如何选择账户、OU 或根的管理类型。

自行管理

自我管理账户的所有者、OU 或 root 用户必须在每个 AWS 区域账户中分别配置其设置。委托管理员无法为自行管理目标创建配置策略。

集中管理

只有授权的 Security Hub CSPM 管理员才能为集中管理的账户配置设置 OUs,或者为主区域和关联区域的根账户配置设置。配置策略可以与集中管理的账户相关联,以及 OUs。

委托管理员可以在自行管理和集中管理之间切换目标的状态。默认情况下,当您通过 Security Hub CSPM API 启动集中配置时,所有账户和 OU 都是自行管理的。在控制台中,管理类型取决于您的第一个配置策略。您与 OUs 第一份保单关联的账户将进行集中管理。默认情况下,其他账户和账户 OUs 是自行管理的。

如果您将配置策略与之前的自我管理账户相关联,则策略设置将覆盖自我管理的指定。账户将变成集中管理,并采用配置策略中反映的设置。

如果您将集中管理的账户更改为自行管理的账户,则之前通过配置策略应用于该账户的设置将保持不变。例如,集中管理的账户最初可能与启用 Security Hub CSPM、启用 AWS 基础安全最佳实践和禁用 .1 的策略相关联。 CloudTrail如果您随后将该账户指定为自我管理,则所有设置均保持不变。但是,账户所有者今后可以独立更改账户的设置。

子账号, OUs 可以继承自我管理的家长的自我管理行为,就像子女账户一样, OUs 可以继承集中管理的家长的配置策略。有关更多信息,请参阅 通过应用和继承进行策略关联

自行管理账户或 OU 不能从父节点或根继承配置策略。例如,如果您希望组织 OUs 中的所有账户都从根目录继承配置策略,则必须将自我管理节点的管理类型更改为集中管理。

配置自行管理账户中的设置的选项

自行管理账户必须在每个区域单独配置自己的设置。

自行管理账户的所有者可以在每个区域调用 Security Hub CSPM API 的以下操作来配置其设置:

  • EnableSecurityHubDisableSecurityHub要启用或禁用 Security Hub CSPM 服务(如果自我管理的账户有委托的 Security Hub CSPM 管理员,则管理员必须先取消关联该帐户,然后账户所有者才能禁用 Security Hub CSPM)。

  • BatchEnableStandardsBatchDisableStandards,启用或禁用标准

  • BatchUpdateStandardsControlAssociationsUpdateStandardsControl,启用或禁用控件

自行管理账户也可以使用 *Invitations*Members 操作。但是,我们不建议自行管理账户使用这些操作。如果成员账户的成员与委托管理员属于不同的组织,则策略关联可能会失败。

有关 Security Hub CSPM API 操作的描述,请参阅 Sec AWS urity Hub 云安全态势管理 (CSPM) API 参考。

自行管理的账户也可以使用 Security Hub CSPM 控制台或在 AWS CLI 每个区域配置其设置。

自管理账户无法调用任何 APIs 与 Security Hub CSPM 配置策略和策略关联相关的账户。只有授权的管理员才能调用中央配置 APIs 并使用配置策略来配置集中管理的帐户。

选择目标的管理类型

选择您的首选方法,然后按照步骤在 Security Hub Cloud AWS 安全态势管理 (CSPM) 中将账户或 OU 指定为集中管理或自行管理。

Security Hub CSPM console
要选择账户和 OU 的管理类型

  1. 打开 Sec AWS urity Hub 云安全态势管理 (CSPM) 控制台,网址为。https://console.aws.amazon.com/securityhub/

    使用主区域中委托的 Security Hub CSPM 管理员账户的凭据登录。

  2. 选择配置

  3. 组织选项卡上,选择目标账户或 OU。选择编辑

  4. 定义配置页面上,对于管理类型,如果您希望委托管理员配置目标账户或 OU,请选择集中管理。然后,如果要将现有配置策略与目标关联,请选择应用特定策略。如果希望目标继承最接近父级的配置,请选择从我的组织继承。如果希望账户或 OU 配置自己的设置,请选择自行管理

  5. 选择下一步。检查更改,然后选择保存

Security Hub CSPM API
要选择账户和 OU 的管理类型

  1. 从本地区域的 Security Hub CSPM 委托管理员账户调用 StartConfigurationPolicyAssociationAPI。

  2. 对于 ConfigurationPolicyIdentifier 字段,如果希望账户或 OU 控制其自己的设置,请提供 SELF_MANAGED_SECURITY_HUB。如果希望委托管理员控制账户或 OU 的设置,请提供相关配置策略的 Amazon 资源名称(ARN)或 ID。

  3. 在该Target字段中,提供要更改其管理类型的目标的 ID、OU ID 或根 ID。 AWS 账户 这会将自行管理行为或指定的配置策略与目标关联。目标的子账户可继承自行管理行为或配置策略。

指定自行管理账户的 API 请求示例:

{
    "ConfigurationPolicyIdentifier": "SELF_MANAGED_SECURITY_HUB",
    "Target": {"AccountId": "123456789012"}
}
AWS CLI
要选择账户和 OU 的管理类型

  1. 从本地区域的 Security Hub CSPM 委托管理员帐户运行start-configuration-policy-association命令。

  2. 对于 configuration-policy-identifier 字段,如果希望账户或 OU 控制其自己的设置,请提供 SELF_MANAGED_SECURITY_HUB。如果希望委托管理员控制账户或 OU 的设置,请提供相关配置策略的 Amazon 资源名称(ARN)或 ID。

  3. 在该target字段中,提供要更改其管理类型的目标的 ID、OU ID 或根 ID。 AWS 账户 这会将自行管理行为或指定的配置策略与目标关联。目标的子账户可继承自行管理行为或配置策略。

指定自行管理账户的命令示例:

aws securityhub --region us-east-1 start-configuration-policy-association \
--configuration-policy-identifier "SELF_MANAGED_SECURITY_HUB" \
--target '{"AccountId": "123456789012"}'