在 Security Hub 中设置委托管理员账户 - AWS Security Hub

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在 Security Hub 中设置委托管理员账户

注意

Security Hub 处于预览版,可能会发生变化。

通过 AWS 组织管理账户,您可以为组织设置委派管理员。作为最佳实践,我们建议在安全服务中使用相同的委派管理员来实现一致的治理。本节中的过程介绍如何通过两种方式为您的组织设置委派管理员。第一种方法是针对尚未在 S AWS ecurity Hub CSPM 中设置委托管理员的组织管理帐户。第二种方法适用于启用了 Security Hub 但在启用期间跳过设置委托管理员的 AWS 组织管理帐户。

注意事项

您可能会遇到这样的情况:您想为 Security Hub 设置委托管理员,这与 Security Hub CSPM 的委托管理员不同。如果您在 Security Hub CSPM 中设置了委托管理员,请考虑以下事项:

  • 如果将 AWS 组织管理帐户设置为 Security Hub CSPM 的委托管理员,则无法将此帐户设置为 Security Hub 的委托管理员。但是,您可以指定组织 AWS 账户 中的其他人作为 Security Hub 的委派管理员。为了实现跨安全服务的一致监管,我们建议使用与 Security Hub CSPM 和 Security Hub 的委托管理员相同的账户( AWS 组织管理账户除外)。

  • 如果将 AWS 组织管理帐户以外的帐户设置为 Security Hub CSPM 的委托管理员,则该帐户将自动成为 Security Hub 中的委托管理员。在这种情况下,Security Hub 仅允许此特定 AWS 账户 人员担任委托管理员。

注意

如果您使用组织管理账户以外的账户作为 Security Hub CSPM 委托管理员,则通过 Security Hub CSPM 控制台或 Organizations API 将其删除也会将其从 Security Hub 中删除。 AWS 同样,如果您通过 Security Hub 控制台或 AWS Organizations API 移除 Security Hub 委托的管理员,则该管理员将从 Security Hub CSPM 中删除。当委派的管理员从 Security Hub CSPM 中移除后,中央配置将自动选择退出。

以下过程假设您尚未为 Security Hub CSPM 设置委派管理员,而是在为 Security Hub 设置委托管理员。

在 Security Hub 中设置委托管理员

  1. 使用您的组织管理 AWS 帐户凭据登录您的帐户,然后在 https://console.aws.amazon.com/securityhub/v2/ home 上打开 Security Hub 控制台。

  2. 在 Security Hub 主页上,选择 Security Hub,然后选择开始

  3. 委派管理员中,选择配置。在弹出窗口中,输入所需的 12 位 AWS 账户 数字,或选择一个建议的帐户(如果您在其他安全服务中使用委托管理员),将其设置为组织的委派管理员。 AWS 账户 选择保存

  4. (可选)要启用帐户,请选中相应复选框以为您 AWS 账户启用 Security Hub。

  5. 选择 “复制并附加” 以打开组织设置。在 Organizations 控制台中,选择 “派管理员” 下的 “委托” AWS Organizations,然后粘贴资源策略。选择创建策略

  6. 前往 Security Hub 控制台。选择 配置

注意

设置委托管理员后,该账户必须启用 Security Hub 并配置策略以接收来自其成员账户的调查结果。

以下过程假设您启用了 Security Hub,但在启用期间跳过了设置委托管理员的操作。您可以在 Security Hub 控制台的 “常规” 页面中设置委托管理员。

在 Security Hub 控制台的 “常规” 页面中设置委托管理员

  1. 使用您的组织管理 AWS 帐户凭据登录您的帐户,然后在 https://console.aws.amazon.com/securityhub/v2/ home 上打开 Security Hub 控制台。

  2. 从导航窗格中选择 “常规”。

  3. 委派管理员中,选择配置。在弹出窗口中,输入要设置 AWS 账户 为组织委托管理员的 12 位 AWS 账户 数字。或者, AWS 账户 如果您在其他 AWS 安全服务中设置了委派管理员,请选择建议的管理员。选择保存

完成此过程后,您需要复制 Security Hub 的委托策略声明并将其附加到您的委托管理员以获取 AWS Organizations 策略,这样 Security Hub 的委派管理员就可以在 Security Hub 中执行操作。如果没有此策略声明,则委派的管理员无法为您的组织配置 Security Hub。有关更多信息,请参阅附上 Security Hub 的委托策略声明