本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用 AWS Organizations 管理多个账户的 Security Hub CSPM
您可以将 AWS Security Hub CSPM 与 AWS Organizations 集成,然后为组织中的账户管理 Security Hub CSPM。
要将 Security Hub CSPM 与 AWS Organizations 集成,您需要在 AWS Organizations 中创建一个组织。Organizations 管理账户会将一个账户指定为该组织的 Security Hub CSPM 委派管理员。然后,委派管理员可以为组织中的其他账户启用 Security Hub CSPM,将这些账户添加为 Security Hub CSPM 成员账户,并对成员账户采取允许的操作。Security Hub CSPM 委派管理员可以为多达 1 万个成员账户启用和管理 Security Hub CSPM。
委托管理员的配置能力范围取决于您是否使用中心配置。启用中心配置后,您无需在每个成员账户和 AWS 区域中单独配置 Security Hub CSPM。委派管理员可以在各区域的指定成员账户和组织单元 (OU) 中强制执行特定的 Security Hub CSPM 设置。
Security Hub CSPM 委派管理员账户可以对成员账户执行以下操作:
-
如果使用中心配置,请通过创建 Security Hub CSPM 配置策略来为成员账户和 OU 集中配置 Security Hub CSPM。配置策略可用于启用和禁用 Security Hub CSPM、启用和禁用标准以及启用和禁用控件。
-
在将新账户加入组织时,自动将其视为 Security Hub CSPM 成员账户。如果您使用中心配置,则与 OU 关联的配置策略包括属于 OU 的现有账户和新账户。
-
将现有组织账户视为 Security Hub CSPM 成员账户。如果您使用中心配置,这种情况会自动出现。
-
取消关联属于该组织的成员账户。如果您使用中心配置,则只有在将成员账户指定为自行管理之后,才能取消其关联。或者,您可以将禁用 Security Hub CSPM 的配置策略与特定的集中管理的成员账户相关联。
如果您不选择中心配置,则组织会使用称为本地配置的默认配置类型。在本地配置下,委托管理员在成员账户中强制设置的能力将更为有限。有关更多信息,请参阅 了解 Security Hub CSPM 中的本地配置。
有关委托管理员可以对成员账户执行的操作的完整列表,请参阅Security Hub CSPM 中管理员和成员账户可以执行的操作。
本节中的主题说明了如何将 Security Hub CSPM 与 AWS Organizations 集成,以及如何为组织中的账户管理 Security Hub CSPM。在相关时,每个部分都确定了中心配置用户在管理方面的好处和差异。
主题
