本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 启用 Security Hub CSPM
<a name="securityhub-settingup"></a>

有两种方法可以启用 Sec AWS urity Hub CSPM，即与集成 AWS Organizations 或手动集成。

在多账户和多区域环境中，我们强烈建议与 Organizations 集成。如果您有独立账户，则需要手动设置 Security Hub CSPM。

## 确认必要的权限
<a name="securityhub-setup-permissions"></a>

在注册 Amazon Web Services（AWS）之后，您必须启用 Security Hub CSPM 才能使用其功能和特性。要使用 Security Hub CSPM，您必须设置权限来允许访问 Security Hub CSPM 控制台和 API 操作。为此，您或您的 AWS 管理员可以使用 AWS Identity and Access Management (IAM) 将名为的 AWS 托管策略附加`AWSSecurityHubFullAccess`到您的 IAM 身份。

要通过 Organizations 集成启用和管理 Security Hub CSPM，还应附加名为的 AWS 托管策略。`AWSSecurityHubOrganizationsAccess`

有关更多信息，请参阅 [AWS Security Hub 的托管策略](security-iam-awsmanpol.md)。

## 启用 Security Hub CSPM 与 Organizations 的集成
<a name="securityhub-orgs-setup-overview"></a>

要开始使用 Security Hub CSPM AWS Organizations，组织的 AWS Organizations 管理账户需要将一个账户指定为该组织委派的 Security Hub CSPM 管理员帐户。Security Hub CSPM 会在当前区域的委派管理员账户中自动启用。

选择您的首选方法，然后按照步骤指定委派管理员账户。

------
#### [ Security Hub CSPM console ]

**在注册时指定 Security Hub CSPM 委派管理员**

1. 打开 S AWS ecurity Hub CSPM 控制台，网址为。[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. 选择**转到 Security Hub CSPM**。系统会提示您登录到组织管理账户。

1. 在**指定委派管理员**页面的**委派管理员账户**部分，指定委派管理员账户。我们建议选择您为其他 AWS 安全与合规服务设置的相同委派管理员。

1. 选择**设置委派管理员**。

------
#### [ Security Hub CSPM API ]

从组织管理账户调用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_EnableOrganizationAdminAccount.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_EnableOrganizationAdminAccount.html) API。提供 Security Hub CSPM 委派管理员账户的 AWS 账户 ID。

------
#### [ AWS CLI ]

从 Organizations 管理账户运行 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-organization-admin-account.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-organization-admin-account.html) 命令。提供 Security Hub CSPM 委派管理员账户的 AWS 账户 ID。

**命令示例：**

```
aws securityhub enable-organization-admin-account --admin-account-id 777788889999
```

------

有关与 Organizations 集成的更多信息，请参阅[将 Security Hub CSPM 与 AWS Organizations](designate-orgs-admin-account.md)。

### 中心配置
<a name="securityhub-central-config"></a>

在集成 Security Hub CSPM 和 Organizations 时，您可以选择使用一项名为[中心配置](central-configuration-intro.md)的功能来为组织设置和管理 Security Hub CSPM。我们强烈建议使用中心配置，因为其可让管理员为组织自定义安全范围。在适当情况下，委派管理员可以允许成员账户配置自己的安全范围设置。

中央配置允许授权的管理员跨账户、 OUs和配置 Security Hub CSPM。 AWS 区域委派管理员通过创建配置策略来配置 Security Hub CSPM。在配置策略中，您可以指定以下设置：
+ 启用还是禁用 Security Hub CSPM
+ 哪些安全标准已启用和禁用
+ 哪些安全控件已启用和禁用
+ 是否自定义所选控件的参数

作为委托管理员，您可以为整个组织创建单一的配置策略，也可以为不同的账户创建不同的配置策略 OUs。例如，测试账户和生产账户可以使用不同的配置策略。

使用配置策略的成员账户是*集中管理*的，只能由授权的管理员进行配置。 OUs 授权的管理员可以将特定的成员帐户指定 OUs 为*自我管理*帐户，从而使成员能够 Region-by-Region根据需要配置自己的设置。

如果您不使用中心配置，则必须主要在每个账户和区域中单独配置 Security Hub CSPM。这称为[本地配置](local-configuration.md)。在本地配置下，委派管理员可以在当前区域的新组织账户中自动启用 Security Hub CSPM 和一组有限的安全标准。本地配置不适用于现有组织账户或当前区域以外的其他区域。本地配置也不支持使用配置策略。

## 手动启用 Security Hub CSPM
<a name="securityhub-manual-setup-overview"></a>

如果您有独立账户或未与集成，则必须手动启用 Security Hub CSPM。 AWS Organizations独立账户无法集成 AWS Organizations ，必须使用手动启用。

手动启用 Security Hub CSPM 时，您可以指定一个 Security Hub CSPM 管理员账户并邀请其他账户成为成员账户。当潜在成员账户接受邀请时，管理员与成员的关系即已建立。

选择您喜欢的方法，然后按照以下步骤启用 Security Hub CSPM。从控制台中启用 Security Hub CSPM 时，您还可以选择启用支持的安全标准。

------
#### [ Security Hub CSPM console ]

1. 打开 S AWS ecurity Hub CSPM 控制台，网址为。[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1.  首次打开 Security Hub CSPM 控制台时，选择**前往 Security Hub CSPM**。

1. 在欢迎页面上，**安全标准**部分列出了 Security Hub CSPM 支持的安全标准。

   选中标准的复选框即可将其启用，取消选中该复选框即可将其禁用。

   您可以随时启用或禁用标准或其各个控制。有关管理安全标准的信息，请参阅[了解 Security Hub CSPM 中的安全标准](standards-view-manage.md)。

1. 选择**启用 Security Hub**。

------
#### [ Security Hub CSPM API ]

调用 [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_EnableSecurityHub.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_EnableSecurityHub.html) API。从 API 中启用 Security Hub CSPM 时，它会自动启用以下默认安全标准：
+ AWS 基础安全最佳实践
+ 互联网安全中心 (CIS) AWS 基金会基准测试 v1.2.0

如果您不想启用这些标准，请将 `EnableDefaultStandards` 设置为 `false`。

您也可以使用 `Tags` 参数为 hub 资源分配标签值。

------
#### [ AWS CLI ]

运行 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-security-hub.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-security-hub.html) 命令。要启用默认标准，请包括 `--enable-default-standards`。若不启用默认标准，请包括 `--no-enable-default-standards`。默认安全标准如下：
+ AWS 基础安全最佳实践
+ 互联网安全中心 (CIS) AWS 基金会基准测试 v1.2.0

```
aws securityhub enable-security-hub [--tags {{<tag values>}}] [--enable-default-standards | --no-enable-default-standards]
```

**示例**

```
aws securityhub enable-security-hub --enable-default-standards --tags '{"Department": "Security"}'
```

------

### 多账户启用脚本
<a name="securityhub-enable-multiaccount-script"></a>

**注意**  
我们建议不要使用此脚本，而是使用中心配置在多个账户和区域中启用和配置 Security Hub CSPM。

中的 S [ecurity Hub CSPM 多账户启用脚本 GitHub允许您跨账户和地区](https://github.com/awslabs/aws-securityhub-multiaccount-scripts)启用 Security Hub CSPM。该脚本还自动执行向成员账户发送邀请并启用 AWS Config的流程。

该脚本会自动为所有区域的所有资源（包括全球资源）启用 AWS Config 资源记录。它不会将全局资源的记录限制在单个区域。为了节省成本，我们建议仅在一个区域内记录全局资源。如果您使用中心配置或跨区域聚合，则这应是您的主区域。有关更多信息，请参阅 [在中录制资源 AWS Config](securityhub-setup-prereqs.md#config-resource-recording)。

有一个相应的脚本可以跨账户和区域禁用 Security Hub CSPM。

## 后续步骤：状况管理和集成
<a name="securityhub-enable-next-steps"></a>

启用 Security Hub CSPM 后，我们建议启用安全标准和控件以监控您的安全状况。启用控制后，Security Hub CSPM 开始运行安全检查并生成控制结果，以帮助您检测环境中的错误配置。 AWS 要接收控制结果，必须启用和配置 S AWS Config ecurity Hub CSPM。有关更多信息，请参阅 [为 Security Hub CSPM 启用和配置 AWS Config](securityhub-setup-prereqs.md)。

启用 Security Hub CSPM 后，你还可以利用 Security Hub CSPM 与其他 AWS 服务 和第三方解决方案之间的集成，在 Security Hub CSPM 中查看他们的发现。Security Hub CSPM 聚合了来自不同来源的调查发现，并以一致的格式提取它们。有关更多信息，请参阅 [了解 Security Hub CSPM 中的集成](securityhub-findings-providers.md)。