管理 AWS 组织中成员账户的配置 - AWS Security Hub
Security Hub 配置目录启用具有某种策略类型的配置启用具有某种部署类型的配置编辑配置策略删除配置策略

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

管理 AWS 组织中成员账户的配置

AWS 组织的委派管理员可以跨成员账户和区域配置安全功能。有两种类型的配置可用,即策略部署策略为 Sec AWS urity Hub 和 Amazon Inspector 的账户和区域生成 AWS 组织政策。部署是一次性操作,用于在 Amazon 和 Security Hub CSPM 的选定账户 GuardDuty 和区域中启用 AWS 安全功能。与策略不同,您无法查看或编辑部署,部署也不适用于新启用的账户。作为替代方案,亚马逊 GuardDuty 和Sec AWS urity Hub CSPM中提供了针对新成员账户的自动启用功能。

Security Hub 配置目录

Security Hub 的配置目录提供了多个选项,可帮助配置您的 AWS 组织帐户以使用提供的安全功能。

以下是 Security Hub 配置目录中可用的选项。

Security Hub(基本功能和附加功能)

这是为 Security Hub 部署的推荐配置。

类型:策略和部署

描述:此配置启用 Security Hub 的基本安全管理、状态管理、威胁分析和漏洞管理功能。它可以选择启用其他功能。

威胁分析来自 GuardDuty

类型:部署

描述:开启所选 Amazon GuardDuty 功能,持续监控、分析和处理 AWS 环境中的 AWS 数据源和日志。

来自 Sec AWS urity Hub 的状态管理 (CSPM)

类型:部署

描述:此配置启用 Security Hub CSPM 的标准和控件,这些标准和控件可检测您的 AWS 账户和资源何时偏离安全最佳实践。

Amazon Inspector 提供的漏洞管理

类型:政策

描述:此配置开启选定的 Amazon Inspector 功能,这些功能可自动发现工作负载、实例、容器映像等,并扫描它们是否存在漏洞和网络暴露。

启用具有某种策略类型的配置

以下过程介绍如何使用 AWS 组织账户的策略类型创建配置。要创建配置策略,需要在 AWS 组织管理账户中创建委派管理员策略。有关在 Security Hub 中创建委派管理员策略的信息,请参阅在 Security Hub 中创建委派管理员策略

创建启用和禁用成员账户的策略

  1. 使用带有委派管理员凭证的 AWS 账户登录。在 https://console.aws.amazon.com/securityhub/v2/ home 中打开 Security Hub 控制台。

  2. 从导航窗格中选择 “管理”,然后选择 “配置”。

  3. 从配置目录中选择一个具有策略策略类型的项目并进行部署。要完全配置 Security Hub,建议选择 Sec urity Hub(基本功能和附加功能)

  4. 在 “配置 Security Hub” 页面的 “详细信息” 部分,输入策略的名称和描述。

  5. 在 “安全功能” 部分中,执行以下任一操作:

    1. (选项 1)选择 “启用所有功能”。这将启用 Security Hub 的所有基本功能、威胁分析和其他功能。

    2. (选项 2)选择 “自定义功能”。选择应开启的威胁分析和其他功能。您不能取消选择 Security Hub 基本计划功能中的任何功能。

  6. 账户选择部分,选择以下选项之一。如果要将配置应用于所有组织单位和帐户,请选择 “所有组织单位和帐户”。如果要将配置应用于特定的组织单位和帐户,请选择 “特定组织单位和帐户”。如果您选择此选项,请使用搜索栏或组织结构树来指定将应用该策略的组织单元和账户。如果您不想将配置应用于任何组织单位或帐户,请选择无组织单位或帐户。

  7. 在 “区域” 部分,选择 “启用所有区域”、“禁用所有区域” 或 “指定区域”。如果您选择启用所有区域,则可以决定是否自动启用新区域。如果您选择禁用所有区域,则可以决定是否自动禁用新区域。如果选择指定区域,则必须选择要启用和禁用的区域。

  8. (可选)有关高级设置,请参阅中的指南 AWS Organizations。

  9. (可选)对于资源标签,将标签添加为键值对,以帮助您轻松识别配置。

  10. 选择下一步

  11. 查看您的更改,然后选择应用。您的目标账户是根据策略进行配置的。您的策略的配置状态将显示在 “策略” 页面的顶部。每项功能都将显示其是否已配置或部署失败的状态。对于任何故障,请单击失败消息链接以查看更多详细信息。要查看账户级别的有效策略,您可以查看配置页面上的组织选项卡,可以在其中选择一个账户。

启用具有某种部署类型的配置

以下过程介绍如何为您的 AWS 组织账户创建具有部署类型的配置。

创建启用和禁用成员帐户的部署

  1. 使用带有委派管理员凭证的 AWS 账户登录。在 https://console.aws.amazon.com/securityhub/v2/ home 中打开 Security Hub 控制台。

  2. 从导航窗格中选择 “管理”,然后选择 “配置”。

  3. 从配置目录中选择具有部署类型的项目。要完全配置 Security Hub,建议选择 Sec urity Hub(基本功能和附加功能)

  4. 在 “安全功能” 部分中,选择应开启的安全功能。

  5. 账户选择部分,选择以下选项之一。如果要将配置应用于所有组织单位和帐户,请选择 “所有组织单位和帐户”。如果要将配置应用于特定的组织单位和帐户,请选择 “特定组织单位和帐户”。如果您选择此选项,请使用搜索栏或组织结构树来指定将应用该策略的组织单元和账户。如果您不想将配置应用于任何组织单位或帐户,请选择无组织单位或帐户。

  6. 在 “区域” 部分,选择 “启用所有区域”、“禁用所有区域” 或 “指定区域”。如果您选择启用所有区域,则可以决定是否自动启用新区域。如果您选择禁用所有区域,则可以决定是否自动禁用新区域。如果选择指定区域,则必须选择要启用和禁用的区域。

  7. 选择配置

编辑配置策略

您可以编辑与具有某种策略类型的配置关联的权能、区域和账户。

以下内容介绍如何在 Security Hub 中编辑配置策略

要创建,请编辑配置策略

  1. 使用带有委派管理员凭证的 AWS 账户登录。在 https://console.aws.amazon.com/securityhub/v2/ home 中打开 Security Hub 控制台。

  2. 从导航窗格中选择 “管理”,然后选择 “配置”。

  3. 在 “已配置的策略” 选项卡中,选择要编辑的策略的单选按钮。选择 “编辑”

  4. 要在 “账户选择” 部分进行更改,请选择以下选项之一。如果要将配置应用于所有组织单位和帐户,请选择 “所有组织单位和帐户”。如果要将配置应用于特定的组织单位和帐户,请选择 “特定组织单位和帐户”。如果您选择此选项,请使用搜索栏或组织结构树来指定将应用该策略的组织单元和账户。如果您不想将配置应用于任何组织单位或帐户,请选择无组织单位或帐户。

  5. 要在 “区域” 部分进行更改,请选择 “启用所有区域”、“禁用所有区域” 或 “指定区域”。如果您选择启用所有区域,则可以决定是否自动启用新区域。如果您选择禁用所有区域,则可以决定是否自动禁用新区域。如果选择指定区域,则必须选择要启用和禁用的区域。

  6. 选择下一步

  7. 查看您的更改,然后选择更新。您的目标账户是根据策略进行配置的。

删除配置策略

您可以删除您拥有某种策略的配置。删除政策后,所有关联的账户和组织单位都将从该政策中删除。

下面介绍如何在 Security Hub 中删除配置策略。

要创建,请删除配置策略

  1. 使用带有委派管理员凭证的 AWS 账户登录。在 https://console.aws.amazon.com/securityhub/v2/ home 中打开 Security Hub 控制台。

  2. 从导航窗格中选择 “管理”,然后选择 “配置”。

  3. 在 “已配置的策略” 选项卡中,选择要编辑的策略的单选按钮。选择删除按钮。

  4. 在确认框中键入删除。选择 “删除”