启用 Security Hub - AWS Security Hub
为组织启用 Security Hub在独立账户中启用 Security Hub

启用 Security Hub

注意

Security Hub 目前为预览版,可能会发生变化。

您可以为任何 AWS 账户启用 Security Hub。本主题中的过程介绍如何从 AWS 组织管理账户、委派管理员账户和独立账户启用 Security Hub。

为组织启用 Security Hub

此部分包括三个步骤。在步骤 1 中,AWS 组织管理账户启用 Security Hub,为其组织指定委派管理员,并创建委派管理员策略。在步骤 2 中,组织的委派管理员启用 Security Hub。在步骤 3 中,组织的委派管理员创建一项策略来为组织中的所有成员账户启用 Security Hub。

第 1 步:在 AWS 组织管理账户中启用 Security Hub

此步骤包括两个过程。第一个过程介绍如果您启用了 Security Hub CSPM 并在 Security Hub CSPM 中指定委派管理员,则如何启用 Security Hub。第二个过程介绍如果您未启用 Security Hub CSPM 并在 Security Hub CSPM 中指定委派管理员,则如何启用 Security Hub。在这两个过程中,如果跳过指定委派管理员的步骤,则必须跳过创建委派管理员策略的步骤。只有在指定了委派管理员之后,才能创建委派管理员策略。有关在 Security Hub 中指定委派管理员的信息,请参阅 Designating a delegated administrator account in Security Hub。有关在 Security Hub 中创建委派管理员策略的信息,请参阅 Creating the delegated administrator policy in Security Hub

Enable Security Hub with Security Hub CSPM

此过程假定 AWS 组织管理账户之前已启用 Security Hub CSPM,并在 Security Hub CSPM 中指定了委派管理员。

要启用 Security Hub

  1. 使用您的 AWS 组织管理账户凭证登录您的 AWS 账户。通过以下网址 https://console.aws.amazon.com/securityhub/v2/home 打开 Security Hub 控制台。

  2. 在 Security Hub 主页上,选择 Security Hub,然后选择开始使用

  3. (可选)对于委派管理员账户,请根据提供的选项选择管理员账户。最佳做法是,建议对所有安全服务使用相同的委派管理员以实现一致的管理。

  4. (可选)对于账户启用,请选中复选框以为您的 AWS 账户启用 Security Hub。

  5. (可选)对于委派管理员策略,请选择以下选项之一来添加策略语句。

    1. (选项 1)选择为我更新此项。选中策略语句下方的框,以确认 Security Hub 将自动创建向委派管理员授予所有必需权限的委派策略。

    2. (选项 2)选择我想手动附加此项。选择复制并附加。在 AWS Organizations 控制台的 AWS Organizations 的委派管理员下,选择委派,然后将资源策略粘贴到委派策略编辑器中。选择创建策略。打开您当前在 Security Hub 控制台中的选项卡。

  6. 选择 配置

Enable Security Hub without Security Hub CSPM

此过程假定 AWS 组织管理账户之前未启用 Security Hub CSPM,并在 Security Hub CSPM 中指定了委派管理员。

要启用 Security Hub

  1. 使用您的组织管理账户凭证登录您的 AWS 账户,然后打开 Security Hub 控制台,网址为 https://console.aws.amazon.com/securityhub/v2/home

  2. 在 Security Hub 主页上,选择 Security Hub,然后选择开始使用

  3. (可选)对于委派管理员,请选择提供的 AWS 账户 账户之一或选择一个账户。如果您选择选择一个账户,请输入要在 Security Hub 中指定为委派管理员的 AWS 账户 账户的 12 位数字。

  4. (可选)对于账户启用,请选中复选框以为您的 AWS 账户启用 Security Hub。

  5. (可选)对于委派管理员策略,请选择以下选项之一来添加策略语句:

    1. (选项 1)选择为我更新此项。选中策略语句下方的框,以确认 Security Hub 将自动创建向委派管理员授予所有必需权限的委派策略。

    2. (选项 2)选择我想手动附加此项。选择复制并附加。在 AWS Organizations 控制台的 AWS Organizations 的委派管理员下,选择委派,然后将资源策略粘贴到委派策略编辑器中。选择创建策略。打开您当前在 Security Hub 控制台中的选项卡。

  6. 选择 配置

启用 Security Hub 后,将在您的账户中创建一个名为 AWSServiceRoleForSecurityHubV2 的服务相关角色和一个服务相关记录器。服务相关记录器是一种由 AWS 服务管理的 AWS Config 记录器,它可以记录特定于服务的资源的配置数据。借助服务相关记录器,Security Hub 可以采用事件驱动的方法来获取暴露分析覆盖范围和报告资源清单所需的资源配置项。每个 AWS 账户和 AWS 区域都配置一个服务相关记录器。有关更多信息,请参阅 Considerations for service-linked configuration recorders

第 2 步:在委派管理员账户中启用 Security Hub

此步骤由委派管理员完成。AWS 组织管理账户为其组织指定委派管理员后,委派管理员必须启用 Security Hub。

在委派管理员账户中启用 Security Hub

  1. 使用您的委派管理员凭证登录您的 AWS 账户。通过以下网址 https://console.aws.amazon.com/securityhub/v2/home 打开 Security Hub 控制台。

  2. 在 Security Hub 主页上,选择 Security Hub,然后选择开始使用

  3. 请选择启用

  4. (可选)对于标签,确定是否在账户设置中添加键值对。

  5. 选择转到 Security Hub

启用 Security Hub 后,将在您的账户中创建一个名为 AWSServiceRoleForSecurityHubV2 的服务相关角色和一个服务相关记录器。服务相关记录器是一种由 AWS 服务管理的 AWS Config 记录器,它可以记录特定于服务的资源的配置数据。借助服务相关记录器,Security Hub 可以采用事件驱动的方法来获取暴露分析覆盖范围和报告资源清单所需的资源配置项。每个 AWS 账户和 AWS 区域都配置一个服务相关记录器。有关更多信息,请参阅 Considerations for service-linked configuration recorders

第 3 步:创建一个策略以在所有成员账户中启用 Security Hub

此步骤由委派管理员完成。在组织的委派管理员启用 Security Hub 后,必须创建一个策略来定义组织中的哪些成员账户已启用和已禁用。有关更多信息,请参阅以委派管理员身份创建策略来管理成员账户

在独立账户中启用 Security Hub

此过程介绍了如何在独立账户中启用 Security Hub。独立账户是指尚未启用 AWS 账户的 AWS 账户。

在独立账户中启用 Security Hub

  1. 使用您的独立账户凭证登录您的 AWS 账户。通过以下网址 https://console.aws.amazon.com/securityhub/v2/home 打开 Security Hub 控制台。

  2. 在 Security Hub 主页上,选择 Security Hub,然后选择开始使用

  3. 请选择启用

启用 Security Hub 后,将在您的账户中创建一个名为 AWSServiceRoleForSecurityHubV2 的服务相关角色和一个服务相关记录器。服务相关记录器是一种由 AWS 服务管理的 AWS Config 记录器,它可以记录特定于服务的资源的配置数据。借助服务相关记录器,Security Hub 可以采用事件驱动的方法来获取暴露分析覆盖范围和报告资源清单所需的资源配置项。每个 AWS 账户和 AWS 区域都配置一个服务相关记录器。有关更多信息,请参阅 Considerations for service-linked configuration recorders