本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 启用 Security Hub
<a name="securityhub-v2-enable"></a>

 您可以为任何 AWS 账户启用 Security Hub。本文档的这一部分描述了为 AWS 组织或独立账户启用 Security Hub 所需的所有步骤。

有关如何启用 Security Hub 的简要演示，请观看以下视频：

[![AWS Videos](http://img.youtube.com/vi/https://www.youtube.com/embed/prtnhCfjUpM/0.jpg)](http://www.youtube.com/watch?v=https://www.youtube.com/embed/prtnhCfjUpM)


## 为 AWS 组织启用 Security Hub
<a name="securityhub-v2-enable-management-account"></a>

本节包括三个步骤：
+  在**步骤 1** 中， AWS 组织管理账户为其 AWS 组织指定委派管理员，创建委派管理员策略，并可选择为自己的账户启用 Security Hub。
+  在**步骤 2** 中，组织的委派管理员为自己的账户启用 Security Hub。
+  在**步骤 3** 中，组织的委派管理员为 Security Hub 和其他支持的安全服务配置组织中的所有成员帐户。

### 步骤 1：委派管理员账户，并可选择在 AWS 组织管理账户中启用 Security Hub
<a name="step-1"></a>

**注意**  
 只需在组织管理账户的一个区域中完成此步骤即可。

 为 Security Hub 分配委派管理员帐户时，您可以为委托管理员选择的帐户将取决于您如何为 Security Hub CSPM 配置委派管理员。如果您已为 Security Hub CSPM 配置了委托管理员，并且该帐户不是组织的管理帐户，则该帐户将自动设置为 Security Hub 的委托管理员，并且无法选择其他帐户。如果将 Security Hub CSPM 的委托管理员帐户设置为组织管理帐户或根本未设置，则可以选择哪个帐户将成为您的 Security Hub 委托管理员帐户，但组织管理帐户除外。

 有关在 Security Hub 中指定委派管理员的信息，请参阅[在 Security Hub 中指定委派管理员](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-v2-set-da.html)。有关在 Security Hub 中创建委派管理员策略的信息，请参阅[在 Security Hub 中创建委派管理员策略](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-v2-policy-statement.html)。

**为 Security Hub 指定管理员**

1.  使用您的 AWS 组织管理 AWS 账户凭据登录您的账户。在 [https://console.aws.amazon.com/securityhub/v2/](https://console.aws.amazon.com/securityhub/v2/home) home 中打开 Security Hub 控制台。

1.  在 Security Hub 主页上，选择 **Security Hub**，然后选择**开始使用**。

1.  在 “**授权管理员**” 部分，根据提供的选项选择管理员帐户。最佳做法是，建议对所有安全服务使用相同的委派管理员以实现一致的管理。

1.  选中 “**可信访问**” 复选框。选择此选项可使您的委托管理员帐户能够在成员帐户上配置某些功能，例如 GuardDuty 恶意软件防护。如果您取消选中此选项，Security Hub 将无法代表您启用这些功能，您需要直接通过与该功能关联的服务启用这些功能。

1.  （可选）要**启用帐户**，请选中复选框以为您的 AWS 帐户启用 Security Hub。

1.  对于**委派管理员策略**，请选择以下选项之一来添加策略声明。

   1.  （选项 1）选择**为我更新此项**。选中策略语句下方的框，以确认 Security Hub 将自动创建向委派管理员授予所有必需权限的委派策略。

   1.  （选项 2）选择**我想手动附加此项**。选择**复制并附加**。在 AWS Organizations 控制台的 “**委派管理员**” 下 AWS Organizations，选择 “**委托**”，然后将资源策略粘贴到委托策略编辑器中。选择**创建策略**。打开您当前在 Security Hub 控制台中的选项卡。

1.  选择**配置**。

### 步骤 2：在委派管理员账户中启用 Security Hub
<a name="step-2"></a>

 委派管理员账户完成此步骤。在 AWS 组织管理账户为其组织指定委派管理员后，被授权的管理员必须为自己的账户启用 Security Hub，然后才能为整个 AWS 组织启用 Security Hub。

**在委派管理员账户中启用 Security Hub**

1.  使用您的委派管理员凭据登录您的 AWS 账户。在 [https://console.aws.amazon.com/securityhub/v2/](https://console.aws.amazon.com/securityhub/v2/home) home 中打开 Security Hub 控制台。

1.  从 Security Hub 主页中选择 “**开始**”。

1.  安全功能部分概述了自动启用并包含在 Security Hub 每资源基本价格中的功能 

1.  （可选）对于**标签**，确定是否在账户设置中添加键值对。

1.  选择 “**启用 Security Hub**” 以完成对 Security Hub 的启用。

1.  （推荐）从弹出窗口中选择 “**配置我的组织**”，然后继续执行步骤 3。

 启用 Security Hub 后，将在您的账户中创建一个名为 [AWSServiceRoleForSecurityHubV2](https://docs.aws.amazon.com/securityhub/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-awssecurityhubv2servicerolepolicy) 的服务相关角色和一个服务相关记录器。服务关联记录器是一种 AWS 由服务管理的 AWS Config 记录器，可以记录特定于服务的资源上的配置数据。借助服务相关记录器，Security Hub 可以采用事件驱动的方法来获取暴露分析覆盖范围和报告资源清单所需的资源配置项。与服务相关的记录器是根据 AWS 账户 和配置的。 AWS 区域对于全局资源类型，系统会在主区域自动创建额外的服务关联记录器，以记录全局资源的配置更改，因为 AWS Config 仅记录其指定主区域中的全局资源类型。有关更多信息，请参阅[与服务相关的配置记录器的注意事项和录](https://docs.aws.amazon.com/config/latest/developerguide/stop-start-recorder.html#stop-start-recorder-considerations-service-linked)[制区域和全球资源](https://docs.aws.amazon.com/config/latest/developerguide/select-resources.html#select-resources-all)。

### 步骤 3：创建一个策略以在所有成员账户中启用 Security Hub
<a name="step-3"></a>

 在组织的委托管理员帐户中启用 Security Hub 后，您需要创建一个策略来定义在组织成员账户中启用哪些服务和功能。有关更多信息，请参阅[使用策略类型启用配置](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-v2-da-policy.html#securityhub-v2-configuration-enable-policy)。

## 在独立账户中启用 Security Hub
<a name="securityhub-v2-enable-standalone-account"></a>

 此过程介绍了如何在独立账户中启用 Security Hub。独立账户是指 AWS 账户 尚未启用 AWS 组织的账户。

**在独立账户中启用 Security Hub**

1.  使用您的 AWS 账户凭证登录您的账户。在 [https://console.aws.amazon.com/securityhub/v2/](https://console.aws.amazon.com/securityhub/v2/home) home 中打开 Security Hub 控制台。

1.  在 Security Hub 主页上，选择 “**开始**”。

1.  在 “**安全功能**” 部分中，执行以下任一操作：

   1.  （选项 1）选择 “**启用所有功能**”。这将启用 Security Hub 的所有基本功能、威胁分析和其他功能。

   1.  （选项 2）选择 “**自定义功能**”。选择应开启的威胁分析和其他功能。您不能取消选择 Security Hub 基本计划功能中的任何功能。

1.  在 “**区域**” 部分，选择 “**启用所有区域**” 或 “**启用特定区域**”。如果您选择**启用所有区域**，则可以决定是否自动启用新区域。如果选择 “**启用特定区域**”，则必须选择要启用的区域。

1.  （可选）对于**资源标签**，将标签添加为键值对，以帮助您轻松识别配置。

1.  选择**启用 Security Hub**。

 启用 Security Hub 后，将在您的账户中创建一个名为 [AWSServiceRoleForSecurityHubV2](https://docs.aws.amazon.com/securityhub/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-awssecurityhubv2servicerolepolicy) 的服务相关角色和一个服务相关记录器。服务关联记录器是一种 AWS 由服务管理的 AWS Config 记录器，可以记录特定于服务的资源上的配置数据。借助服务相关记录器，Security Hub 可以采用事件驱动的方法来获取暴露分析覆盖范围和报告资源清单所需的资源配置项。与服务相关的记录器是根据 AWS 账户 和配置的。 AWS 区域对于全局资源类型，系统会在主区域自动创建额外的服务关联记录器，以记录全局资源的配置更改，因为 AWS Config 仅记录其指定主区域中的全局资源类型。有关更多信息，请参阅[与服务相关的配置记录器的注意事项和录](https://docs.aws.amazon.com/config/latest/developerguide/stop-start-recorder.html#stop-start-recorder-considerations-service-linked)[制区域和全球资源](https://docs.aws.amazon.com/config/latest/developerguide/select-resources.html#select-resources-all)。