集中管理與自我管理的目標 - AWS Security Hub
在自我管理帳戶中設定設定的選項選擇管理類型

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

集中管理與自我管理的目標

當您啟用中央組態時,委派的 AWS Security Hub Cloud Security Posture Management (CSPM) 管理員可以將每個組織帳戶、組織單位 (OU) 和根指定為集中管理自我管理。目標的管理類型決定如何指定其 Security Hub CSPM 設定。

如需中央組態優點及其運作方式的背景資訊,請參閱 了解 Security Hub CSPM 中的中央組態

本節說明集中管理和自我管理指定之間的差異,以及如何選擇帳戶、OU 或根的管理類型。

自我管理

自我管理帳戶、OU 或根的擁有者必須在每個帳戶中分別設定其設定 AWS 區域。委派管理員無法建立自我管理目標的組態政策。

集中管理

只有委派的 Security Hub CSPM 管理員才能設定集中受管帳戶、OUs 或主要區域和連結區域的根目錄的設定。組態政策可以與集中管理的帳戶和 OUs 建立關聯。

委派管理員可以在自我管理和集中管理之間切換目標的狀態。根據預設,當您透過 Security Hub CSPM API 啟動中央組態時,所有帳戶和 OU 都會自我管理。在 主控台中,管理類型取決於您的第一個組態政策。您與第一個政策建立關聯的帳戶和 OUs會集中管理。根據預設,其他帳戶和 OUs是自我管理的。

如果您將組態政策與先前自我管理的帳戶建立關聯,政策設定會覆寫自我管理的指定。帳戶會成為集中管理,並採用組態政策中反映的設定。

如果您將集中受管帳戶變更為自我管理帳戶,則先前透過組態政策套用至帳戶的設定會保持不變。例如,中央受管帳戶最初可以與啟用 Security Hub CSPM、啟用 AWS 基礎安全最佳實務和停用 CloudTrail.1. 如果您接著將帳戶指定為自我管理,則所有設定保持不變。不過,帳戶擁有者可以獨立變更未來帳戶的設定。

子帳戶和 OUs 可以從自我管理的父系繼承自我管理行為,就像子帳戶和 OUs 可以從集中管理的父系繼承組態政策一樣。如需詳細資訊,請參閱透過應用程式和繼承的政策關聯

自我管理帳戶或 OU 無法從父節點或根繼承組態政策。例如,如果您希望組織中的所有帳戶和 OUs 從根繼承組態政策,您必須將自我管理節點的管理類型變更為集中管理。

在自我管理帳戶中設定設定的選項

自我管理帳戶必須在每個區域中分別設定自己的設定。

自我管理帳戶的擁有者可以在每個區域中調用 Security Hub CSPM API 的下列操作來設定其設定:

  • EnableSecurityHubDisableSecurityHub 啟用或停用 Security Hub CSPM 服務 (如果自我管理帳戶具有委派的 Security Hub CSPM 管理員,則管理員必須先取消帳戶關聯,帳戶擁有者才能停用 Security Hub CSPM)。

  • BatchEnableStandardsBatchDisableStandards來啟用或停用標準

  • BatchUpdateStandardsControlAssociationsUpdateStandardsControl 以啟用或停用控制項

自我管理帳戶也可以使用 *Invitations*Members操作。不過,我們建議自我管理帳戶不要使用這些操作。如果成員帳戶自己的成員與委派管理員屬於不同的組織,則政策關聯可能會失敗。

如需 Security Hub CSPM API 動作的說明,請參閱 AWS Security Hub Cloud Security Posture Management (CSPM) API 參考

自我管理帳戶也可以使用 Security Hub CSPM 主控台或 AWS CLI 在每個區域中設定其設定。

自我管理帳戶無法叫用與 Security Hub CSPM 組態政策和政策關聯相關的任何 APIs。只有委派管理員可以叫用中央組態 APIs並使用組態政策來設定中央受管帳戶。

選擇目標的管理類型

選擇您偏好的方法,並依照步驟在 AWS Security Hub Cloud Security Posture Management (CSPM) 中將帳戶或 OU 指定為集中管理或自我管理。

Security Hub CSPM console
選擇帳戶或 OU 的管理類型

  1. 在 https://https://console.aws.amazon.com/securityhub/ 開啟 AWS Security Hub Cloud Security Posture Management (CSPM) 主控台。

    使用主要區域中委派 Security Hub CSPM 管理員帳戶的憑證登入。

  2. 選擇 Configuration (組態)

  3. 組織索引標籤上,選取目標帳戶或 OU。選擇編輯

  4. 定義組態頁面上,針對管理類型,如果您希望委派管理員設定目標帳戶或 OU,請選擇集中管理。然後,如果您想要將現有的組態政策與目標建立關聯,請選擇套用特定政策。如果您希望目標繼承其最近父系的組態,請選擇從我的組織繼承。如果您希望帳戶或 OU 設定自己的設定,請選擇自我管理

  5. 選擇下一步。檢閱您的變更,然後選擇儲存

Security Hub CSPM API
選擇帳戶或 OU 的管理類型

  1. 從主區域中的 Security Hub CSPM 委派管理員帳戶叫用 StartConfigurationPolicyAssociation API。

  2. 對於 ConfigurationPolicyIdentifier 欄位,SELF_MANAGED_SECURITY_HUB如果您希望帳戶或 OU 控制自己的設定,請提供 。如果您希望委派管理員控制帳戶或 OU 的設定,請提供相關組態政策的 Amazon Resource Name (ARN) 或 ID。

  3. 針對 Target 欄位,提供您要變更其管理類型之目標的 AWS 帳戶 ID、OU ID 或根 ID。這會將自我管理行為或指定的組態政策與目標建立關聯。目標的子帳戶可能會繼承自我管理的行為或組態政策。

指定自我管理帳戶的範例 API 請求:

{
    "ConfigurationPolicyIdentifier": "SELF_MANAGED_SECURITY_HUB",
    "Target": {"AccountId": "123456789012"}
}
AWS CLI
選擇帳戶或 OU 的管理類型

  1. 從主區域中的 Security Hub CSPM 委派管理員帳戶執行 start-configuration-policy-association命令。

  2. 對於 configuration-policy-identifier 欄位,SELF_MANAGED_SECURITY_HUB如果您希望帳戶或 OU 控制自己的設定,請提供 。如果您希望委派管理員控制帳戶或 OU 的設定,請提供相關組態政策的 Amazon Resource Name (ARN) 或 ID。

  3. 針對 target 欄位,提供您要變更其管理類型之目標的 AWS 帳戶 ID、OU ID 或根 ID。這會將自我管理行為或指定的組態政策與目標建立關聯。目標的子帳戶可能會繼承自我管理的行為或組態政策。

指定自我管理帳戶的範例命令:

aws securityhub --region us-east-1 start-configuration-policy-association \
--configuration-policy-identifier "SELF_MANAGED_SECURITY_HUB" \
--target '{"AccountId": "123456789012"}'