在新的組織帳戶中手動啟用 Security Hub CSPM - AWS Security Hub

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

在新的組織帳戶中手動啟用 Security Hub CSPM

如果您在新組織帳戶中加入組織時未自動啟用 Security Hub CSPM,則可以將這些帳戶新增為成員,並在他們加入組織後手動啟用 Security Hub CSPM。您還必須在 AWS 帳戶 之前與組織取消關聯的 中手動啟用 Security Hub CSPM。

注意

如果您使用中央組態,則本節不適用於您。如果您使用中央組態,則可以建立在指定的成員帳戶和組織單位 (OUs組態政策。您也可以在這些帳戶和 OUs 中啟用特定標準和控制項。

如果 Security Hub CSPM 已經是不同組織中的成員帳戶,您就無法在帳戶中啟用。

您也無法在目前暫停的帳戶中啟用 Security Hub CSPM。如果您嘗試在暫停的帳戶中啟用服務,帳戶狀態會變更為帳戶暫停

  • 如果帳戶未啟用 Security Hub CSPM,則會在該帳戶中啟用 Security Hub CSPM。除非您關閉預設安全標準,否則帳戶中也會啟用 AWS 基礎安全最佳實務 (FSBP) 標準和 CIS AWS Foundations Benchmark 1.2.0 版。

    例外情況是 Organizations 管理帳戶。無法在 Organizations 管理帳戶中自動啟用 Security Hub CSPM。您必須先在 Organizations 管理帳戶中手動啟用 Security Hub CSPM,才能將其新增為成員帳戶。

  • 如果帳戶已啟用 Security Hub CSPM,Security Hub CSPM 不會對帳戶進行任何其他變更。它只會啟用成員資格。

為了讓 Security Hub CSPM 產生控制調查結果,成員帳戶必須 AWS Config 啟用並設定 以記錄必要的資源。如需詳細資訊,請參閱啟用並設定 AWS Config

選擇您偏好的方法,並依照步驟將組織帳戶啟用為 Security Hub CSPM 成員帳戶。

Security Hub CSPM console
以 Security Hub CSPM 成員身分手動啟用組織帳戶
  1. 在 https://https://console.aws.amazon.com/securityhub/ 開啟 AWS Security Hub Cloud Security Posture Management (CSPM) 主控台。

    使用委派管理員帳戶的登入資料登入。

  2. 在 Security Hub CSPM 導覽窗格中的設定下,選擇組態

  3. 帳戶清單中,選取您要啟用的每個組織帳戶。

  4. 選擇動作,然後選擇新增成員

Security Hub CSPM API

以 Security Hub CSPM 成員身分手動啟用組織帳戶

從委派的管理員帳戶叫用 CreateMembers API。針對每個要啟用的帳戶,提供帳戶 ID。

與手動邀請程序不同,當您叫用 CreateMembers 以啟用組織帳戶時,您不需要傳送邀請。

AWS CLI

以 Security Hub CSPM 成員身分手動啟用組織帳戶

從委派管理員帳戶執行 create-members命令。針對每個要啟用的帳戶,提供帳戶 ID。

與手動邀請程序不同,當您執行 create-members 以啟用組織帳戶時,您不需要傳送邀請。

aws securityhub create-members --account-details '[{"AccountId": "<accountId>"}]'

範例

aws securityhub create-members --account-details '[{"AccountId": "123456789111"}, {"AccountId": "123456789222"}]'