在 Security Hub 中設定委派管理員帳戶 - AWS Security Hub

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

在 Security Hub 中設定委派管理員帳戶

注意

Security Hub 處於預覽版本,可能會有所變更。

從 AWS 組織管理帳戶,您可以為組織設定委派管理員。根據最佳實務,我們建議在安全服務之間使用相同的委派管理員,以實現一致的控管。本節中的程序說明如何以兩種方式為您的組織設定委派管理員。第一種方法是針對尚未在 Security Hub CSPM 中設定委派管理員 AWS 的組織管理帳戶。第二種方法是針對啟用 Security Hub,但在啟用期間略過設定委派管理員 AWS 的組織管理帳戶。

考量事項

您可能會遇到一個案例,您想要為 Security Hub 設定與 Security Hub CSPM 委派管理員不同的委派管理員。如果您在 Security Hub CSPM 中設定了委派管理員,請考慮下列事項:

  • 如果 AWS 組織管理帳戶設定為 Security Hub CSPM 的委派管理員,則您無法將此帳戶設定為 Security Hub 的委派管理員。不過,您可以將組織中 AWS 帳戶 的另一個 指定為 Security Hub 的委派管理員。為了跨安全服務進行一致的控管,我們建議您使用與 Security Hub CSPM 和 Security Hub 委派管理員相同的帳戶 ( AWS 組織管理帳戶除外)。

  • 如果 AWS 組織管理帳戶以外的帳戶設定為 Security Hub CSPM 的委派管理員,則此帳戶會自動成為 Security Hub 中的委派管理員。在此案例中,Security Hub 只允許此特定 AWS 帳戶 做為委派管理員。

注意

如果您使用組織管理帳戶以外的帳戶作為 Security Hub CSPM 委派管理員,則透過 Security Hub CSPM 主控台或 AWS Organizations API 將其從 Security Hub 中移除。同樣地,如果您透過 Security Hub 主控台或 AWS Organizations API 移除 Security Hub 委派管理員,則會從 Security Hub CSPM 中移除。從 Security Hub CSPM 移除委派管理員時,中央組態會自動選擇退出。

下列程序假設您尚未設定 Security Hub CSPM 的委派管理員,並且正在設定 Security Hub 的委派管理員。

在 Security Hub 中設定委派管理員

  1. 使用您的組織管理 AWS 帳戶登入資料登入您的帳戶,然後開啟位於 https://https://console.aws.amazon.com/securityhub/v2/home 的 Security Hub 主控台。

  2. 在 Security Hub 首頁中,選取 Security Hub,然後選擇開始使用

  3. 委派管理員中,選擇設定。在快顯視窗中,輸入您想要 AWS 帳戶 的 的 12 位數 AWS 帳戶 號碼,或選擇建議的帳戶 (如果您在其他安全服務中使用委派管理員),以設定為組織的委派管理員。選擇儲存

  4. (選用) 針對帳戶啟用,選取方塊以為您的 啟用 Security Hub AWS 帳戶。

  5. 選擇複製並連接以開啟組織設定。在 Organizations 主控台中,選取 AWS Organizations委派管理員下的委派,然後貼上資源政策。選擇建立政策

  6. 前往 Security Hub 主控台。選擇設定

注意

設定委派管理員之後,該帳戶必須啟用 Security Hub 並設定政策,才能從其成員帳戶接收問題清單。

下列程序假設您已啟用 Security Hub,但在啟用期間略過設定委派管理員。您可以從一般頁面在 Security Hub 主控台中設定委派管理員。

從一般頁面在 Security Hub 主控台中設定委派管理員

  1. 使用您的組織管理 AWS 帳戶登入資料登入您的帳戶,然後開啟位於 https://https://console.aws.amazon.com/securityhub/v2/home 的 Security Hub 主控台。

  2. 從導覽窗格中,選擇一般

  3. 委派管理員中,選擇設定。在快顯視窗中,輸入 AWS 帳戶 您要設定為組織委派管理員之 的 12 位數 AWS 帳戶 號碼。或者, AWS 帳戶 如果您在其他 AWS 安全服務中設定委派管理員,請選擇建議。選擇儲存

完成此程序後,您將需要複製 Security Hub 的委派政策陳述式,並將其連接到政策的委派管理員 AWS Organizations ,以便 Security Hub 的委派管理員可以在 Security Hub 中執行動作。如果沒有此政策陳述式,委派管理員就無法為您的組織設定 Security Hub。如需詳細資訊,請參閱連接 Security Hub 的委派政策陳述式。