本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 管理多個帳戶的 Security Hub CSPM AWS Organizations
您可以將 AWS Security Hub Cloud Security Posture Management (CSPM) 與 整合 AWS Organizations,然後管理組織中帳戶的 Security Hub CSPM。
若要將 Security Hub CSPM 與 整合 AWS Organizations,您可以在其中建立組織 AWS Organizations。Organizations 管理帳戶會將一個帳戶指定為組織的 Security Hub CSPM 委派管理員。委派管理員接著可以為組織中的其他帳戶啟用 Security Hub CSPM,將這些帳戶新增為 Security Hub CSPM 成員帳戶,並對成員帳戶採取允許的動作。Security Hub CSPM 委派管理員最多可為 10,000 個成員帳戶啟用和管理 Security Hub CSPM。
委派管理員的組態功能範圍取決於您是否使用中央組態。啟用中央組態後,您不需要在每個成員帳戶和 中分別設定 Security Hub CSPM AWS 區域。委派管理員可以在跨區域的指定成員帳戶和組織單位 (OUs) 中強制執行特定 Security Hub CSPM 設定。
Security Hub CSPM 委派管理員帳戶可以對成員帳戶執行下列動作:
-
如果使用中央組態,請透過建立 Security Hub CSPM 組態政策,集中設定成員帳戶和 OUs 的 Security Hub CSPM。組態政策可用來啟用和停用 Security Hub CSPM、啟用和停用標準,以及啟用和停用控制項。
-
加入組織時,自動將新帳戶視為 Security Hub CSPM 成員帳戶。如果您使用中央組態,則與 OU 相關聯的組態政策會包含屬於 OU 一部分的現有和新帳戶。
-
將現有的組織帳戶視為 Security Hub CSPM 成員帳戶。如果您使用中央組態,則會自動發生這種情況。
-
取消關聯屬於組織的成員帳戶。如果您使用中央組態,只有在將成員帳戶指定為自我管理之後,才能取消其關聯。或者,您可以將停用 Security Hub CSPM 的組態政策與特定集中管理的成員帳戶建立關聯。
如果您不選擇加入中央組態,您的組織會使用稱為本機組態的預設組態類型。在本機組態下,委派管理員在成員帳戶中強制執行設定的能力更有限。如需詳細資訊,請參閱了解 Security Hub CSPM 中的本機組態。
如需委派管理員可在成員帳戶上執行之動作的完整清單,請參閱 Security Hub CSPM 中管理員和成員帳戶允許的動作。
本節中的主題說明如何將 Security Hub CSPM 與 整合, AWS Organizations 以及如何管理組織中帳戶的 Security Hub CSPM。在相關的情況下,每個區段都會識別集中組態使用者的管理優點和差異。
主題
