本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 啟用 Security Hub CSPM
<a name="securityhub-settingup"></a>

有兩種方式可整合 AWS Organizations 或 手動啟用 AWS Security Hub CSPM。

強烈建議在多帳戶和多區域環境中與 Organizations 整合。如果您有獨立帳戶，則必須手動設定 Security Hub CSPM。

## 驗證必要的許可
<a name="securityhub-setup-permissions"></a>

註冊 Amazon Web Services (AWS) 之後，您必須啟用 Security Hub CSPM 才能使用其功能。若要啟用 Security Hub CSPM，您必須先設定允許您存取 Security Hub CSPM 主控台和 API 操作的許可。您或您的 AWS 管理員可以使用 AWS Identity and Access Management (IAM) 將名為 的 AWS 受管政策連接到`AWSSecurityHubFullAccess`您的 IAM 身分，以執行此操作。

若要透過 Organizations 整合啟用和管理 Security Hub CSPM，您也應該連接名為 的 AWS 受管政策`AWSSecurityHubOrganizationsAccess`。

如需詳細資訊，請參閱[AWS Security Hub 的 受管政策](security-iam-awsmanpol.md)。

## 啟用 Security Hub CSPM 與 Organizations 整合
<a name="securityhub-orgs-setup-overview"></a>

若要開始搭配 Security Hub CSPM 使用 AWS Organizations，組織的 AWS Organizations 管理帳戶會將帳戶指定為組織的委派 Security Hub CSPM 管理員帳戶。Security Hub CSPM 會在目前區域中的委派管理員帳戶中自動啟用。

選擇您偏好的方法，然後依照步驟指定委派管理員。

------
#### [ Security Hub CSPM console ]

**在加入時指定委派的 Security Hub CSPM 管理員**

1. 開啟位於 https：//[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) 的 AWS Security Hub CSPM 主控台。

1. 選擇**移至 Security Hub CSPM**。系統會提示您登入 Organizations 管理帳戶。

1. 在**指定委派管理員**頁面上的**委派管理員帳戶**區段中，指定委派管理員帳戶。我們建議您選擇已為其他 AWS 安全與合規服務設定的相同委派管理員。

1. 選擇**設定委派管理員**。

------
#### [ Security Hub CSPM API ]

從 Organizations 管理帳戶叫用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_EnableOrganizationAdminAccount.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_EnableOrganizationAdminAccount.html) API。提供 Security Hub CSPM 委派管理員帳戶的 AWS 帳戶 ID。

------
#### [ AWS CLI ]

從 Organizations 管理帳戶執行 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-organization-admin-account.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-organization-admin-account.html)命令。提供 Security Hub CSPM 委派管理員帳戶的 AWS 帳戶 ID。

**範例命令：**

```
aws securityhub enable-organization-admin-account --admin-account-id 777788889999
```

------

如需與 Organizations 整合的詳細資訊，請參閱 [將 Security Hub CSPM 與 整合 AWS Organizations](designate-orgs-admin-account.md)。

### 中央組態
<a name="securityhub-central-config"></a>

當您整合 Security Hub CSPM 和 Organizations 時，您可以選擇使用稱為[中央組態](central-configuration-intro.md)的功能，為您的組織設定和管理 Security Hub CSPM。我們強烈建議使用中央組態，因為它可讓管理員自訂組織的安全涵蓋範圍。在適當情況下，委派管理員可以允許成員帳戶設定自己的安全涵蓋範圍設定。

中央組態可讓委派管理員跨帳戶、OUs 和 設定 Security Hub CSPM AWS 區域。委派管理員透過建立組態政策來設定 Security Hub CSPM。在組態政策中，您可以指定下列設定：
+ Security Hub CSPM 是否啟用或停用
+ 啟用和停用哪些安全標準
+ 啟用和停用哪些安全控制
+ 是否自訂特定控制項的參數

身為委派管理員，您可以為整個組織建立單一組態政策，或為各種帳戶和 OUs 建立不同的組態政策。例如，測試帳戶和生產帳戶可以使用不同的組態政策。

使用組態政策的成員帳戶和 OUs 是*集中管理*的，只能由委派管理員設定。委派管理員可以將特定成員帳戶和 OUs 指定為*自我管理*，讓成員能夠Region-by-Region自己的設定。

如果您不使用中央組態，則必須在每個帳戶和區域中分別設定 Security Hub CSPM。這稱為[本機組態](local-configuration.md)。在本機組態下，委派管理員可以在目前區域中的新組織帳戶中自動啟用 Security Hub CSPM 和一組有限的安全標準。本機組態不適用於現有的組織帳戶或目前區域以外的區域。本機組態也不支援使用組態政策。

## 手動啟用 Security Hub CSPM
<a name="securityhub-manual-setup-overview"></a>

如果您有獨立帳戶或未與 整合，則必須手動啟用 Security Hub CSPM AWS Organizations。獨立帳戶無法與 整合 AWS Organizations ，且必須使用手動啟用。

當您手動啟用 Security Hub CSPM 時，您可以指定 Security Hub CSPM 管理員帳戶，並邀請其他帳戶成為成員帳戶。當潛在成員帳戶接受邀請時，會建立管理員成員關係。

選擇您偏好的方法，並依照步驟啟用 Security Hub CSPM。當您從主控台啟用 Security Hub CSPM 時，您也可以選擇啟用支援的安全標準。

------
#### [ Security Hub CSPM console ]

1. 在 https：//[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) 開啟 AWS Security Hub CSPM 主控台。

1.  當您第一次開啟 Security Hub CSPM 主控台時，請選擇**移至 Security Hub CSPM**。

1. 在歡迎頁面上，**安全標準**區段列出 Security Hub CSPM 支援的安全標準。

   選取標準 的核取方塊以啟用它，然後清除核取方塊以停用它。

   您可以隨時啟用或停用標準，或是其個別的控制項。如需管理安全標準的資訊，請參閱 [了解 Security Hub CSPM 中的安全標準](standards-view-manage.md)。

1. 選擇 **Enable Security Hub (啟用 Security Hub)**。

------
#### [ Security Hub CSPM API ]

叫用 [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_EnableSecurityHub.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_EnableSecurityHub.html) API。當您從 API 啟用 Security Hub CSPM 時，它會自動啟用下列預設安全標準：
+ AWS 基礎安全最佳實務
+ Center for Internet Security (CIS) AWS Foundations Benchmark 1.2.0 版

如果您不希望啟用這些標準，請將 `EnableDefaultStandards` 設為 `false`。

您也可以使用 `Tags` 參數將標籤值指派給中樞資源。

------
#### [ AWS CLI ]

執行 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-security-hub.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-security-hub.html) 命令。若要啟用預設標準，請包含 `--enable-default-standards`。若要不啟用預設標準，請包含 `--no-enable-default-standards`。預設安全標準如下：
+ AWS 基礎安全最佳實務
+ Center for Internet Security (CIS) AWS Foundations Benchmark 1.2.0 版

```
aws securityhub enable-security-hub [--tags {{<tag values>}}] [--enable-default-standards | --no-enable-default-standards]
```

**範例**

```
aws securityhub enable-security-hub --enable-default-standards --tags '{"Department": "Security"}'
```

------

### 多帳戶啟用指令碼
<a name="securityhub-enable-multiaccount-script"></a>

**注意**  
我們建議您使用中央組態，在多個帳戶和區域中啟用和設定 Security Hub CSPM，而不是此指令碼。

[GitHub 中的 Security Hub CSPM 多帳戶啟用指令碼](https://github.com/awslabs/aws-securityhub-multiaccount-scripts)可讓您跨帳戶和區域啟用 Security Hub CSPM。指令碼也會自動化傳送邀請至成員帳戶和啟用的程序 AWS Config。

指令碼會自動啟用所有區域中所有資源 AWS Config 的資源記錄，包括全域資源。它不會將全域資源的記錄限制為單一區域。為了節省成本，我們建議僅在單一區域中記錄全域資源。如果您使用中央組態或跨區域彙總，這應該是您的主區域。如需詳細資訊，請參閱[在 中記錄資源 AWS Config](securityhub-setup-prereqs.md#config-resource-recording)。

有一個對應的指令碼可跨帳戶和區域停用 Security Hub CSPM。

## 後續步驟：姿勢管理和整合
<a name="securityhub-enable-next-steps"></a>

啟用 Security Hub CSPM 之後，我們建議啟用安全標準和控制項來監控您的安全狀態。啟用控制項之後，Security Hub CSPM 會開始執行安全檢查並產生控制項調查結果，協助您偵測 AWS 環境中的錯誤組態。若要接收控制調查結果，您必須啟用和設定 AWS Config Security Hub CSPM。如需詳細資訊，請參閱[啟用和設定 AWS Config Security Hub CSPM](securityhub-setup-prereqs.md)。

啟用 Security Hub CSPM 之後，您也可以利用 Security Hub CSPM AWS 服務 與其他和第三方解決方案之間的整合，在 Security Hub CSPM 中查看其問題清單。Security Hub CSPM 會彙總來自不同來源的問題清單，並以一致的格式擷取問題清單。如需詳細資訊，請參閱[了解 Security Hub CSPM 中的整合](securityhub-findings-providers.md)。