管理 AWS 組織中成員帳戶的組態 - AWS Security Hub
Security Hub 組態目錄啟用具有 政策類型的組態啟用具有部署類型的組態編輯組態政策刪除組態政策

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

管理 AWS 組織中成員帳戶的組態

AWS 組織的委派管理員可以跨成員帳戶和區域設定安全功能。有兩種可用的組態類型:政策和部署政策會為 AWS Security Hub 和 Amazon Inspector 的帳戶和區域產生 AWS Organizations 政策。部署是一種一次性動作,可在 Amazon GuardDuty 和 AWS Security Hub CSPM 的所選帳戶和區域中啟用安全功能。與 政策不同,您無法檢視或編輯部署,且部署不適用於新啟用的帳戶。Amazon GuardDuty 和 AWS Security Hub CSPM 提供適用於新成員帳戶的自動啟用功能。

Security Hub 組態目錄

Security Hub 的組態目錄提供多種選項,以協助為 提供的安全功能設定您的 AWS Organization 帳戶。

以下是 Security Hub 組態目錄中可用的選項。

Security Hub (基本和其他功能)

這是針對 Security Hub 部署的建議組態。

類型:政策和部署

描述:此組態在 Security Hub 的基本安全管理、狀態管理、威脅分析和漏洞管理功能上產生錯誤。它可選擇性地啟用其他功能。

來自 GuardDuty 的威脅分析

類型:部署

描述:開啟選取的 Amazon GuardDuty 功能,以持續監控、分析和處理 AWS 環境中的 AWS 資料來源和日誌。

Security AWS Hub CSPM 中的狀態管理)

類型:部署

描述:此組態會開啟 Security Hub CSPM 的標準和控制項,以偵測 AWS 您的帳戶和資源何時偏離安全最佳實務。

Amazon Inspector 的漏洞管理

類型:政策

描述:此組態會開啟選取的 Amazon Inspector 功能,以自動探索工作負載、執行個體、容器映像等,並掃描它們是否有漏洞和網路暴露。

啟用具有 政策類型的組態

下列程序說明如何為 AWS Organization 帳戶建立具有 政策類型的組態。若要建立組態政策,必須在 AWS 組織管理帳戶中建立委派的管理員政策。如需有關在 Security Hub 中建立委派管理員政策的資訊,請參閱在 Security Hub 中建立委派管理員政策

建立啟用和停用成員帳戶的政策

  1. 使用您的 AWS 帳戶搭配委派管理員登入資料來登入。開啟位於 https://https://console.aws.amazon.com/securityhub/v2/home 的 Security Hub 主控台。

  2. 從導覽窗格中,選擇管理,然後選擇組態

  3. 從組態目錄中選擇具有政策政策類型和部署的項目。若要完整設定 Security Hub,建議您選擇 Security Hub (基本和其他功能)

  4. 詳細資訊區段的設定 Security Hub 頁面上,輸入政策的名稱和描述。

  5. 安全功能區段中,執行下列其中一項操作:

    1. (選項 1) 選擇啟用所有功能。這將開啟所有 Security Hub 基本功能、威脅分析和其他功能。

    2. (選項 2) 選擇自訂功能。選取威脅分析和其他應開啟的功能。您無法取消選取屬於 Security Hub 基本計劃功能的任何功能。

  6. 帳戶選取區段中,選取下列其中一個選項。如果您想要將組態套用至所有組織單位和帳戶,請選擇所有組織單位和帳戶。如果您想要將組態套用至特定組織單位和帳戶,請選擇特定組織單位和帳戶。如果您選擇此選項,請使用搜尋列或組織結構樹來指定要套用政策的組織單位和帳戶。如果您不想將組態套用至任何組織單位或帳戶,請選擇無組織單位或帳戶。

  7. 區域區段中,選擇啟用所有區域停用所有區域指定區域。如果您選擇啟用所有區域,您可以決定是否自動啟用新區域。如果您選擇停用所有區域,您可以決定是否自動停用新區域。如果您選擇指定區域,則必須選擇要啟用和停用的區域。

  8. (選用) 如需進階設定,請參閱 中的指引 AWS Organizations。

  9. (選用) 針對資源標籤,將標籤新增為鍵/值對,以協助您輕鬆識別組態。

  10. 選擇下一步

  11. 檢閱您的變更,然後選擇套用。您的目標帳戶是根據政策設定。政策的組態狀態會顯示在政策頁面頂端。如果已設定或發生部署失敗,每個功能都會提供 狀態。對於任何失敗,請按一下失敗訊息的連結以查看更多詳細資訊。若要在帳戶層級檢視有效政策,您可以檢閱組態頁面上的組織索引標籤,您可以在其中選擇帳戶。

啟用具有部署類型的組態

下列程序說明如何為 AWS Organization 帳戶建立部署類型的組態。

建立啟用和停用成員帳戶的部署

  1. 使用您的 AWS 帳戶搭配委派管理員登入資料來登入。開啟位於 https://https://console.aws.amazon.com/securityhub/v2/home 的 Security Hub 主控台。

  2. 從導覽窗格中,選擇管理,然後選擇組態

  3. 從組態目錄中選擇具有部署類型的項目。若要完整設定 Security Hub,建議您選擇 Security Hub (基本和其他功能)

  4. 安全功能區段中,選取應該開啟的安全功能。

  5. 帳戶選取區段中,選取下列其中一個選項。如果您想要將組態套用至所有組織單位和帳戶,請選擇所有組織單位和帳戶。如果您想要將組態套用至特定組織單位和帳戶,請選擇特定組織單位和帳戶。如果您選擇此選項,請使用搜尋列或組織結構樹來指定要套用政策的組織單位和帳戶。如果您不想將組態套用至任何組織單位或帳戶,請選擇無組織單位或帳戶。

  6. 區域區段中,選擇啟用所有區域停用所有區域指定區域。如果您選擇啟用所有區域,您可以決定是否自動啟用新區域。如果您選擇停用所有區域,您可以決定是否自動停用新區域。如果您選擇指定區域,則必須選擇要啟用和停用的區域。

  7. 選擇設定

編輯組態政策

您可以編輯與具有 政策類型的組態相關聯的功能、區域和帳戶。

以下說明如何在 Security Hub 中編輯組態政策

建立編輯組態政策

  1. 使用您的 AWS 帳戶搭配委派管理員登入資料來登入。開啟位於 https://https://console.aws.amazon.com/securityhub/v2/home 的 Security Hub 主控台。

  2. 從導覽窗格中,選擇管理,然後選擇組態

  3. 已設定政策索引標籤中,選取要編輯的政策選項按鈕。選擇編輯

  4. 若要在帳戶選擇區段中進行變更,請選取下列其中一個選項。如果您想要將組態套用至所有組織單位和帳戶,請選擇所有組織單位和帳戶。如果您想要將組態套用至特定組織單位和帳戶,請選擇特定組織單位和帳戶。如果您選擇此選項,請使用搜尋列或組織結構樹來指定要套用政策的組織單位和帳戶。如果您不想將組態套用至任何組織單位或帳戶,請選擇無組織單位或帳戶。

  5. 若要在區域區段中進行變更,請選擇啟用所有區域停用所有區域指定區域。如果您選擇啟用所有區域,您可以決定是否自動啟用新區域。如果您選擇停用所有區域,您可以決定是否自動停用新區域。如果您選擇指定區域,則必須選擇要啟用和停用的區域。

  6. 選擇下一步

  7. 檢閱您的變更,然後選擇 Update (更新)。您的目標帳戶是根據政策設定。

刪除組態政策

您可以刪除您具有一種政策類型的組態。當您刪除政策時,所有連接的帳戶和組織單位都會從政策中移除。

以下說明如何刪除 Security Hub 中的組態政策。

建立刪除組態政策

  1. 使用您的 AWS 帳戶搭配委派管理員登入資料來登入。開啟位於 https://https://console.aws.amazon.com/securityhub/v2/home 的 Security Hub 主控台。

  2. 從導覽窗格中,選擇管理,然後選擇組態

  3. 已設定政策索引標籤中,選取要編輯的政策選項按鈕。選擇 Delete (刪除) 按鈕。

  4. 在確認方塊中輸入刪除。選擇刪除