本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 啟用 Security Hub
<a name="securityhub-v2-enable"></a>

 您可以為任何 啟用 Security Hub AWS 帳戶。文件的本節說明為 AWS 組織或獨立帳戶啟用 Security Hub 所需的所有步驟。

如需如何啟用 Security Hub 的簡短示範，請觀看下列影片：

[![AWS Videos](http://img.youtube.com/vi/https://www.youtube.com/embed/prtnhCfjUpM/0.jpg)](http://www.youtube.com/watch?v=https://www.youtube.com/embed/prtnhCfjUpM)


## 為 AWS 組織啟用 Security Hub
<a name="securityhub-v2-enable-management-account"></a>

本節包含三個步驟：
+  在**步驟 1** 中， AWS 組織管理帳戶會為其 AWS 組織指定委派管理員、建立委派管理員政策，並選擇性地為其自己的帳戶啟用 Security Hub。
+  在**步驟 2** 中，組織的委派管理員會為其自己的帳戶啟用 Security Hub。
+  在**步驟 3** 中，組織的委派管理員會為 Security Hub 和其他支援的安全服務設定組織中的所有成員帳戶。

### 步驟 1. 委派管理員帳戶，並選擇性地在 AWS 組織管理帳戶中啟用 Security Hub
<a name="step-1"></a>

**注意**  
 此步驟只需要在組織管理帳戶的一個區域中完成。

 為 Security Hub 指派委派管理員帳戶時，您可以為委派管理員選擇的帳戶將取決於您如何為 Security Hub CSPM 設定委派管理員。如果您已為 Security Hub CSPM 設定委派管理員，且該帳戶不是組織管理帳戶，則該帳戶將自動設定為 Security Hub 委派管理員，且無法選擇不同的帳戶。如果 Security Hub CSPM 的委派管理員帳戶設定為組織管理帳戶，或完全未設定，您可以選擇哪個帳戶將成為您的 Security Hub 委派管理員帳戶，組織管理帳戶除外。

 如需在 Security Hub 中指定委派管理員的資訊，請參閱[在 Security Hub 中指定委派管理員帳戶](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-v2-set-da.html)。如需有關在 Security Hub 中建立委派管理員政策的資訊，請參閱[在 Security Hub 中建立委派管理員政策](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-v2-policy-statement.html)。

**指定 Security Hub 的 admistrator**

1.  使用您的 AWS 組織管理 AWS 帳戶登入資料登入您的帳戶。開啟位於 https：//[https://console.aws.amazon.com/securityhub/v2/home](https://console.aws.amazon.com/securityhub/v2/home) 的 Security Hub 主控台。

1.  在 Security Hub 首頁中，選取 **Security Hub**，然後選擇**開始使用**。

1.  在**委派管理員**區段中，根據提供的選項選擇管理員帳戶。最佳實務是，我們建議在安全服務之間使用相同的委派管理員，以實現一致的控管。

1.  選擇**信任存取**核取方塊。選擇此選項可授予您的委派管理員帳戶在成員帳戶中設定特定功能的能力，例如 GuardDuty 惡意軟體防護。如果您取消勾選此選項，Security Hub 將無法代表您啟用這些功能，而且您將需要直接透過與功能相關聯的服務啟用這些功能。

1.  （選用） 針對**帳戶啟用**，選取方塊以啟用您 AWS 帳戶的 Security Hub。

1.  針對**委派管理員政策**，選擇下列其中一個選項來新增政策陳述式。

   1.  （選項 1) 選擇**為我更新此**項目。選取政策陳述式下的方塊，確認 Security Hub 會自動建立委派政策，將所有必要的許可授予委派管理員。

   1.  （選項 2) 選擇**我想要手動連接此**項目。選擇**複製並連接**。在 AWS Organizations 主控台**的委派管理員 AWS Organizations**下，選擇**委派**，然後在委派政策編輯器中貼上資源政策。選擇**建立政策**。開啟您在 Security Hub 主控台中的標籤。

1.  選擇**設定**。

### 步驟 2. 在委派管理員帳戶中啟用 Security Hub
<a name="step-2"></a>

 委派的管理員帳戶會完成此步驟。在 AWS 組織管理帳戶為其組織指定委派管理員之後，委派管理員必須先為其自己的帳戶啟用 Security Hub，才能為整個 AWS 組織啟用 。

**在委派管理員帳戶中啟用 Security Hub**

1.  使用您的委派管理員登入 AWS 資料登入您的帳戶。開啟位於 https：//[https://console.aws.amazon.com/securityhub/v2/home](https://console.aws.amazon.com/securityhub/v2/home) 的 Security Hub 主控台。

1.  從 Security Hub 首頁中選擇**開始使用**。

1.  安全功能區段概述自動啟用的功能，並包含在 Security Hub 的每個資源基本價格中 

1.  （選用） 對於**標籤**，判斷是否要將鍵/值對新增至帳戶設定。

1.  選擇**啟用 Security Hub** 以完成啟用 Security Hub。

1.  （建議） 從彈出視窗中選擇**設定我的組織**並繼續步驟 3。

 啟用 Security Hub 之後，會在您的帳戶中建立稱為 [AWSServiceRoleForSecurityHubV2](https://docs.aws.amazon.com/securityhub/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-awssecurityhubv2servicerolepolicy) 的服務連結角色，以及服務連結記錄器。服務連結記錄器是由 AWS 服務管理的一種 AWS Config 記錄器類型，可在服務特定資源上記錄組態資料。使用服務連結記錄器時，Security Hub 會啟用事件驅動型方法，以取得暴露分析涵蓋範圍和報告資源庫存所需的資源組態項目。服務連結記錄器是根據 AWS 帳戶 和 設定 AWS 區域。對於全域資源類型，會在主區域中自動建立額外的服務連結記錄器，以記錄全域資源的組態變更，因為 AWS Config 只會記錄其指定主區域中的全域資源類型。如需詳細資訊，請參閱[服務連結組態記錄器和錄製區域和全域資源的考量](https://docs.aws.amazon.com/config/latest/developerguide/stop-start-recorder.html#stop-start-recorder-considerations-service-linked)。 [https://docs.aws.amazon.com/config/latest/developerguide/select-resources.html#select-resources-all](https://docs.aws.amazon.com/config/latest/developerguide/select-resources.html#select-resources-all)

### 步驟 3。建立在所有成員帳戶中啟用 Security Hub 的政策
<a name="step-3"></a>

 在組織的委派管理員帳戶中使用 Security Hub 後，您需要建立政策，以定義在組織成員帳戶中啟用哪些服務和功能。如需詳細資訊，請參閱[啟用具有 政策類型的組態](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-v2-da-policy.html#securityhub-v2-configuration-enable-policy)。

## 在獨立帳戶中啟用 Security Hub
<a name="securityhub-v2-enable-standalone-account"></a>

 此程序說明如何在獨立帳戶中啟用 Security Hub。獨立帳戶是 AWS 帳戶 尚未啟用 AWS 組織的 。

**在獨立帳戶中啟用 Security Hub**

1.  使用 AWS 您的帳戶登入資料登入您的帳戶。開啟位於 https：//[https://console.aws.amazon.com/securityhub/v2/home](https://console.aws.amazon.com/securityhub/v2/home) 的 Security Hub 主控台。

1.  在 Security Hub 首頁中，選取**開始使用**。

1.  在**安全功能**區段中，執行下列其中一項：

   1.  （選項 1) 選擇**啟用所有功能**。這將開啟所有 Security Hub 基本功能、威脅分析和其他功能。

   1.  （選項 2) 選擇**自訂功能**。選取威脅分析和其他應開啟的功能。您無法取消選取屬於 Security Hub 基本計劃功能的任何功能。

1.  在**區域**區段中，選擇**啟用所有區域**或**啟用特定區域**。如果您選擇**啟用所有區域**，您可以決定是否自動啟用新區域。如果您選擇**啟用特定區域**，您必須選擇要啟用的區域。

1.  （選用） 針對**資源標籤**，將標籤新增為鍵/值對，以協助您輕鬆識別組態。

1.  選擇 **Enable Security Hub (啟用 Security Hub)**。

 啟用 Security Hub 之後，會在您的帳戶中建立稱為 [AWSServiceRoleForSecurityHubV2](https://docs.aws.amazon.com/securityhub/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-awssecurityhubv2servicerolepolicy) 的服務連結角色，以及服務連結記錄器。服務連結記錄器是由 AWS 服務管理的一種 AWS Config 記錄器類型，可在服務特定資源上記錄組態資料。使用服務連結記錄器時，Security Hub 會啟用事件驅動型方法，以取得暴露分析涵蓋範圍和報告資源庫存所需的資源組態項目。服務連結記錄器是根據 AWS 帳戶 和 設定 AWS 區域。對於全域資源類型，會在主區域中自動建立額外的服務連結記錄器，以記錄全域資源的組態變更，因為 AWS Config 只會記錄其指定主區域中的全域資源類型。如需詳細資訊，請參閱[服務連結組態記錄器和錄製區域和全域資源的考量](https://docs.aws.amazon.com/config/latest/developerguide/stop-start-recorder.html#stop-start-recorder-considerations-service-linked)。 [https://docs.aws.amazon.com/config/latest/developerguide/select-resources.html#select-resources-all](https://docs.aws.amazon.com/config/latest/developerguide/select-resources.html#select-resources-all)