View a markdown version of this page

Security Hub 策略入门 - Amazon Organizations
开始前的准备工作实现步骤
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Security Hub 策略入门

在配置 Security Hub 策略之前,请确保您了解先决条件和实施要求。本主题将指导您完成在组织中设置和管理这些策略的过程。

开始前的准备工作

在实施 Security Hub 策略之前,请查看以下要求:

  • 您的账户必须是 Amazon Organizations 组织的一部分

  • 您必须使用以下任一身份登录:

    • 组织的管理账户

    • 具有管理 Security Hub 策略权限的委派管理员账户

  • 您必须为组织中的 Security Hub 启用可信访问权限

  • 您必须在组织根中启用 Security Hub 策略类型

此外,请确认:

  • 您想要应用策略的区域支持 Security Hub

  • 您的管理账户中已配置 AWSServiceRoleForSecurityHubV2 服务关联角色。要验证此角色是否存在,请运行 aws iam get-role --role-name AWSServiceRoleForSecurityHubV2。如果需要创建此角色,可以从您的管理账户在任何区域运行 aws securityhub enable-security-hub-v2,也可以通过运行 aws iam create-service-linked-role --aws-service-name securityhubv2.amazonaws.com 直接创建。

实现步骤

要有效地实施 Security Hub 策略,请按顺序执行以下步骤。每个步骤都可确保配置正确,并有助于在设置过程中避免常见问题。管理账户或授权管理员可以通过 Amazon Organizations 控制台、 Amazon 命令行界面 (Amazon CLI) 或执行这些步骤 Amazon SDKs。

  1. 启用 Security Hub 的可信访问权限

  2. 为组织启用 Security Hub 策略

  3. 创建 Security Hub 策略

  4. 将 Security Hub 策略附加到组织的根、OU 或账户

  5. 查看应用于账户的合并有效 Security Hub 策略

在所有这些步骤中,您可以以 Amazon Identity and Access Management (IAM) 用户身份登录、担任 IAM 角色或以根用户身份登录(不推荐)在组织的管理账户中登录。

其他信息