Amazon Security Hub CSPM 和 Amazon Organizations - Amazon Organizations
服务关联角色服务委托人启用信任访问权限禁用信任访问权限为 Security Hub CSPM 启用委托管理员禁用 Security Hub CSPM 的委托管理员
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon Security Hub CSPM 和 Amazon Organizations

Amazon Security Hub CSPM 为您提供安全状态的全面视图, Amazon 并帮助您根据安全行业标准和最佳实践检查您的环境。

Security Hub CSPM 从您的 Amazon Web Services 账户、 Amazon Web Services 服务 您使用的和支持的第三方合作伙伴产品中收集安全数据。它可以帮助您分析安全趋势并确定最高优先级的安全问题。

当你同时使用 Security Hub CSPM 时,你可以自动为所有账户启用 Security Hub CSPM,包括在添加新账户时为其启用 Security Hub CSPM。 Amazon Organizations 这扩大了 Security Hub CSPM 检查和发现的覆盖范围,从而更全面、更准确地了解您的整体安全状况。

有关 Security Hub CSPM 的更多信息,请参阅《Amazon Security Hub CSPM 用户指南》。

使用以下信息来帮助您集 Amazon Security Hub CSPM 成 Amazon Organizations。

启用集成时,创建了一个服务相关角色

以下服务相关角色会在您启用信任访问权限时自动在组织的管理账户中创建。此角色允许 Security Hub CSPM 在组织中的账户中执行支持的操作。

只有在禁用 Security Hub CSPM 和 Organizations 之间的可信访问权限或从组织中删除成员帐户时,才能删除或修改此角色。

  • AWSServiceRoleForSecurityHub

服务相关角色使用的服务委托人

上一部分中的服务相关角色只能由为角色定义的信任关系授权的服务委托人担任。Security Hub CSPM 使用的服务相关角色向以下服务主体授予访问权限:

  • securityhub.amazonaws.com

使用 Security Hub CSPM 启用可信访问

有关启用信任访问权限所需权限的信息,请参阅允许可信访问所需的权限

当您为 Security Hub CSPM 指定委派管理员时,Security Hub CSPM 会自动为组织中的安全中心启用可信访问权限。

使用 Security Hub CSPM 禁用可信访问

有关禁用可信访问所需权限的详细信息,请参阅《Amazon Organizations 用户指南》中的禁用可信访问所需的权限

在禁用可信访问权限之前,可以选择与组织的委派管理员合作,禁用成员账户的 Security Hub CSPM,并清理这些账户的 Security Hub CSPM 资源。

您可以使用 Amazon Organizations 控制台、Organizations API 或来禁用可信访问 Amazon CLI。只有组织管理帐户的管理员才能使用 Security Hub CSPM 禁用可信访问。

有关使用 Security Hub CSPM 禁用可信访问的说明,请参阅禁用 Security Hub CSPM 与的集成。 Amazon Organizations

为 Security Hub CSPM 启用委托管理员

当您将成员账户指定为组织的委托管理员时,该账户中的用户和角色可以对 Security Hub CSPM 执行管理操作,否则这些操作只能由组织管理账户中的用户或角色执行。这可以帮助您将组织的管理与 Security Hub CSPM 的管理分开。

有关信息,请参阅《用户指南》中的 “指定 Security Hub CSPM 管理员帐户”Amazon Security Hub CSPM 。

将成员账户指定为 Security Hub CSPM 的委托管理员

  1. 使用您的 Organizations 管理账户登录。

  2. 执行下列操作之一:

    • 如果你的管理账户没有启用 Security Hub CSPM,则在 Security Hub CSPM 控制台上,选择 Go to Sec urity Hub CSPM。

    • 如果您的管理账户确实启用了 Security Hub CSPM,则在 Security Hub CSPM 控制台上,在 “常规” 下选择 “设置”。

  3. Delegated Administrator (委托管理员) 中,输入账户 ID。

禁用 Security Hub CSPM 的委托管理员

仅组织管理账户可以删除委派的 Security Hub CSPM 管理员账户。

要更改委派的 Security Hub CSPM 管理员,必须先删除当前委派管理员账户并指定新账户。

如果您使用 Security Hub CSPM 控制台删除一个区域的委派管理员,该管理员将在所有区域中被自动删除。

Security Hub CSPM API 仅从发出 API 调用或命令的区域中删除委派的 Security Hub CSPM 管理员账户。您必须在其他区域重复执行此操作。

如果您使用 Organizations API 删除委派的 Security Hub CSPM 管理员账户,则该账户将在所有区域中被自动删除。

有关禁用委派的 Security Hub CSPM 管理员的说明,请参阅删除或更改委派的管理员。