本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
允许对账户执行的操作
管理员和成员账户有权访问下表中记录的 Amazon Security Hub 操作。表中的值具有以下含义:
-
Any:该账户可为同一管理员下的任何成员账户执行操作。
-
Current:该账户只能为其本身执行操作(当前登录的账户)。
-
Dash:表示该账户无法执行操作。
如表中所示,允许执行的操作因是否与 Amazon Organizations 集成以及组织使用的配置类型而异。有关集中配置和本地配置之间的差异的信息,请参阅使用 Amazon Organizations 管理账户。
Security Hub 不会将成员账户的调查发现复制到管理员账户。在 Security Hub 中,所有的调查发现都会被摄取到特定账户的特定区域。在每个区域,管理员账户均可以查看和管理其在该区域的成员账户的调查发现。
如果设置了聚合区域,管理员账户可以查看和管理复制到聚合区域的关联区域的成员账户调查发现。有关跨区域聚合的更多信息,请参阅跨区域聚合。
此表反映了管理员和成员账户的默认权限。您可以使用自定义 IAM policy 进一步限制对 Security Hub 特性和功能的访问。有关指导和示例,请参阅博客文章《为 Amazon Security Hub 根据用户角色调整 IAM policy》
与 Organizations 集成并使用中心配置时,管理员账户和成员账户可以按如下方式访问 Security Hub 操作。
|
操作 |
Security Hub 委托管理员账户 |
集中管理的成员账户 |
自行管理的成员账户 |
|---|---|---|---|
|
创建和管理 Security Hub 配置策略 |
对于自我管理和集中管理的账户 |
– |
– |
|
查看组织账户 |
任何 |
– |
– |
|
取消成员账户的关联 |
任何 |
– |
– |
|
删除成员账户 |
任何非组织账户 |
– |
– |
|
禁用 Security Hub |
对于当前账户和集中管理的账户 |
– |
Current |
|
查看调查发现和调查发现历史 |
任何 |
Current |
Current |
|
更新调查发现 |
任何 |
Current |
Current |
|
查看见解结果 |
任何 |
Current |
Current |
|
查看控件详细信息 |
任何 |
Current |
Current |
|
开启或关闭整合控件调查发现 |
任何 |
– |
– |
|
启用和禁用标准 |
对于当前账户和集中管理的账户 |
– |
Current |
|
启用和禁用控件 |
对于当前账户和集中管理的账户 |
– |
Current |
|
启用和禁用集成 |
Current |
Current |
Current |
|
配置跨区域聚合 |
任何 |
– |
– |
|
选择主区域和关联区域 |
Any(必须停止并重新启动中心配置才能更改主区域) |
– |
– |
|
配置自定义操作 |
Current |
Current |
Current |
|
配置自动化规则 |
任何 |
– |
– |
|
配置自定义见解 |
Current |
Current |
Current |
与 Organizations 集成并使用本地配置时,管理员账户和成员账户可以按如下方式访问 Security Hub 操作。
|
操作 |
Security Hub 委托管理员账户 |
成员账户 |
|---|---|---|
|
创建和管理 Security Hub 配置策略 |
– |
– |
|
查看组织账户 |
任何 |
– |
|
取消成员账户的关联 |
任何 |
– |
|
删除成员账户 |
– |
– |
|
禁用 Security Hub |
– |
Current(如果账户与委托管理员解除关联) |
|
查看调查发现和调查发现历史 |
任何 |
Current |
|
更新调查发现 |
任何 |
Current |
|
查看见解结果 |
任何 |
Current |
|
查看控件详细信息 |
任何 |
Current |
|
开启或关闭整合控件调查发现 |
任何 |
– |
|
启用和禁用标准 |
Current |
Current |
|
在新组织账户中自动启用 Security Hub 和默认标准 |
对于当前账户和新组织账户 |
– |
|
启用和禁用控件 |
Current |
Current |
|
启用和禁用集成 |
Current |
Current |
|
配置跨区域聚合 |
任何 |
– |
|
配置自定义操作 |
Current |
Current |
|
配置自动化规则 |
任何 |
– |
|
配置自定义见解 |
Current |
Current |
使用基于邀请的方法手动管理账户而不是与 Amazon Organizations 集成时,管理员和成员账户可以按如下方式访问 Security Hub 操作。
|
操作 |
Security Hub 管理员账户 |
成员账户 |
|---|---|---|
|
创建和管理 Security Hub 配置策略 |
– |
– |
|
查看组织账户 |
任何 |
– |
|
取消成员账户的关联 |
任何 |
Current |
|
删除成员账户 |
任何 |
– |
|
禁用 Security Hub |
Current(如果没有启用的成员账户) |
Current(如果账户与管理员账户解除关联) |
|
查看调查发现和调查发现历史 |
任何 |
Current |
|
更新调查发现 |
任何 |
Current |
|
查看见解结果 |
任何 |
Current |
|
查看控件详细信息 |
任何 |
Current |
|
开启或关闭整合控件调查发现 |
任何 |
– |
|
启用和禁用标准 |
Current |
Current |
|
在新组织账户中自动启用 Security Hub 和默认标准 |
– |
– |
|
启用和禁用控件 |
Current |
Current |
|
启用和禁用集成 |
Current |
Current |
|
配置跨区域聚合 |
任何 |
– |
|
配置自定义操作 |
Current |
Current |
|
配置自动化规则 |
任何 |
– |
|
配置自定义见解 |
Current |
Current |