本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
在新组织账户中自动启用 Security Hub。
当新账户加入您的组织时,他们会被添加到 Amazon Security Hub 控制台的 “帐户” 页面上的列表中。对于组织账户,类型为按组织。默认情况下,新账户在加入组织时不会成为 Security Hub 成员。他们的身份是非成员。委派的管理员账户可以自动将新账户添加为成员,并在他们加入组织时在这些账户中启用 Security Hub。
注意
尽管默认情况下,您的许多区域 Amazon Web Services 区域 处于活动状态 Amazon Web Services 账户,但您必须手动激活某些区域。在本文档中,这些区域被称为可选区域。要在选择加入区域的新账户中自动启用 Security Hub,该账户必须先激活该区域。只有账户所有者才能激活选择加入区域。有关选择加入区域的更多信息,请参阅指定 Amazon Web Services 区域 您的账户可以使用的区域。
根据您使用的是中心配置(推荐)还是本地配置,此过程会有所不同。
自动启用新组织账户(中心配置)
如果您使用集中配置,则可以通过创建启用 Security Hub 的配置策略在新的和现有组织帐户中自动启用 Security Hub。然后,您可以将该策略与组织根目录或特定组织单位 (OU) 相关联。
如果您将启用了 Security Hub 的配置策略与特定 OU 相关联,则会自动在属于该 OU 的所有账户(现有账户和新账户)中启用 Security Hub。不属于 OU 的新账户是自行管理的,并且不会自动启用 Security Hub。如果您将启用了 Security Hub 的配置策略与根相关联,则会自动在加入该组织的所有账户(现有账户和新账户)中启用 Security Hub。如果一个账户通过应用或继承使用不同的策略,或者是自行管理的,则为例外情况。
在配置策略中,您还可以定义应在 OU 中启用哪些安全标准和控件。要生成针对已启用标准的控制结果,OU 中的账户必须已 Amazon Config 启用并配置为记录所需资源。有关 Amazon Config 录制的更多信息,请参阅启用和配置 Amazon Config。
有关创建配置策略的说明,请参阅创建和关联 Security Hub 配置策略。
自动启用新组织账户(本地配置)
当您使用本地配置并开启自动启用时,Security Hub 会将新组织账户添加为成员,并在当前区域的这些账户中启用 Security Hub。其他地区均不受影响。此外,开启自动启用不会在现有组织账户中启用 Security Hub,除非这些账户已添加为成员账户。
开启自动启用后,如果当前区域有新账户加入组织,也会自动为其启用默认安全标准。默认标准是 Amazon 基础安全最佳实践 (FSBP) 和互联网安全中心 (CIS) Amazon 基金会基准 v1.2.0。您不能更改默认标准。如果您想在整个组织中启用其他标准,或者为选定的账户和 OU 启用标准,我们建议使用中心配置。
要生成默认标准(和其他启用的标准)的控制结果,您组织中的账户必须已 Amazon Config 启用并配置为记录所需资源。有关 Amazon Config 录制的更多信息,请参阅启用和配置 Amazon Config。
选择您的首选方法,然后按照步骤在新组织账户中自动启用 Security Hub。这些说明仅在您使用本地配置时适用。