本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
转换到 Amazon Organizations 以进行账户管理
在 Amazon Security Hub 中手动管理账户时,必须邀请潜在的成员账户,并在每个 Amazon Web Services 区域 中分别配置每个成员账户。
通过集成 Security Hub 和 Amazon Organizations,您无需再发送邀请,还可以更好地控制在组织中配置和自定义 Security Hub 的方式。
可以使用组合方法,在这种方法中,您可以使用 Amazon Organizations 集成,也可以手动邀请组织外部的账户。但我们建议仅使用 Organizations 集成。中心配置是一项功能,可帮助您跨多个账户和区域管理 Security Hub,仅当您与 Organizations 集成时才可用。
本节将介绍如何从基于邀请的手动账户管理转换到使用 Amazon Organizations 管理账户。
将 Security Hub 与 Amazon Organizations 集成
首先,您必须集成 Security Hub 和 Amazon Organizations。
您可以完成以下步骤,来集成这些服务:
在 Amazon Organizations 中创建组织。有关说明,请参阅《Amazon Organizations 用户指南》中的创建组织。
在组织管理账户中,指定一个 Security Hub 委托管理员账户。
注意
不能将组织管理账户设置为 DA 账户。
有关详细说明,请参阅 将 Security Hub 与 Amazon Organizations。
完成上述步骤后,您就可以在 Amazon Organizations 中授予对 Security Hub 的可信访问权限。这也会在当前 Amazon Web Services 区域 中为委托管理员账户启用 Security Hub。
委托管理员可以在 Security Hub 中管理组织,主要方法是添加组织账户作为 Security Hub 成员账户。管理员还可以访问这些账户的某些 Security Hub 设置、数据和资源。
在转换到使用 Organizations 进行账户管理后,基于邀请的账户不会自动成为 Security Hub 成员。只有您添加到新组织的账户才能成为 Security Hub 成员。
中心配置与本地配置
激活集成后,您可以使用组织管理账户。有关信息,请参阅 使用管理账户 Amazon Organizations。账户管理因组织的配置类型而异。
组织可能有两种配置类型:本地配置和集中配置。默认配置类型为本地配置。要查看当前配置类型,请在 Security Hub 控制台的导航窗格上选择设置,然后选择配置。您也可以调用 DescribeOrganizationConfiguration API 查看配置类型。
在本地配置下,委托管理员账户可以选择在新账户加入组织时自动启用 Security Hub 和默认安全标准。这些新账户设置在当前区域生效。其他 Security Hub 设置必须由每个区域的每个成员账户单独配置。
我们建议使用中心配置,而不是本地配置。在中心配置下,委托管理员账户可以创建跨多个区域生效的 Security Hub 配置策略,并在组织的各个账户和组织单位(OU)中指定 Security Hub 功能。您可以对整个组织应用单一的配置策略,也可以对不同的账户和 OU 应用不同的配置策略。例如,您可以在生产账户中启用一组标准和控件,在测试账户中启用另一组标准和控件。DA 可以根据需要编辑配置策略。
有关中心配置工作原理的更多信息,请参阅中央配置的工作原理。
有关从本地配置切换到中心配置的说明,请参阅开始使用中心配置。