过渡到 Organizations 以管理 Security Hub 中的账户 - Amazon Security Hub
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

过渡到 Organizations 以管理 Security Hub 中的账户

在 Amazon Security Hub 中手动管理账户时,必须邀请潜在的成员账户,并在每个 Amazon Web Services 区域 中分别配置每个成员账户。

通过集成 Security Hub 和 Amazon Organizations,您无需再发送邀请,还可以更好地控制在组织中配置和自定义 Security Hub 的方式。为此,我们建议使用 Amazon Organizations 代替 Security Hub 邀请管理成员账户。有关信息,请参阅使用 Organizations 管理 Security Hub 管理员账户和成员账户

可以使用组合方法,在这种方法中,您可以使用 Amazon Organizations 集成,也可以手动邀请组织外部的账户。但我们建议仅使用 Organizations 集成。中心配置是一项功能,可帮助您跨多个账户和区域管理 Security Hub,仅当您与 Organizations 集成时才可用。

本节将介绍如何从基于邀请的手动账户管理转换到使用 Amazon Organizations 管理账户。

将 Security Hub 与 Amazon Organizations 集成

首先,您必须集成 Security Hub 和 Amazon Organizations。

您可以完成以下步骤,来集成这些服务:

  • 在 Amazon Organizations 中创建组织。有关说明,请参阅《Amazon Organizations 用户指南》中的创建组织

  • 在组织管理账户中,指定一个 Security Hub 委托管理员账户。

注意

不能将组织管理账户设置为 DA 账户。

有关详细说明,请参阅 将 Security Hub 与 Amazon Organizations

完成上述步骤后,您就可以在 Amazon Organizations 中授予对 Security Hub 的可信访问权限。这也会在当前 Amazon Web Services 区域 中为委托管理员账户启用 Security Hub。

委托管理员可以在 Security Hub 中管理组织,主要方法是添加组织账户作为 Security Hub 成员账户。管理员还可以访问这些账户的某些 Security Hub 设置、数据和资源。

在转换到使用 Organizations 进行账户管理后,基于邀请的账户不会自动成为 Security Hub 成员。只有您添加到新组织的账户才能成为 Security Hub 成员。

激活集成后,您可以使用组织管理账户。有关信息,请参阅使用 Organizations 管理 Security Hub 管理员账户和成员账户。账户管理因组织的配置类型而异。