集中管理目标和自行管理目标 - Amazon Security Hub
配置自行管理账户中的设置的选项选择管理类型
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

集中管理目标和自行管理目标

启用中心配置时,Amazon Security Hub CSPM 委派管理员可以将每个组织账户、组织单元 (OU) 和根指定为集中管理自行管理。目标的管理类型决定了如何指定其 Security Hub CSPM 设置。

有关中心配置的好处及其工作原理的背景信息,请参阅了解 Security Hub CSPM 中的中心配置

本节说明了集中管理和自行管理的指定之间的区别,以及如何选择账户、OU 或根的管理类型。

自行管理

自行管理账户、OU 或根的所有者可以在每个 Amazon Web Services 区域中单独配置其设置。委托管理员无法为自行管理目标创建配置策略。

集中管理

只有 Security Hub CSPM 委派管理员才能为主区域和关联区域的集中管理账户、OU 和根配置设置。配置策略可与集中管理账户和 OU 关联。

委托管理员可以在自行管理和集中管理之间切换目标的状态。默认情况下,当您通过 Security Hub CSPM API 启动中心配置时,所有账户和 OU 都是自行管理的。在控制台中,管理类型取决于您的第一个配置策略。与第一个策略关联的账户和 OU 是集中管理的。默认情况下,其他账户和 OU 是自行管理的。

如果您将配置策略与以前自行管理的账户相关联,则策略设置将覆盖自行管理指定。账户将变成集中管理,并采用配置策略中反映的设置。

如果您将集中管理账户更改为自行管理账户,则之前通过配置策略应用于账户的设置将保持不变。例如,集中管理账户最初可以与已启用 Security Hub CSPM、启用 Amazon 基础安全最佳实践并禁用 CloudTrail.1 的策略相关联。如果您随后将账户指定为自行管理,则所有设置均保持不变。但是,账户所有者可以独立更改账户的设置。

子账户和 OU 可以从自行管理的父级继承自行管理行为,就像子账户和 OU 可以从集中管理的父级继承配置策略一样。有关更多信息,请参阅 通过应用和继承进行策略关联

自行管理账户或 OU 不能从父节点或根继承配置策略。例如,如果您希望组织中的所有账户和 OU 都从根继承配置策略,则必须将自行管理的节点的管理类型更改为集中管理。

配置自行管理账户中的设置的选项

自行管理账户必须在每个区域单独配置自己的设置。

自行管理账户的所有者可以在每个区域调用以下 Security Hub CSPM API 操作,以配置其设置:

  • EnableSecurityHubDisableSecurityHub,以启用或禁用 Security Hub CSPM 服务(如果自行管理账户具有 Security Hub CSPM 委派管理员,则该管理员必须先解除关联账户,然后账户所有者才能禁用 Security Hub CSPM)。

  • BatchEnableStandardsBatchDisableStandards,启用或禁用标准

  • BatchUpdateStandardsControlAssociationsUpdateStandardsControl,启用或禁用控件

自行管理账户也可以使用 *Invitations*Members 操作。但是,我们不建议自行管理账户使用这些操作。如果成员账户的成员与委托管理员属于不同的组织,则策略关联可能会失败。

有关 Security Hub CSPM API 操作的说明,请参阅 Amazon Security Hub CSPM API 参考

自行管理账户也可以使用 Security Hub CSPM 控制台或 Amazon CLI 在每个区域配置其设置。

自行管理账户无法调用与 Security Hub CSPM 配置策略和策略关联相关的任何 API。只有委托管理员才能调用中心配置 API 并使用配置策略来配置集中管理账户。

选择目标的管理类型

选择您喜欢的方法,然后按照步骤在 Amazon Security Hub CSPM 中将账户或 OU 指定为集中管理或自行管理。

Security Hub CSPM console
要选择账户和 OU 的管理类型

  1. 打开 Amazon Security Hub CSPM 控制台,网址为 https://console.aws.amazon.com/securityhub/

    使用主区域中的 Security Hub CSPM 委派管理员账户的凭证登录。

  2. 选择配置

  3. 组织选项卡上,选择目标账户或 OU。选择编辑

  4. 定义配置页面上,对于管理类型,如果您希望委托管理员配置目标账户或 OU,请选择集中管理。然后,如果要将现有配置策略与目标关联,请选择应用特定策略。如果希望目标继承最接近父级的配置,请选择从我的组织继承。如果希望账户或 OU 配置自己的设置,请选择自行管理

  5. 选择下一步。检查更改,然后选择保存

Security Hub CSPM API
要选择账户和 OU 的管理类型

  1. 从主区域的 Security Hub CSPM 委派管理员账户调用 StartConfigurationPolicyAssociation API。

  2. 对于 ConfigurationPolicyIdentifier 字段,如果希望账户或 OU 控制其自己的设置,请提供 SELF_MANAGED_SECURITY_HUB。如果希望委托管理员控制账户或 OU 的设置,请提供相关配置策略的 Amazon 资源名称(ARN)或 ID。

  3. 对于 Target 字段,请提供要更改其管理类型的目标的 Amazon Web Services 账户 ID、OU ID 或根 ID。这会将自行管理行为或指定的配置策略与目标关联。目标的子账户可继承自行管理行为或配置策略。

指定自行管理账户的 API 请求示例:

{
    "ConfigurationPolicyIdentifier": "SELF_MANAGED_SECURITY_HUB",
    "Target": {"AccountId": "123456789012"}
}
Amazon CLI
要选择账户和 OU 的管理类型

  1. 从主区域的 Security Hub CSPM 委派管理员账户运行 start-configuration-policy-association 命令。

  2. 对于 configuration-policy-identifier 字段,如果希望账户或 OU 控制其自己的设置,请提供 SELF_MANAGED_SECURITY_HUB。如果希望委托管理员控制账户或 OU 的设置,请提供相关配置策略的 Amazon 资源名称(ARN)或 ID。

  3. 对于 target 字段,请提供要更改其管理类型的目标的 Amazon Web Services 账户 ID、OU ID 或根 ID。这会将自行管理行为或指定的配置策略与目标关联。目标的子账户可继承自行管理行为或配置策略。

指定自行管理账户的命令示例:

aws securityhub --region us-east-1 start-configuration-policy-association \
--configuration-policy-identifier "SELF_MANAGED_SECURITY_HUB" \
--target '{"AccountId": "123456789012"}'