组织账户和 OU 的管理类型 - Amazon Security Hub
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

组织账户和 OU 的管理类型

使用中心配置时,Amazon Security Hub 委托管理员可以将每个组织账户和组织单位(OU)指定为集中管理自行管理。账户或 OU 的管理类型决定了如何指定和更改其 Security Hub 设置。

自行管理账户或 OU 可以在每个 Amazon Web Services 区域 中单独配置自己的 Security Hub 设置。委托管理员无法为自行管理账户或 OU 配置 Security Hub 设置,配置策略也不能与之关联。相比之下,只有委托管理员才能为主区域和关联区域的集中管理账户和 OU 配置 Security Hub 设置。配置策略可与集中管理账户和 OU 关联。

委托管理员可以在自行管理和集中管理之间切换账户或 OU 的状态。默认情况下,当您通过 Security Hub API 启动中心配置时,所有账户和 OU 都是自行管理的。在控制台中,管理类型取决于您的第一个配置策略。与第一个策略关联的账户和 OU 是集中管理的。默认情况下,其他账户和 OU 是自行管理的。

如果您将配置策略与自我管理的账户相关联,则该策略将覆盖自我管理的指定。该账户将进行集中管理,并采用配置策略中反映的设置。

子账户和 OU 可以从自行管理的父级继承自行管理行为,就像子账户和 OU 可以从集中管理的父级继承配置策略一样。有关更多信息,请参阅 通过应用和继承进行策略关联

自管理账户或 OU 不能从父节点或根节点继承配置策略。例如,如果您希望组织中的所有账户和 OU 都从根目录继承配置策略,则必须将自我管理节点的管理类型更改为集中管理。

为自行管理的账户指定设置

自行管理账户必须在每个区域单独配置自己的设置。

自行管理账户的所有者可以在每个区域调用以下 API 来配置其设置:

  • EnableSecurityHubDisableSecurityHub,启用或禁用 Security Hub 服务

  • BatchEnableStandardsBatchDisableStandards,启用或禁用标准

  • BatchUpdateStandardsControlAssociationsUpdateStandardsControl,启用或禁用控件

有关 Security Hub API 操作的说明,请参阅 Amazon Security Hub API 参考

自行管理账户也可以使用 Security Hub 控制台或 Amazon CLI 在每个区域配置其设置。

自行管理账户无法调用与 Security Hub 配置策略和策略关联相关的任何 API。只有委托管理员才能调用中心配置 API 并使用配置策略来配置集中管理账户。

选择账户和 OU 的管理类型

选择首选方法,然后按照步骤将账户或 OU 指定为集中管理或自行管理。

Security Hub console
要选择账户和 OU 的管理类型
  1. 通过以下网址打开 Amazon Security Hub 控制台:https://console.aws.amazon.com/securityhub/

    使用主区域中 Security Hub 委托管理员账户的凭证登录。

  2. 选择配置

  3. 组织选项卡上,选择目标账户或 OU。选择编辑

  4. 定义配置页面上,对于管理类型,如果您希望委托管理员配置目标账户或 OU,请选择集中管理。然后,如果要将现有配置策略与目标关联,请选择应用特定策略。如果希望目标继承最接近父级的配置,请选择从我的组织继承。如果希望账户或 OU 配置自己的设置,请选择自行管理

  5. 请选择 Next(下一步)。检查更改,然后选择保存

Security Hub API
要选择账户和 OU 的管理类型
  1. 从主区域的 Security Hub 委托管理员账户调用 StartConfigurationPolicyAssociation API。

  2. 对于 ConfigurationPolicyIdentifier 字段,如果希望账户或 OU 控制其自己的设置,请提供 SELF_MANAGED_SECURITY_HUB。如果希望委托管理员控制账户或 OU 的设置,请提供相关配置策略的 Amazon 资源名称(ARN)或 ID。

  3. 对于 Target 字段,请提供要更改其管理类型的目标的 Amazon Web Services 账户 ID、OU ID 或根 ID。这会将自行管理行为或指定的配置策略与目标关联。目标的子账户可继承自行管理行为或配置策略。

指定自行管理账户的 API 请求示例:

{ "ConfigurationPolicyIdentifier": "SELF_MANAGED_SECURITY_HUB", "Target": {"AccountId": "123456789012"} }
Amazon CLI
要选择账户和 OU 的管理类型
  1. 从主区域的 Security Hub 委托管理员账户运行 start-configuration-policy-association 命令。

  2. 对于 configuration-policy-identifier 字段,如果希望账户或 OU 控制其自己的设置,请提供 SELF_MANAGED_SECURITY_HUB。如果希望委托管理员控制账户或 OU 的设置,请提供相关配置策略的 Amazon 资源名称(ARN)或 ID。

  3. 对于 target 字段,请提供要更改其管理类型的目标的 Amazon Web Services 账户 ID、OU ID 或根 ID。这会将自行管理行为或指定的配置策略与目标关联。目标的子账户可继承自行管理行为或配置策略。

指定自行管理账户的命令示例:

aws securityhub --region us-east-1 start-configuration-policy-association \ --configuration-policy-identifier "SELF_MANAGED_SECURITY_HUB" \ --target '{"AccountId": "123456789012"}'