指定 Security Hub 管理员帐户 - Amazon Security Hub
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

指定 Security Hub 管理员帐户

委托的委托人Amazon Security Hub管理员帐户管理组织的 Security Hub 成员身份。

组织管理帐户指定组织的 Security Hub 管理员帐户。组织管理帐户可以指定组织中的任何帐户。但是,Security Hub 建议组织管理帐户不要将自己指定为管理员帐户。有权访问组织管理帐户以管理计费的用户可能与需要访问 Security Hub 以进行安全管理的用户不同。

如果您在手动邀请过程中具有管理员帐户,则 Security Hub 建议您将该帐户指定为组织的 Security Hub 管理员帐户。成员帐户只能与单个管理员帐户关联。组织的管理员帐户无法启用属于其他管理员帐户的成员帐户。

委派管理员帐户在每个区域必须相同。但是,组织管理帐户必须在每个区域中分别指定相同的 Security Hub 管理员帐户。

组织管理帐户还可以删除当前委派的 Security Hub 管理员帐户。当组织管理帐户使用控制台删除一个区域中的管理员帐户时,系统会在所有区域中自动删除该帐户。Security Hub API 仅从发出 API 调用或命令的区域中删除管理员帐户。要从所有区域中删除管理员帐户,您可以使用 Organizations API。

管理员帐户选择成员帐户。请参阅管理属于组织的成员账户管理不在组织中的成员帐户

请记住,所有 Security Hub 帐户都必须具有Amazon Config启用并配置为记录所有资源。有关要求的详细信息Amazon Config,请参阅启用和配置Amazon Config

配置 Security Hub 管理员帐户所需的权限

要指定和删除 Security Hub 管理员帐户,组织管理帐户必须具有EnableOrganizationAdminAccountDisableOrganizationAdminAccount操 Security Hub。Organizations 管理帐户还必须具有组织的管理权限。

要授予所有必需的权限,请将以下 Security Hub 托管策略附加到组织管理帐户主体:

指定 Security Hub 管理员账户(控制台)

组织管理帐户可以使用 Security Hub 控制台指定 Security Hub 管理员帐户。

组织管理帐户不必启用 Security Hub 即可管理 Security Hub 管理员帐户。

但是,如果组织管理帐户选择自己作为 Security Hub 管理员帐户,则必须启用 Security Hub。如果尚未启用 Security Hub,则必须手动启用 Security Hub。无法为组织管理帐户自动启用 Security Hub。

要指定组织的 Security Hub 管理员帐户的欢迎使用 Security Hub

  1. 打开Amazon Security Hub控制台https://console.aws.amazon.com/securityhub/

  2. 选择转到 Security Hub

  3. 如果当前分配了 Security Hub 管理员帐户,则必须先删除当前帐户,然后才能指定新帐户。

    要删除当前帐户,请在委派管理员中,选择Remove

  4. INTER委派管理员,输入账户的账户 ID 以指定为Security Hub管理员帐户。

    您必须在所有区域指定同一个 Security Hub 管理员账户。如果您指定的帐户与其他区域中指定的帐户不同,Security Hub 将返回错误。

  5. 选择 Delegate (委派)

如果启用了 Security Hub,则还可以从设置页.

要指定组织的 Security Hub 管理员帐户的Settings

  1. 打开Amazon Security Hub控制台https://console.aws.amazon.com/securityhub/

  2. 在 Security Hub 导航窗格中,选择设置。然后选择 。常规

  3. 如果当前分配了 Security Hub 管理员帐户,则必须先删除当前帐户,然后才能指定新帐户。

    INTER委派管理员,要删除当前帐户,请选择Remove

  4. 输入要指定为Security Hub管理员帐户。

    您必须在所有区域指定同一个 Security Hub 管理员账户。如果您指定的帐户与其他区域中指定的帐户不同,Security Hub 将返回错误。

  5. 选择 Delegate (委派)

指定一个 Security Hub 管理员账户(Security Hub API,Amazon CLI)

要指定 Security Hub 管理员帐户,您可以使用 API 调用或Amazon Command Line Interface。您必须使用组织管理帐户凭据。

要指定Security Hub管理员帐户(Security Hub API,Amazon CLI)

  • Security Hub API —使用EnableOrganizationAdminAccountoperation. 您必须提供AmazonSecurity Hub 管理员帐户的账户 ID。

  • Amazon CLI–在命令行处,运行enable-organization-admin-account命令。

    aws securityhub enable-organization-admin-account --admin-account-id <admin account ID>

    示例

    aws securityhub enable-organization-admin-account --admin-account-id 777788889999

删除 Security Hub 管理员帐户(控制台)

组织管理帐户可以删除当前 Security Hub 管理员帐户。当组织管理帐户使用控制台删除 Security Hub 管理员帐户时,Security Hub 管理员帐户将在所有区域中删除。

删除 Security Hub 管理员帐户后,成员帐户将与已删除的 Security Hub 管理员帐户取消关联。

已启用的成员帐户仍然启用了 Security Hub。它们将成为独立帐户,直到新的 Security Hub 管理员将它们启用为成员帐户。

如果组织管理帐户不是 Security Hub 中已启用的帐户,则使用欢迎使用 Security Hub页.

要删除 Security Hub 管理员帐户的欢迎使用 Security Hub

  1. 打开Amazon Security Hub控制台https://console.aws.amazon.com/securityhub/

  2. 选择转到 Security Hub

  3. INTER委派管理员中,选择Remove

如果组织管理帐户是Security Hub,然后使用常规选项卡设置页.

要删除 Security Hub 管理员帐户的Settings

  1. 打开Amazon Security Hub控制台https://console.aws.amazon.com/securityhub/

  2. 在 Security Hub 导航窗格中,选择设置。然后选择 。常规

  3. INTER委派管理员中,选择Remove

删除 Security Hub 管理员账户(Security Hub API、Amazon CLI)

要删除 Security Hub 管理员账户,可以使用 API 调用或Amazon Command Line Interface。您必须使用组织管理帐户凭据。

当您使用 API 或Amazon CLI删除 Security Hub 管理员帐户,则仅在发出 API 调用或命令的区域中删除该帐户。

删除 Security Hub 管理员账户(Security Hub API,Amazon CLI)

  • Security Hub API —使用DisableOrganizationAdminAccountoperation. 您必须提供 Security Hub 管理员帐户的帐户 ID。

  • Amazon CLI–在命令行处,运行disable-organization-admin-account命令。

    aws securityhub disable-organization-admin-account --admin-account-id <admin account ID>

    示例

    aws securityhub disable-organization-admin-account --admin-account-id 777788889999

删除 Security Hub 管理员账户(Organizations API、Amazon CLI)

当您使用 Security Hub API 删除 Security Hub 管理员帐户时,该帐户仅在发出 API 调用或命令的区域中删除。

使用 Organizations API,您可以一次性删除所有区域的 Security Hub 管理员账户。

删除 Security Hub 管理员账户(Organizations API,Amazon CLI)

  • Organizations API —使用DeregisterDelegatedAdministratoroperation. 您必须提供 Security Hub 管理员帐户的帐户 ID 以及 Security Hub 的服务主体(securityhub.amazonaws.com

  • Amazon CLI–在命令行处,运行deregister-delegated-administrator命令。

    aws organizations deregister-delegated-administrator --account-id <admin account ID> --service-principal <Security Hub service principal>

    示例

    aws organizations deregister-delegated-administrator --account-id 777788889999 --service-principal securityhub.amazonaws.com