指定 Security Hub 管理员帐户 - Amazon Security Hub
Security Hub 管理员帐户的方式配置 Security Hub 管理员帐户所需的权限指定 Security Hub 管理员帐户(控制台)指定 Security Hub 管理员帐户(Security Hub API)Amazon CLI)删除 Security Hub 管理员帐户(控制台)删除 Security Hub 管理员帐户(Security Hub API)Amazon CLI)删除委派管理员帐户(Organizations API,Amazon CLI)
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

指定 Security Hub 管理员帐户

Security Hub 管理员帐户管理组织的 Security Hub 成员资格。

Security Hub 管理员帐户的方式

组织管理帐户指定每个区域中的 Security Hub 管理员帐户。

然后 Security Hub 管理员账户启用组织账户作为成员账户。他们还可以邀请其他账户成为成员账户。请参阅 管理组织成员账户通过邀请管理会员账户

显示组织管理帐户如何将组织帐户指定为 Security Hub 的委派管理员的图表。委托管理员将成为 Security Hub 管理员帐户。

会员账户只能与单个管理员帐户关联。Security Hub 管理员帐户无法启用属于其他管理员帐户的成员帐户。

所有 Security Hub 帐户都必须具有Amazon Config已启用并配置为记录所有资源。有关要求的详细信息Amazon Config,请参阅启用和配置Amazon Config.

将 Security Hub 管理员帐户设置为委托管理员帐户

当您第一次选择 Security Hub 管理员帐户时,Security Hub 会调用 Organizations 以使该帐户成为 Security Hub 的委派管理员帐户。

在 Organizations 中拥有委派管理员帐户后,您可以在所有区域中选择该帐户或组织管理帐户作为 Security Hub 管理员帐户。我们建议在所有区域中选择相同的委托管理员帐户。

要选择其他帐户,必须删除所有区域中的当前 Security Hub 管理员帐户。

选择 Security Hub 管理员帐户的建议

如果在手动邀请过程中有管理员帐户,那么 Security Hub 建议您将该帐户指定为 Security Hub 管理员帐户。

我们还建议您不要将组织管理帐户本身指定为 Security Hub 管理员帐户。这是因为有权访问组织管理帐户来管理账单的用户可能与需要访问 Security Hub 进行安全管理的用户不同。

Organizations 管理帐户也不能作为组织中某项服务的委托管理员帐户。

删除 Security Hub 管理员帐户

组织管理帐户可以删除 Security Hub 管理员帐户。

当组织管理帐户使用控制台删除一个区域中的 Security Hub 管理员帐户时,系统会在所有区域中自动删除该帐户。Security Hub 还致电 Organizations 以删除委派的管理员帐户。

Security Hub API 只会从发出 API 调用或命令的区域中删除 Security Hub 管理员帐户。它不会更新其他区域,也不会删除 Organizations 中的委派管理员帐户。

当您使用 Organizations API 删除 Security Hub 的委派管理员帐户时,Security Hub 还会删除所有区域中的 Security Hub 管理员帐户。

配置 Security Hub 管理员帐户所需的权限

要指定和删除 Security Hub 管理员帐户,组织管理帐户必须具有EnableOrganizationAdminAccountDisableOrganizationAdminAccountSecurity Hub 中的操作。Organizations 管理帐户还必须具有组织的管理权限。

要授予所有必需的权限,请将以下 Security Hub 托管策略附加到组织管理账户的 IAM 委托人:

指定 Security Hub 管理员帐户(控制台)

组织管理帐户可以使用 Security Hub 控制台指定 Security Hub 管理员帐户。

组织管理帐户不必启用 Security Hub 即可管理 Security Hub 管理员帐户。

Security Hub 建议组织管理帐户不是 Security Hub 管理员帐户。但是,如果组织管理帐户确实选择自己作为 Security Hub 管理员帐户,则必须启用 Security Hub。如果没有启用 Security Hub,则必须手动启用 Security Hub。无法为组织管理帐户自动启用 Security Hub。

Security Hub 从欢迎来到 Security Hub

  1. 打开Amazon Security Hub控制台https://console.aws.amazon.com/securityhub/.

  2. 选择转到 Security Hub.

  3. 如果当前分配了 Security Hub 管理员帐户,则必须先删除当前帐户,然后才能指定新帐户。

    要删除当前账户,请在委托管理员,选择Remove.

  4. 委托管理员,输入要指定为的账户的账户 IDSecurity Hub管理员账户。

    您必须在所有区域指定同一个 Security Hub 管理员帐户。如果您指定的帐户与其他区域中指定的帐户不同,Security Hub 将返回错误消息。

  5. 选择 Delegate (委派)

如果启用了 Security Hub,则还可以从设置页.

Security Hub 从设置

  1. 打开Amazon Security Hub控制台https://console.aws.amazon.com/securityhub/.

  2. 在 Security Hub 导航窗格中,选择设置. 然后选择 。普通的.

  3. 如果当前分配了 Security Hub 管理员帐户,则必须先删除当前帐户,然后才能指定新帐户。

    委托管理员,要删除当前账户,请选择Remove.

  4. 输入要指定为的账户的账户的账户 IDSecurity Hub管理员账户。

    您必须在所有区域指定同一个 Security Hub 管理员帐户。如果您指定的帐户与其他区域中指定的帐户不同,Security Hub 将返回错误消息。

  5. 选择 Delegate (委派)

指定 Security Hub 管理员帐户(Security Hub API)Amazon CLI)

要指定 Security Hub 管理员帐户,您可以使用 API 调用或Amazon Command Line Interface. 您必须使用组织管理帐户凭据。

要指定Security Hub管理员帐户(Security Hub API,Amazon CLI)

  • Security Hub API —使用EnableOrganizationAdminAccountoperation. 您必须提供AmazonSecurity Hub 管理员帐户的账户 ID。

  • Amazon CLI–在命令行处,运行enable-organization-admin-account命令。

    aws securityhub enable-organization-admin-account --admin-account-id <admin account ID>

    示例

    aws securityhub enable-organization-admin-account --admin-account-id 777788889999

删除 Security Hub 管理员帐户(控制台)

组织管理帐户可以删除当前的 Security Hub 管理员帐户。当您使用控制台删除 Security Hub 管理员帐户时,所有区域中的 Security Hub 管理员帐户都将被删除。Security Hub 还呼叫 Organizations 以删除 Security Hub 的委托管理员账户。

删除 Security Hub 管理员帐户后,会员帐户与已删除的 Security Hub 管理员帐户取消关联。

启用的成员账户仍然启用了 Security Hub。在新的 Security Hub 管理员将其作为成员帐户启用之前,他们将成为独立帐户

如果组织管理帐户不是 Security Hub 中启用的帐户,则使用欢迎来到 Security Hub页.

Security Hub 从欢迎来到 Security Hub

  1. 打开Amazon Security Hub控制台https://console.aws.amazon.com/securityhub/.

  2. 选择转到 Security Hub.

  3. 委托管理员,选择Remove.

如果组织管理帐户是中的已启用帐户Security Hub,然后使用普通的的选项卡设置页.

Security Hub 从设置

  1. 打开Amazon Security Hub控制台https://console.aws.amazon.com/securityhub/.

  2. 在 Security Hub 导航窗格中,选择设置. 然后选择 。普通的.

  3. 委托管理员,选择Remove.

删除 Security Hub 管理员帐户(Security Hub API)Amazon CLI)

要删除 Security Hub 管理员帐户,可以使用 API 调用或Amazon Command Line Interface. 您必须使用组织管理帐户凭据。

当你使用 API 或Amazon CLI要删除 Security Hub 管理员帐户,只能在发出 API 调用或命令的区域中删除该帐户。Security Hub 不更新其他区域,也不会删除 Organizations 中的委派管理员帐户。

要删除 Security Hub 管理员帐户(Security Hub API),Amazon CLI)

  • Security Hub API —使用DisableOrganizationAdminAccountoperation. 您必须提供 Security Hub 管理员帐户的帐户 ID。

  • Amazon CLI–在命令行处,运行disable-organization-admin-account命令。

    aws securityhub disable-organization-admin-account --admin-account-id <admin account ID>

    示例

    aws securityhub disable-organization-admin-account --admin-account-id 777788889999

删除委派管理员帐户(Organizations API,Amazon CLI)

当您使用 Security Hub API 删除 Security Hub 管理员帐户时,只会在发出 API 调用或命令的区域中删除该帐户。Security Hub 不更新其他区域,也不会删除 Organizations 中的委派管理员帐户。

借助 Organizations API,您可以删除委派的管理员帐户。当您删除 Security Hub 的委派管理员帐户时,Security Hub 还会从所有区域中删除 Security Hub 管理员帐户。

要删除委派管理员帐户(Organizations API),Amazon CLI)

  • Organizations API —使用DeregisterDelegatedAdministratoroperation. 您必须提供委派管理员帐户的帐户 ID 和 Security Hub 的服务委托人,即securityhub.amazonaws.com.

  • Amazon CLI–在命令行处,运行deregister-delegated-administrator命令。

    aws organizations deregister-delegated-administrator --account-id <admin account ID> --service-principal <Security Hub service principal>

    示例

    aws organizations deregister-delegated-administrator --account-id 777788889999 --service-principal securityhub.amazonaws.com