将 Security Hub CSPM 与 Amazon Organizations 集成
要集成 Amazon Security Hub CSPM 和 Amazon Organizations,您需要在 Organizations 中创建一个组织,然后使用组织管理账户指定委派的 Security Hub CSPM 管理员账户。这使 Security Hub CSPM 成为组织中的可信服务。它还为委派管理员账户启用当前 Amazon Web Services 区域中的 Security Hub CSPM,并允许委派管理员为成员账户启用 Security Hub CSPM,查看成员账户中的数据,并对成员账户执行其他允许的操作。
如果您使用中心配置,则委派管理员还可以创建 Security Hub CSPM 配置策略,指定应如何在组织账户中配置 Security Hub CSPM 服务、标准和控件。
创建组织
组织是由您创建用于整合您 Amazon Web Services 账户 的实体,以便您将这些账户作为单个单位进行管理。
可通过以下两种方式创建组织:使用 Amazon Organizations 控制台或者使用 Amazon CLI 或其中一个 SDK API 的命令。有关详细说明,请参阅《Amazon Organizations 用户指南》中的创建组织。
您可以使用 Amazon Organizations 集中查看和管理组织内所有账户。一个组织有一个管理账户以及零个或多个成员账户。您可以以分层树状结构来组织账户,将根放在树顶部,组织单位(OU)嵌套在根下。每个账户都可以直接放在根中,也可以放在层次结构的其中一个 OU 中。OU 是特定账户的容器。例如,您可以创建一个财务 OU,其中包括与财务操作相关的所有账户。
选择委派的 Security Hub CSPM 管理员的建议
如果您在手动邀请流程中拥有管理员账户,并且正在过渡到使用 Amazon Organizations 管理账户,我们建议将该账户指定为委派的 Security Hub CSPM 管理员。
尽管 Security Hub CSPM API 和控制台允许组织管理账户成为委派的 Security Hub CSPM 管理员,但我们建议选择两个不同的账户。这是因为有权访问组织管理账户来管理账单的用户可能与需要访问 Security Hub CSPM 进行安全管理的用户不同。
我们建议您在所有区域使用同一个委托管理员。如果您选择使用中心配置,Security Hub CSPM 会自动在您的主区域和任何关联区域中指定相同的委派管理员。
验证配置委托管理员的权限
要指定和删除委派的 Security Hub CSPM 管理员账户,组织管理账户必须具有在 Security Hub CSPM 中执行 EnableOrganizationAdminAccount 和 DisableOrganizationAdminAccount 操作的权限。Organizations 管理账户还必须拥有 Organizations 的管理权限。
要授予所有必需的权限,请将以下 Security Hub CSPM 托管策略附加到组织管理账户的 IAM 主体:
指定委托管理员
要指定委派的 Security Hub CSPM 管理员账户,您可以使用 Security Hub CSPM 控制台、Security Hub CSPM API 或 Amazon CLI。Security Hub CSPM 仅在当前 Amazon Web Services 区域中设置委派管理员,您必须在其他区域中重复此操作。如果您开始使用中心配置,则 Security Hub CSPM 会自动在主区域和关联区域中设置相同的委派管理员。
组织管理账户不必启用 Security Hub CSPM 即可指定委派的 Security Hub CSPM 管理员账户。
我们不建议将组织管理账户作为委派的 Security Hub CSPM 管理员账户。但是,如果您选择了组织管理账户作为 Security Hub CSPM 委派管理员,则该管理账户必须启用 Security Hub CSPM。如果管理账户未启用 Security Hub CSPM,则必须手动为其启用 Security Hub CSPM。无法为组织管理账户自动启用 Security Hub CSPM。
必须使用以下方法之一指定委派的 Security Hub CSPM 管理员。使用 Organizations API 指定委派的 Security Hub CSPM 管理员并未在 Security Hub CSPM 中反映。
选择您喜欢的方法,然后按照步骤指定委派的 Security Hub CSPM 管理员账户。