将 Security Hub 与 Amazon Organizations 集成 - Amazon Security Hub
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

将 Security Hub 与 Amazon Organizations 集成

要集成 Amazon Security Hub 和 Amazon Organizations,您需要在 Organizations 中创建一个组织,然后使用组织管理账户指定 Security Hub 委托管理员账户。然后,委托管理员可以为成员账户启用 Security Hub,查看成员账户中的数据,并对成员账户执行其他允许的操作

如果您使用中心配置,则委托管理员还可以创建 Security Hub 配置策略,指定应如何在组织账户中配置 Security Hub 服务、标准和控件。

创建企业

组织是由您创建用于整合您 Amazon Web Services 账户 的实体,以便您将这些账户作为单个单位进行管理。

可通过以下两种方式创建组织:使用 Amazon Organizations 控制台或者使用 Amazon CLI 或其中一个 SDK API 的命令。有关详细说明,请参阅《Amazon Organizations 用户指南》中的创建组织

您可以使用 Amazon Organizations 集中查看和管理组织内所有账户。一个组织有一个管理账户以及零个或多个成员账户。您可以以分层树状结构来组织账户,将根放在树顶部,组织单位(OU)嵌套在根下。每个账户都可以直接放在根中,也可以放在层次结构的其中一个 OU 中。OU 是特定账户的容器。例如,您可以创建一个财务 OU,其中包括与财务操作相关的所有账户。

选择 Security Hub 委派管理员的建议

如果您在手动邀请流程中拥有管理员账户,并且正在转换到使用 Amazon Organizations 管理账户,那么 Security Hub 建议您将该账户指定为 Security Hub 的委托管理员。

无法将组织管理账户本身指定为 Security Hub 管理员账户。Amazon Organizations API 不允许组织管理账户成为 Security Hub 的委托管理员。这是因为有权访问组织管理账户来管理账单的用户可能与需要访问 Security Hub 进行安全管理的用户不同。

我们建议您在所有区域使用同一个委托管理员。如果您选择使用中心配置,Security Hub 会自动在您的主区域和任何关联区域中指定相同的委托管理员。

验证配置 Security Hub 委托管理员的权限

要指定和删除 Security Hub 委派管理员账户,Organizations 管理账户必须具有在 Security Hub 中执行 EnableOrganizationAdminAccountDisableOrganizationAdminAccount 操作的权限。Organizations 管理账户还必须拥有 Organizations 的管理权限。

要授予所有必需的权限,请将以下 Security Hub 托管策略附加到 Organizations 管理账户的 IAM 主体:

指定 Security Hub 的委派管理员

要指定 Security Hub 委派管理员账户,您可以使用 Security Hub 控制台、Security Hub API 或 Amazon CLI。委托管理员仅在当前 Amazon Web Services 区域 中设置,您必须在其他区域重复该操作。如果您开始使用中心配置,则 Security Hub 会自动在主区域和关联区域中设置相同的委托管理员。

Organizations 管理账户不必启用 Security Hub 即可指定 Security Hub 委派管理员账户。

我们建议 Organizations 管理账户不作为 Security Hub 管理员账户。但是,如果您选择了 Organizations 管理账户作为 Security Hub 的委派管理员,则该管理账户必须启用 Security Hub。如果管理账户未启用 Security Hub,则必须手动为其启用 Security Hub。无法为 Organizations 管理账户自动启用 Security Hub。

注意

必须使用以下方法之一指定 Security Hub 委派管理员。使用 Organizations API 指定 Security Hub 委派管理员并未在 Security Hub 中反映。

选择您的首选方法,然后按照步骤指定 Security Hub 委派管理员账户。

Security Hub console
要在引导阶段指定 Security Hub 的委托管理员
  1. 通过以下网址打开 Amazon Security Hub 控制台:https://console.aws.amazon.com/securityhub/

  2. 选择转到 Security Hub。系统会提示您登录到组织管理账户。

  3. 指定委托管理员页面的委托管理员账户部分,指定委托管理员账户。我们建议选择您为其他 Amazon 安全与合规服务设置的相同委托管理员。

  4. 选择添加委托管理员。系统会提示您登录委托管理员账户(如果您尚未登录),以便继续使用中心配置进行登录。如果您不想启用中心配置,请选择取消。您的委托管理员已设置完毕,但您尚未使用中心配置。

设置页面指定 Security Hub 的委派管理员
  1. 通过以下网址打开 Amazon Security Hub 控制台:https://console.aws.amazon.com/securityhub/

  2. 在 Security Hub 导航窗格中,选择设置。然后,选择常规

  3. 如果当前分配了 Security Hub 管理员账户,则必须先删除当前账户,然后才能指定新账户。

    委派管理员下,要删除当前账户,请选择删除

  4. 输入您要指定为 Security Hub 委派管理员账户的账户 ID。

    您必须在所有区域指定同一个 Security Hub 管理员账户。如果您指定的账户与其他区域指定的账户不同,控制台会返回错误。

  5. 选择委托

Security Hub API

从组织管理账户调用 EnableOrganizationAdminAccount API。提供 Security Hub 委派管理员账户的 Amazon Web Services 账户 ID。

Amazon CLI

从 Organizations 管理账户运行 enable-organization-admin-account 命令。提供 Security Hub 委派管理员账户的 Amazon Web Services 账户 ID。

命令示例:

aws securityhub enable-organization-admin-account --admin-account-id 777788889999

移除 Security Hub 委托管理员

警告

在使用中心配置时,无法使用 Security Hub 控制台或 Security Hub API 来更改或删除委托管理员账户。如果组织管理账户使用 Amazon Organizations 控制台或 Amazon Organizations API 更改或删除 Security Hub 委托管理员,Security Hub 会自动停止中心配置,并删除您的配置策略和策略关联。成员账户保留其在更改或删除委托管理员之前的配置。

仅组织管理账户可以删除 Security Hub 委托管理员账户。

要更改 Security Hub 委托管理员账户,必须先删除当前的委托管理员账户并指定新的委托管理员账户。

如果您使用 Security Hub 控制台删除一个区域的委托管理员,该管理员将在所有区域中被自动删除。

Security Hub API 仅从发出 API 调用或命令的区域中删除 Security Hub 委托管理员账户。您必须在其他区域重复执行此操作。

如果您使用 Organizations API 删除 Security Hub 委托管理员账户,则该账户将在所有区域中被自动删除。

移除 Security Hub 委托管理员(Organizations API、Amazon CLI)

您可以使用 Organizations 删除所有区域的 Security Hub 委托管理员。

如果您使用中心配置来管理账户,则移除委托管理员账户会导致您的配置策略和策略关联被删除。成员账户保留其在更改或删除委托管理员之前的配置。但是,这些账户无法再由已删除的委托管理员账户进行管理。它们成为自行管理账户,必须在每个区域单独配置。

选择您的首选方法,然后按照步骤用 Amazon Organizations 指定 Security Hub 委托管理员账户。

Amazon Organizations API

要删除 Security Hub 委托管理员

调用 DeregisterDelegatedAdministrator API。提供委托管理员账户的账户 ID 以及 Security Hub 的服务主体,即 securityhub.amazonaws.com

Amazon CLI

要删除 Security Hub 委托管理员

运行 deregister-delegated-administrator命令。提供委托管理员账户的账户 ID 以及 Security Hub 的服务主体,即 securityhub.amazonaws.com

aws organizations deregister-delegated-administrator --account-id <admin account ID> --service-principal <Security Hub service principal>

示例

aws organizations deregister-delegated-administrator --account-id 123456789012 --service-principal securityhub.amazonaws.com

移除 Security Hub 的委派管理员(Security Hub 控制台)

您可以使用 Security Hub 控制台删除所有区域中的 Security Hub 委托管理员。

移除 Security Hub 委派管理员账户后,成员账户将与已移除的 Security Hub 委派管理员账户解除关联。

成员账户仍会启用 Security Hub。它们将变为独立账户,直至新的 Security Hub 管理员将它们启用为成员账户。

如果组织管理账户不是 Security Hub 中已启用的账户,请使用欢迎使用 Security Hub页面上的选项。

要从欢迎使用 Security Hub页面中删除 Security Hub 委托管理员账户
  1. 通过以下网址打开 Amazon Security Hub 控制台:https://console.aws.amazon.com/securityhub/

  2. 选择转到 Security Hub

  3. 委托管理员下,选择删除

如果组织管理账户是 Security Hub 中已启用的账户,请使用设置页面的常规选项卡上的选项。

要从设置页面删除 Security Hub 委托管理员账户
  1. 通过以下网址打开 Amazon Security Hub 控制台:https://console.aws.amazon.com/securityhub/

  2. 在 Security Hub 导航窗格中,选择设置。然后,选择常规

  3. 委托管理员下,选择删除

移除 Security Hub 的委派管理员 (Security Hub API, Amazon CLI)

您可以使用 Amazon CLI 的 Security Hub API 或 Security Hub 操作删除 Security Hub 委托管理员。当您使用其中一种方法删除委托管理员时,只有在发出 API 调用或命令的区域中的委托管理员才会被删除。Security Hub 不会更新其他区域,也不会删除 Amazon Organizations 中的委托管理员账户。

选择您的首选方法,然后按照这些步骤用 Security Hub 删除 Security Hub 委托管理员账户。

Security Hub API

要删除 Security Hub 委托管理员

使用组织管理账户的凭证调用 DisableOrganizationAdminAccount API。提供 Security Hub 委托管理员账户的账户 ID。

Amazon CLI

要删除 Security Hub 委托管理员

使用组织管理账户的凭证运行 disable-organization-admin-account 命令。提供 Security Hub 委托管理员账户的账户 ID。

aws securityhub disable-organization-admin-account --admin-account-id <admin account ID>

示例

aws securityhub disable-organization-admin-account --admin-account-id 123456789012