本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
将 Security Hub 与 Amazon Organizations
要集成 Amazon Security Hub 和 Amazon Organizations,您可以在 Organizations 中创建组织,然后使用组织管理帐户指定委托的 Security Hub 管理员帐户。这使得 Security Hub 成为组织中值得信赖的服务。它还 Amazon Web Services 区域 为委托的管理员账户启用当前的 Security Hub,并允许授权管理员为成员账户启用 Security Hub,查看成员账户中的数据,以及对成员账户执行其他允许的操作。
如果您使用中心配置,则委托管理员还可以创建 Security Hub 配置策略,指定应如何在组织账户中配置 Security Hub 服务、标准和控件。
创建企业
组织是您为整合组织而创建的实体, Amazon Web Services 账户 以便您可以将其作为一个单位进行管理。
您可以使用 Amazon Organizations 控制台创建组织,也可以使用来自 Amazon CLI 或其中一个 SDK API 中的命令来创建组织。有关详细说明,请参阅《Amazon Organizations 用户指南》中的创建组织。
您可以使用集中 Amazon Organizations 查看和管理组织内的所有帐户。一个组织有一个管理账户以及零个或多个成员账户。您可以以分层树状结构来组织账户,将根放在树顶部,组织单位(OU)嵌套在根下。每个账户都可以直接放在根中,也可以放在层次结构的其中一个 OU 中。OU 是特定账户的容器。例如,您可以创建一个财务 OU,其中包括与财务操作相关的所有账户。
选择委派的 Security Hub 管理员的建议
如果您在手动邀请流程中拥有管理员帐户,并且正在过渡到使用进行账户管理 Amazon Organizations,我们建议将该帐户指定为委托的 Security Hub 管理员。
尽管 Security Hub API 和控制台允许组织管理帐户成为委托的 Security Hub 管理员,但我们建议选择两个不同的帐户。这是因为有权访问组织管理账户来管理账单的用户可能与需要访问 Security Hub 进行安全管理的用户不同。
我们建议您在所有区域使用同一个委托管理员。如果您选择使用中心配置,Security Hub 会自动在您的主区域和任何关联区域中指定相同的委托管理员。
验证权限以配置委派的管理员
要指定和移除委托的 Security Hub 管理员帐户,组织管理帐户必须具有在 Security Hub 中DisableOrganizationAdminAccount
执行EnableOrganizationAdminAccount
和操作的权限。Organizations 管理账户还必须拥有 Organizations 的管理权限。
要授予所有必需的权限,请将以下 Security Hub 托管策略附加到组织管理账户的 IAM 委托人:
指定委派管理员
要指定委派的 Security Hub 管理员帐户,您可以使用 Security Hub 控制台、Security Hub API 或 Amazon CLI。Security Hub Amazon Web Services 区域 仅在当前区域设置委托管理员,您必须在其他区域重复该操作。如果您开始使用中心配置,则 Security Hub 会自动在主区域和关联区域中设置相同的委托管理员。
组织管理账户不必启用 Security Hub 即可指定委派的 Security Hub 管理员帐户。
我们建议组织管理账户不是委派的 Security Hub 管理员账户。但是,如果您选择组织管理帐户作为 Security Hub 的委托管理员,则该管理帐户必须启用 Security Hub。如果管理账户未启用 Security Hub,则必须手动为其启用 Security Hub。无法为组织管理账户自动启用 Security Hub。
注意
您必须使用以下方法之一指定委派的 Security Hub 管理员。使用 Organizations API 指定委派的 Security Hub 管理员并不能反映在 Security Hub 中。
选择您的首选方法,然后按照步骤指定委派的 Security Hub 管理员帐户。
移除或更改委派的管理员
警告
在使用中心配置时,无法使用 Security Hub 控制台或 Security Hub API 来更改或删除委托管理员账户。如果组织管理账户使用 Amazon Organizations 控制台或 Amazon Organizations API 更改或移除委派的 Security Hub 管理员,Security Hub 会自动停止集中配置,并删除您的配置策略和策略关联。成员账户保留其在更改或删除委托管理员之前的配置。
只有组织管理帐户才能移除委派的 Security Hub 管理员帐户。
要更改委派的 Security Hub 管理员,必须先移除当前委派的管理员帐户,然后再指定一个新帐户。
如果您使用 Security Hub 控制台删除一个区域的委托管理员,该管理员将在所有区域中被自动删除。
Security Hub API 仅从发出 API 调用或命令的区域中移除委派的 Security Hub 管理员账户。您必须在其他区域重复执行此操作。
如果您使用 Organizations API 移除委托的 Security Hub 管理员账户,则该账户将在所有区域中自动删除。
移除委托管理员(Organizations API, Amazon CLI)
您可以使用 Organizations 删除所有区域中委派的 Security Hub 管理员。
如果您使用中心配置来管理账户,则移除委托管理员账户会导致您的配置策略和策略关联被删除。成员账户保留其在更改或删除委托管理员之前的配置。但是,这些账户无法再由已删除的委托管理员账户进行管理。它们成为自行管理账户,必须在每个区域单独配置。
选择您的首选方法,然后按照说明删除委托的 Security Hub 管理员帐户 Amazon Organizations。
移除委派的管理员(Security Hub 控制台)
您可以使用 Security Hub 控制台移除所有区域中委派的 Security Hub 管理员。
移除委派的 Security Hub 管理员帐户后,成员账户将与已移除的委托 Security Hub 管理员账户解除关联。
成员账户仍会启用 Security Hub。它们将变为独立账户,直至新的 Security Hub 管理员将它们启用为成员账户。
如果组织管理帐户不是 Security Hub 中已启用的帐户,请使用 “欢迎使用 Security Hub” 页面上的选项。
从 “欢迎使用 Security Hub” 页面中移除委派的 Security Hub 管理员帐户
打开 Amazon Security Hub 控制台,网址为 https://console.aws.amazon.com/securityhub/
。 -
选择转到 Security Hub。
-
在委托管理员下,选择删除。
如果组织管理帐户是 Sec urity Hub 中已启用的帐户,请使用 “设置” 页面的 “常规” 选项卡上的选项。
从 “设置” 页面移除委派的 Security Hub 管理员帐户
打开 Amazon Security Hub 控制台,网址为 https://console.aws.amazon.com/securityhub/
。 -
在 Security Hub 导航窗格中,选择设置。然后,选择常规。
-
在委托管理员下,选择删除。
移除委托的管理员(Security Hub API, Amazon CLI)
您可以使用 Security Hub API 或 Security Hub 操作 Amazon CLI 来移除委派的 Security Hub 管理员。当您使用其中一种方法删除委托管理员时,只有在发出 API 调用或命令的区域中的委托管理员才会被删除。Security Hub 不会更新其他区域,也不会移除中的委托管理员账户 Amazon Organizations。
选择您的首选方法,然后按照以下步骤使用 Security Hub 删除委托的 Security Hub 管理员帐户。
禁用 Security Hub 与的集成 Amazon Organizations
Amazon Organizations 组织与集成后 Amazon Security Hub,Organizations 管理帐户随后可以禁用该集成。作为组织管理账户的用户,您可以通过在 Amazon Organizations中禁用对 Security Hub 的可信访问来实现。
当您禁用 Security Hub 的可信访问权限时,会出现以下情况:
-
Security Hub 在中失去了其作为可信服务的地位 Amazon Organizations。
-
Security Hub 委托管理员账户将无法访问 Amazon Web Services 区域中所有 Security Hub 成员账户的 Security Hub 设置、数据和资源。
-
如果您使用的是中心配置,Security Hub 会自动停止在您的组织中使用它。您的配置策略和策略关联会被删除。账户保留在您禁用可信访问之前的配置。
-
所有 Security Hub 成员账户都将成为独立账户,并保留其当前设置。如果在一个或多个区域为成员账户启用 Security Hub,则这些地区的账户将继续启用 Security Hub。启用的标准和控件也保持不变。您可以在每个账户和地区中分别更改这些设置。但是,该账户不再与任何地区的委托管理员账户关联。
有关禁用可信服务访问的结果的更多信息,请参阅《Amazon Organizations 用户指南》 Amazon Web Services中的 “Amazon Organizations 与其他人一起使用”。
要禁用可信访问,您可以使用 Amazon Organizations 控制台、Organizations API 或 Amazon CLI。只有组织管理账户的用户,可以禁用 Security Hub 的可信服务访问权限。有关所需权限的详细信息,请参阅 Amazon Organizations 用户指南中的禁用可信访问所需的权限。
在禁用可信访问权限之前,可以选择与组织的委托管理员合作,禁用成员账户的 Security Hub,并清理这些账户的 Security Hub 资源。
选择您的首选方法,然后按照以下步骤禁用 Security Hub 的受信任访问。