本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
在 Security Hub 中启用安全标准
当您在中启用安全标准时 Amazon Security Hub,适用于该标准的所有控件都会自动在其中启用。Security Hub 还将开始为适用于该标准的控件运行安全检查并生成调查发现。
在启用任何安全标准之前,应 Amazon Config 为适用于该标准的控件使用的所有资源开启资源记录功能。否则,Security Hub 可能无法为适用于标准的控件生成调查发现。有关更多信息,请参阅 启用和配置前的注意事项 Amazon Config。
然后,您可以选择每个标准中要启用和禁用的控件。禁用控件会阻止生成该控件的调查发现,并且在计算安全分数时会忽略该控件。
启用 Security Hub 后,Security Hub 会在您首次访问 Security Hub 控制台上的摘要页面或安全标准页面后 30 分钟内计算标准的初始安全分数。在中国地区和 Amazon GovCloud (US) Region生成首次获得安全评分最多需要 24 小时。仅针对您访问这些页面时启用的标准生成分数。此外,必须配置 Amazon Config 资源记录才能显示分数。首次生成分数后,Security Hub 每 24 小时更新一次安全分数。Security Hub 显示时间戳以指示安全评分上次更新的时间。要查看您的账户中当前启用的标准列表,请调用 GetEnabledStandards API.
启用标准的说明因您是否使用中心配置而异。如果您集成了 Security Hub 和,则可以使用集中配置 Amazon Organizations。如果要在多账户、多区域环境中启用标准,我们建议使用中心配置。如果您不使用中心配置,则必须在每个账户和区域中分别启用每个标准。
在多个账户和区域中启用标准
要在多个账户和之间启用安全标准 Amazon Web Services 区域,必须使用集中配置。
使用中心配置时,委托管理员可以创建启用一个或多个标准的 Security Hub 配置策略。然后,您可以将配置策略与特定的账户和组织单位 (OUs) 或根相关联。配置策略在您的主区域(也称为聚合区域)和所有关联区域中生效。
配置策略可自定义。例如,您可以选择在一个 OU 中仅启用 Amazon 基础安全最佳实践 (FSBP),也可以选择在另一个 OU 中启用FSBP互联网安全中心 (CIS) Amazon Foundations Benchmark v1.4.0。有关创建启用了指定标准的配置策略的说明,请参阅创建和关联配置策略
如果您使用中心配置,Security Hub 不会在新账户或现有账户中自动启用任何标准。相反,在创建配置策略时,委托管理员会定义要在不同账户中启用哪些标准。Security Hub 提供了一种推荐的配置策略,该策略FSBP仅启用。有关更多信息,请参阅 配置策略的类型。
注意
授权的管理员可以创建配置策略来启用除服务管理标准之外的任何标准: Amazon Control Tower。您只能在 Amazon Control Tower 服务中启用此标准。如果您使用中心配置,则只能在 Amazon Control Tower中为集中管理的账户启用和禁用本标准中的控件。
如果您希望某些账户自行配置标准而不是由委托管理员配置,则委托管理员可以将这些账户指定为自行管理。自行管理账户必须在每个区域单独配置标准。
在单个账户和区域中启用标准
如果您不使用中心配置或者您是自行管理账户,则无法使用配置策略在多个账户和区域中集中启用标准。但是,您可以使用以下步骤在单个账户和区域中启用标准。