在新组织账户中手动启用 Security Hub - Amazon Security Hub
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在新组织账户中手动启用 Security Hub

如果您在新组织帐户加入组织时没有自动启用 Security Hub,则可以将这些帐户添加为成员,并在他们加入组织后在其中手动启用 Security Hub。您还必须手动启用 Security Hub Amazon Web Services 账户 ,因为您之前已取消与某个组织的关联。

注意

如果您使用中心配置,则本节不适用于您。如果您使用中心配置,您可以创建配置策略,在特定成员账户和组织单位(OU)中启用 Security Hub。您还可以在这些账户和 OU 中启用特定的标准和控件。

如果账户已经是其他组织中的成员账户,则无法在账户中启用 Security Hub。

您也无法在当前已暂停的账户中启用 Security Hub。如果您尝试在已暂停的账户中启用服务,则账户状态会更改为账户已暂停

  • 如果该账户未启用 Security Hub,则会在该账户中启用 Security Hub。除非您关闭默认安全标准,否则账户中还会启用 Amazon Amazon 基础安全最佳实践 (FSBP) 标准和 CIS Foundations Benchmark v1.2.0。

    组织管理账户除外。无法在组织管理账户中自动启用 Security Hub。您必须在组织管理账户中手动启用 Security Hub,然后才能将其作为成员账户添加。

  • 如果该账户已经启用了 Security Hub,则 Security Hub 不会对该账户进行任何其他更改。它仅启用成员资格。

为了让 Security Hub 生成控制结果,必须 Amazon Config 启用并配置成员账户以记录所需的资源。有关更多信息,请参阅启用和配置 Amazon Config

选择您的首选方法,然后按照步骤将组织账户启用为 Security Hub 成员账户。

Security Hub console
要手动将组织账户启用为 Security Hub 成员

  1. 打开 Amazon Security Hub 控制台,网址为 https://console.aws.amazon.com/securityhub/

    使用委托管理员账户凭证登录。

  2. 在 Security Hub 导航窗格中的设置下,选择配置

  3. 账户列表中,选中要启用的每个组织账户。

  4. 选择操作,然后选择添加成员

Security Hub API

要手动将组织账户启用为 Security Hub 成员

从委托管理员账户调用 CreateMembers API。对于要启用的每个账户,请提供账户 ID。

与手动邀请流程不同,当您调用 CreateMembers 启用组织账户时,无需发送邀请。

Amazon CLI

要手动将组织账户启用为 Security Hub 成员

从委托管理员账户运行 create-members 命令。对于要启用的每个账户,请提供账户 ID。

与手动邀请流程不同,当您运行 create-members 启用组织账户时,无需发送邀请。

aws securityhub create-members --account-details '[{"AccountId": "<accountId>"}]'

示例

aws securityhub create-members --account-details '[{"AccountId": "123456789111"}, {"AccountId": "123456789222"}]'