在新组织账户中手动启用 Security Hub CSPM - Amazon Security Hub
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

在新组织账户中手动启用 Security Hub CSPM

如果您在新组织账户加入组织时没有自动启用 Security Hub CSPM,则可以将这些账户添加为成员,并在这些账户加入组织后在其中手动启用 Security Hub CSPM。您还必须在之前已解除与某个组织关联的 Amazon Web Services 账户中手动启用 Security Hub CSPM。

注意

如果您使用中心配置,则本节不适用于您。如果使用中心配置,您可以创建配置策略,在特定成员账户和组织单元 (OU) 中启用 Security Hub CSPM。您还可以在这些账户和 OU 中启用特定的标准和控件。

如果账户已经是其他组织中的成员账户,则无法在账户中启用 Security Hub CSPM。

您也无法在当前已暂停的账户中启用 Security Hub CSPM。如果您尝试在已暂停的账户中启用服务,则账户状态会更改为账户已暂停

  • 如果该账户未启用 Security Hub CSPM,则会在该账户中启用 Security Hub CSPM。除非您关闭默认安全标准,否则账户中还会启用 Amazon 基础安全最佳实践(FSBP)标准和 CIS Amazon 基金会基准 v1.2.0。

    组织管理账户除外。无法在 Organizations 管理账户中自动启用 Security Hub CSPM。您必须在 Organizations 管理账户中手动启用 Security Hub CSPM,然后才能将其作为成员账户添加。

  • 如果该账户已经启用了 Security Hub CSPM,则 Security Hub CSPM 不会对该账户进行任何其他更改。它仅启用成员资格。

为了让 Security Hub CSPM 生成控制调查发现,成员账户必须启用 Amazon Config 并进行配置以记录所需的资源。有关更多信息,请参阅启用和配置 Amazon Config

选择您喜欢的方法,然后按照步骤将组织账户启用为 Security Hub CSPM 成员账户。

Security Hub CSPM console
手动将组织账户启用为 Security Hub CSPM 成员

  1. 打开 Amazon Security Hub CSPM 控制台,网址为 https://console.aws.amazon.com/securityhub/

    使用委托管理员账户凭证登录。

  2. 在 Security Hub CSPM 导航窗格中的设置下,选择配置

  3. 账户列表中,选中要启用的每个组织账户。

  4. 选择操作,然后选择添加成员

Security Hub CSPM API

手动将组织账户启用为 Security Hub CSPM 成员

从委托管理员账户调用 CreateMembers API。对于要启用的每个账户,请提供账户 ID。

与手动邀请流程不同,当您调用 CreateMembers 启用组织账户时,无需发送邀请。

Amazon CLI

手动将组织账户启用为 Security Hub CSPM 成员

从委托管理员账户运行 create-members 命令。对于要启用的每个账户,请提供账户 ID。

与手动邀请流程不同,当您运行 create-members 启用组织账户时,无需发送邀请。

aws securityhub create-members --account-details '[{"AccountId": "<accountId>"}]'

示例

aws securityhub create-members --account-details '[{"AccountId": "123456789111"}, {"AccountId": "123456789222"}]'