在新组织账户中手动启用 Security Hub CSPM - Amazon Security Hub
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在新组织账户中手动启用 Security Hub CSPM

如果您在新组织帐户加入组织时没有自动启用 Security Hub CSPM,则可以将这些帐户添加为成员,并在他们加入组织后手动在他们中启用 Security Hub CSPM。您还必须手动启用 Security Hub CSPM Amazon Web Services 账户 ,因为您之前已取消与组织的关联。

注意

如果您使用中心配置,则本节不适用于您。如果您使用集中配置,则可以创建配置策略,在指定的成员账户和组织单位中启用 Security Hub CSPM()OUs。您还可以在这些帐户中启用特定的标准和控制,以及 OUs.

如果账户已经是其他组织中的成员账户,则无法在账户中启用 Security Hub CSPM。

您也无法在当前已暂停的账户中启用 Security Hub CSPM。如果您尝试在已暂停的账户中启用服务,则账户状态会更改为账户已暂停

  • 如果该账户未启用 Security Hub CSPM,则会在该账户中启用 Security Hub CSPM。除非您关闭默认安全标准,否则账户中还会启用 Amazon Amazon 基础安全最佳实践 (FSBP) 标准和 CIS Foundations Benchmark v1.2.0。

    组织管理账户除外。无法在 Organizations 管理账户中自动启用 Security Hub CSPM。必须在 Organizations 管理账户中手动启用 Security Hub CSPM,然后才能将其添加为成员账户。

  • 如果该账户已经启用了 Security Hub CSPM,则 Security Hub CSPM 不会对该账户进行任何其他更改。它仅启用成员资格。

为了让 Security Hub CSPM 生成控制结果,必须 Amazon Config 启用并配置成员账户以记录所需的资源。有关更多信息,请参阅启用和配置 Amazon Config

选择您的首选方法,然后按照步骤将组织帐户启用为 Security Hub CSPM 成员帐户。

Security Hub CSPM console
手动启用组织帐户作为 Security Hub CSPM 成员

  1. 打开 Sec Amazon urity Hub 云安全态势管理 (CSPM) 控制台,网址为。https://console.aws.amazon.com/securityhub/

    使用委托管理员账户凭证登录。

  2. 在 Security Hub CSPM 导航窗格的 “设置” 下,选择 “配置”。

  3. 账户列表中,选中要启用的每个组织账户。

  4. 选择操作,然后选择添加成员

Security Hub CSPM API

手动启用组织帐户作为 Security Hub CSPM 成员

从委托管理员账户调用 CreateMembers API。对于要启用的每个账户,请提供账户 ID。

与手动邀请流程不同,当您调用 CreateMembers 启用组织账户时,无需发送邀请。

Amazon CLI

手动启用组织帐户作为 Security Hub CSPM 成员

从委托管理员账户运行 create-members 命令。对于要启用的每个账户,请提供账户 ID。

与手动邀请流程不同,当您运行 create-members 启用组织账户时,无需发送邀请。

aws securityhub create-members --account-details '[{"AccountId": "<accountId>"}]'

示例

aws securityhub create-members --account-details '[{"AccountId": "123456789111"}, {"AccountId": "123456789222"}]'