限制 - Amazon Security Hub
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

限制

成员账户的最大数量

Security Hub 在每个地区的每个管理员帐户最多可支持 5,000 个成员帐户。

账户和区域

如果您使用Amazon Organizations管理帐户时,组织管理帐户将指定 Security Hub 管理员帐户。在所有区域中,指定的管理员帐户必须相同。但是,组织管理帐户必须在每个地区分别指定管理员帐户。管理员帐户还分别管理每个区域的成员帐户。

对于通过邀请创建的成员账户,仅在发送邀请的区域中创建管理员-成员账户关联。管理员账户必须在要使用的每个区域中启用 Security Hub。然后,管理员帐户邀请每个帐户作为该地区的成员帐户进行关联。

管理员与成员关系的限制

账户不能同时是 Security Hub 管理员账户和成员账户。

成员帐户只能与一个管理员帐户相关联。如果某个组织账户是由 Security Hub 管理员账户启用的,则该账户不能接受来自其他账户的邀请。如果帐户已接受邀请,则该组织的 Security Hub 管理员帐户无法启用该帐户。它也不能接收来自其他账户的邀请。

对于手动邀请流程,接受成员资格邀请是可选的。

跨服务协调管理员账户

Security Hub 汇总了来自各种Amazon服务,如 Amazon GuardDuty、Amazon Inspector 和 Amazon Macie。Security Hub 还允许用户从 GuardDuty 结果中透视以开始在 Amazon Detective 中的调查。

但是,您在其他这些服务中设置的管理员-成员关系不会自动应用于 Security Hub。Security Hub 建议您为所有这些服务使用相同的账户。此管理员账户应该是负责安全工具的账户。同一帐户也应该是Amazon Config。

例如,GuardDuty 管理员账户 A 中的用户可以在 GuardDuty 控制台上查看 GuardDuty 成员账户 B 和 C 的结果。如果账户 A 随后启用了 Security Hub,则账户 A 中的用户会执行自动查看 Security Hub 账户 B 和账户 C 的 GuardDuty 调查结果。这些帐户还需要 Security Hub 管理员与成员关系。

为此,请将账户 A 设为 Security Hub 管理员账户,并允许账户 B 和 C 成为 Security Hub 成员账户。