在 Security Hub CSPM 中管理多个账户的建议 - Amazon Security Hub
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在 Security Hub CSPM 中管理多个账户的建议

以下部分总结了在 Security Hub 云 Amazon 安全态势管理 (CSPM) 中管理成员帐户时需要记住的一些限制和建议。

成员账户的最大数量

如果您使用与的集成 Amazon Organizations,Security Hub CSPM 在每个委托管理员账户中最多支持 10,000 个成员账户。 Amazon Web Services 区域如果您手动启用和管理 Security Hub CSPM,Security Hub CSPM 在每个区域中每个管理员账户最多支持 1,000 个成员账户邀请。

创建管理员与成员关系

注意

如果您将 Security Hub CSPM 与 Amazon Organizations Security Hub CSPM 集成,并且尚未手动邀请任何成员帐户,则此部分不适用于您。

账户不能既是管理员账户又是成员账户。

一个成员账户只能与一个管理员账户关联。如果组织帐户由 Security Hub CSPM 管理员帐户启用,则该帐户将无法接受来自其他账户的邀请。如果某个账户已经接受了邀请,则该组织的 Security Hub CSPM 管理员帐户无法启用该帐户。它也无法接收来自其他账户的邀请。

对于手动邀请流程,接受成员资格邀请是可选的。

通过以下方式获得会 Amazon Organizations

如果您将 Security Hub CSPM 与集成 Amazon Organizations,则组织管理帐户可以为 Security Hub CSPM 指定委托管理员 (DA) 帐户。不能将组织管理账户设置为组织的 DA。虽然 Security Hub CSPM 允许这样做,但我们建议不要将 Organizations 管理账户设为 DA。

我们建议在所有区域选择同一个 DA 账户。如果您使用集中配置,则 Security Hub CSPM 会在您为组织配置 Security Hub CSPM 的所有区域中设置相同的 DA 帐户。

我们还建议您在 Amazon 安全与合规服务中选择相同的 DA 帐户,以帮助您在单一管理平台中管理与安全相关的问题。

通过邀请的成员资格

对于通过邀请创建的成员账户,管理员与成员账户的关联仅在发出邀请的地区创建。管理员帐户必须在要使用的每个区域中启用 Security Hub CSPM。然后,管理员账户会邀请每个账户成为该区域的成员账户。

注意

我们建议使用 Amazon Organizations 代替 Security Hub CSPM 邀请来管理您的会员账户。

跨服务协调管理员账户

Security Hub CSPM 汇总了来自亚马逊、亚马逊 Insp GuardDuty ector 和 Amazon Macie 等各种 Amazon 服务的调查结果。Security Hub CSPM 还允许用户从调查 GuardDuty 结果转向在 Amazon Detective 中开始调查。

但是,您在这些其他服务中设置的管理员-成员关系不会自动应用于 Security Hub CSPM。Security Hub CSPM 建议您使用与管理员帐户相同的帐户来管理所有这些服务。此管理员账户应该是负责安全工具的账户。同一个账户也应该是 Amazon Config的聚合器账户。

例如, GuardDuty 管理员账户 A 中的用户可以在 GuardDuty 控制台上查看 GuardDuty成员账户 B 和 C 的调查结果。如果账户 A 随后启用 Security Hub CSPM,则账户 A 的用户不会自动在 Security Hub CSPM 中看到账户 B 和 C 的搜索 GuardDuty结果。这些账户还需要 Security Hub CSPM 管理员与成员的关系。

为此,请将账户 A 设为 Security Hub CSPM 管理员帐户,并允许账户 B 和 C 成为 Security Hub CSPM 成员账户。