本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
限制和建议
成员账户的最大数量
Security Hub 在每个区域中,每个管理员账户最多支持 5,000 个成员账户。
账户和区域
组织成员资格
如果你已注册Amazon Organizations,组织管理账户指定了 Security Hub 管理员帐户。
组织管理帐户在每个区域中分别指定 Security Hub 管理员帐户。Security Hub 管理员帐户也是 Organizations 中的委派管理员帐户。您可以在所有区域中选择该帐户作为 Security Hub 管理员帐户。
Security Hub 管理员帐户还分别管理每个区域的成员帐户。
按邀请成员资格
对于通过邀请创建的成员账户,仅在发送邀请的区域中创建管理员-成员账户关联。管理员账户必须在要使用的每个区域中启用 Security Hub。然后,管理员帐户邀请每个账户作为该区域中的成员账户关联。
管理员与成员关系的限制
账户不能同时是管理员账户和成员账户。
成员账户只能与一个管理员帐户关联。如果 Security Hub 管理员帐户启用了组织帐户,则该账户不能接受来自其他账户的邀请。如果帐户已接受邀请,则 Security Hub 管理员帐户无法为组织启用该帐户。它也无法接收来自其他账户的邀请。
对于手动邀请流程,接受成员资格邀请是可选的。
跨服务协调管理员账户
Security Hub 汇总了来自各种Amazon服务,如 Amazon GuardDuty、Amazon Inspector 和 Amazon Macie。Security Hub 还允许用户从 GuardDuty 结果中透视以开始在亚马逊 Detective 中的调查。
但是,您在其他这些服务中设置的管理员-成员关系不会自动应用于 Security Hub。Security Hub 建议您为所有这些服务使用相同的账户作为管理员帐户。此管理员账户应该是负责安全工具的账户。同一账户也应该是用于的聚合器账户Amazon Config.
例如,GuardDuty 管理员账户 A 中的用户可以在 GuardDuty 控制台上查看 GuardDuty 成员账户 B 和 C 的结果。如果账户 A 随后启用 Security Hub,则账户 A 中的用户可以不在 Security Hub 中自动查看账户 B 和 C 的 GuardDuty 调查结果。这些帐户还需要 Security Hub 管理员与成员之间的关系。
为此,请将账户 A 设为 Security Hub 管理员帐户,并启用账户 B 和 C 成为 Security Hub 成员账户。