本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
在 Security Hub CSPM 中管理多个账户的建议
以下各节总结了在 Amazon Security Hub CSPM 中管理成员账户时应注意的一些限制和建议。
成员账户的最大数量
如果使用与 Amazon Organizations 的集成,Security Hub CSPM 支持每个 Amazon Web Services 区域中每个委派管理员账户最多拥有 10,000 个成员账户。如果手动启用和管理 Security Hub CSPM,Security Hub CSPM 支持每个区域每个管理员账户最多 1,000 个成员账户邀请。
创建管理员与成员关系
注意
如果使用 Security Hub CSPM 与 Amazon Organizations 的集成,并且尚未手动邀请任何成员账户,则该部分不适用于您。
账户不能既是管理员账户又是成员账户。
一个成员账户只能与一个管理员账户关联。如果组织账户由 Security Hub CSPM 管理员账户启用,则该账户将无法接受来自其他账户的邀请。如果某账户已经接受邀请,则该账户无法通过组织的 Security Hub CSPM 管理员账户启用。它也无法接收来自其他账户的邀请。
对于手动邀请流程,接受成员资格邀请是可选的。
通过 Amazon Organizations 获得成员资格
如果将 Security Hub CSPM 与 Amazon Organizations 集成,Organizations 管理账户可以为 Security Hub CSPM 指定委派管理员 (DA) 账户。不能将组织管理账户设置为组织的 DA。虽然 Security Hub CSPM 允许这样做,但我们建议不要将 Organizations 管理账户设为 DA。
我们建议在所有区域选择同一个 DA 账户。如果使用中心配置,则 Security Hub CSPM 会在您为组织配置 Security Hub CSPM 的所有区域中设置相同的 DA 账户。
我们还建议您在 Amazon 安全与合规服务中选择同一个 DA 账户,以帮助您在单一管理平台中管理安全相关问题。
通过邀请的成员资格
对于通过邀请创建的成员账户,管理员与成员账户的关联仅在发出邀请的地区创建。管理员账户必须在要使用的每个区域中启用 Security Hub CSPM。然后,管理员账户会邀请每个账户成为该区域的成员账户。
注意
我们建议使用 Amazon Organizations 代替 Security Hub CSPM 邀请管理成员账户。
跨服务协调管理员账户
Security Hub CSPM 汇总了来自各种 Amazon 服务的调查发现,例如 Amazon GuardDuty、Amazon Inspector 和 Amazon Macie。Security Hub CSPM 还允许用户从 GuardDuty 调查发现转向为在 Amazon Detective 中开始调查。
但是,您在这些其他服务中设置的管理员与成员关系不会自动应用于 Security Hub CSPM。Security Hub CSPM 建议所有这些服务使用与管理员账户相同的账户。此管理员账户应该是负责安全工具的账户。同一个账户也应该是 Amazon Config 的聚合器账户。
例如,GuardDuty 管理员账户 A 的用户可以在 GuardDuty 控制台上查看 GuardDuty 成员账户 B 和 C 的调查发现。如果账户 A 随后启用 Security Hub CSPM,则账户 A 中的用户不会自动看到账户 B 和账户 C 在 Security Hub CSPM 中的 GuardDuty 调查发现。这些账户还需要建立 Security Hub CSPM 管理员与成员关系。
为此,请将账户 A 设为 Security Hub CSPM 管理员账户,并使账户 B 和 C 成为 Security Hub CSPM 成员账户。