限制和建议 - AWS Security Hub
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

限制和建议

对主账户和会员账户的限制

Security Hub 在每个区域的每个主账户中最多支持 1000 个成员账户。

仅在发送邀请的区域中创建主-成员账户关联。您必须在要使用 Security Hub 的每个区域中启用它。然后,邀请每个账户在每个区域中作为成员账户进行关联。

Security Hub 账户不能同时是主账户和成员账户。

一个 Security Hub 账户只能接受一个成员资格邀请。接受成员资格邀请是可选的。

跨服务协调主账户

Security Hub 聚合来自各种 AWS 服务(如 Amazon GuardDuty、Amazon Inspector 和 Amazon Macie)的结果。Security Hub 还允许用户从 GuardDuty 结果中透视以开始在 Amazon Detective 中的调查。

但是,您在其他这些服务中设置的主/成员关系不会自动应用于 Security Hub。Security Hub 建议您为所有这些服务使用相同的账户作为主账户。此主账户应该是负责安全工具的账户。同一账户还应当是 AWS Config 的聚合器账户。

例如,GuardDuty 主账户 A 的用户可以在 GuardDuty 控制台上查看 GuardDuty 成员账户 B 和 C 的结果。如果账户 A 随后启用 Security Hub,则账户 A 中的用户不会 自动看到账户 B 和账户 C 在 Security Hub 中的 GuardDuty 结果。这些账户还需要 Security Hub 主成员关系。为此,您必须在全部三个账户(A、B 和 C)中启用 Security Hub。然后,将账户 A 设为 Security Hub 主账户,并邀请账户 B 和 C 成为 Security Hub 成员账户。