本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
关于账户管理的限制和建议
以下各节总结了在 Amazon Security Hub中管理成员账户时应注意的一些限制和建议。
成员账户的最大数量
如果您使用与的集成 Amazon Organizations,Security Hub 在每个委托管理员账户中最多支持 10,000 个成员账户 Amazon Web Services 区域。如果您手动启用和管理 Security Hub,Security Hub 在每个区域中每个管理员账户最多支持 1,000 个成员账户邀请。
账户和区域
按组织列出的成员资格
如果您将 Security Hub 与集成 Amazon Organizations,则组织管理帐户可以为 Security Hub 指定委派管理员 (DA) 帐户。不能将组织管理账户设置为组织的 DA。虽然 Security Hub 允许这样做,但我们建议不要将组织管理账户设为 DA。
我们建议在所有区域选择同一个 DA 账户。如果使用中心配置,则 Security Hub 会在您为组织配置 Security Hub 的所有区域中设置相同的 DA 账户。
我们还建议您在 Amazon 安全与合规服务中选择相同的 DA 帐户,以帮助您在单一管理平台中管理与安全相关的问题。
通过邀请的成员资格
对于通过邀请创建的成员账户,管理员与成员账户的关联仅在发出邀请的地区创建。管理员账户必须在要使用的每个区域中启用 Security Hub。然后,管理员账户会邀请每个账户成为该区域的成员账户。
对管理员与成员关系的限制
注意
如果您将 Security Hub 集成与 Amazon Organizations,并且尚未手动邀请任何成员帐户,则此部分不适用于您。
账户不能既是管理员账户又是成员账户。
一个成员账户只能与一个管理员账户关联。如果组织账户由 Security Hub 管理员账户启用,则该账户将无法接受来自其他账户的邀请。如果账户已接受邀请,Security Hub 组织管理员就无法启用该账户。它也无法接收来自其他账户的邀请。
对于手动邀请流程,接受成员资格邀请是可选的。
跨服务协调管理员账户
Security Hub 汇总了来自各种 Amazon 服务的调查结果,例如亚马逊 GuardDuty、Amazon Inspector 和 Amazon Macie。Security Hub 还允许用户从调查 GuardDuty 结果转向在 Amazon Detective 中开始调查。
但是,您在这些其他服务中设置的管理员与成员关系不会自动应用于 Security Hub。Security Hub 建议所有这些服务使用与管理员账户相同的账户。此管理员账户应该是负责安全工具的账户。同一个账户也应该是 Amazon Config的聚合器账户。
例如, GuardDuty 管理员账户 A 中的用户可以在 GuardDuty 控制台上查看 GuardDuty成员账户 B 和 C 的调查结果。如果账户 A 随后启用了 Security Hub,则账户 A 的用户不会自动在 Security Hub 中看到账户 B 和 C 的搜索 GuardDuty结果。这些账户还需要建立 Security Hub 管理员与成员关系。
为此,请将账户 A 设为 Security Hub 管理员账户,并使账户 B 和 C 成为 Security Hub 成员账户。