限制和建议 - Amazon Security Hub
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

限制和建议

成员账户的最大数量

Security Hub 在每个区域中,每个管理员账户最多支持 5,000 个成员账户。

账户和区域

组织成员资格

如果你已注册Amazon Organizations,组织管理账户指定了 Security Hub 管理员帐户。

组织管理帐户在每个区域中分别指定 Security Hub 管理员帐户。Security Hub 管理员帐户也是 Organizations 中的委派管理员帐户。您可以在所有区域中选择该帐户作为 Security Hub 管理员帐户。

Security Hub 管理员帐户还分别管理每个区域的成员帐户。

按邀请成员资格

对于通过邀请创建的成员账户,仅在发送邀请的区域中创建管理员-成员账户关联。管理员账户必须在要使用的每个区域中启用 Security Hub。然后,管理员帐户邀请每个账户作为该区域中的成员账户关联。

管理员与成员关系的限制

账户不能同时是管理员账户和成员账户。

成员账户只能与一个管理员帐户关联。如果 Security Hub 管理员帐户启用了组织帐户,则该账户不能接受来自其他账户的邀请。如果帐户已接受邀请,则 Security Hub 管理员帐户无法为组织启用该帐户。它也无法接收来自其他账户的邀请。

对于手动邀请流程,接受成员资格邀请是可选的。

跨服务协调管理员账户

Security Hub 汇总了来自各种Amazon服务,如 Amazon GuardDuty、Amazon Inspector 和 Amazon Macie。Security Hub 还允许用户从 GuardDuty 结果中透视以开始在亚马逊 Detective 中的调查。

但是,您在其他这些服务中设置的管理员-成员关系不会自动应用于 Security Hub。Security Hub 建议您为所有这些服务使用相同的账户作为管理员帐户。此管理员账户应该是负责安全工具的账户。同一账户也应该是用于的聚合器账户Amazon Config.

例如,GuardDuty 管理员账户 A 中的用户可以在 GuardDuty 控制台上查看 GuardDuty 成员账户 B 和 C 的结果。如果账户 A 随后启用 Security Hub,则账户 A 中的用户可以在 Security Hub 中自动查看账户 B 和 C 的 GuardDuty 调查结果。这些帐户还需要 Security Hub 管理员与成员之间的关系。

为此,请将账户 A 设为 Security Hub 管理员帐户,并启用账户 B 和 C 成为 Security Hub 成员账户。