使用管理多个账户的 Security Hub CSPM Amazon Organizations - Amazon Security Hub
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用管理多个账户的 Security Hub CSPM Amazon Organizations

您可以将 Sec Amazon urity Hub 云安全态势管理 (CSPM) 与组织中的账户集成 Amazon Organizations,然后为其管理 Security Hub CSPM。

要将 Security Hub CSPM 与 Security Hub CSPM 集成 Amazon Organizations,你需要在中创建一个组织。 Amazon Organizations Organizations 管理账户将一个账户指定为该组织的 Security Hub CSPM 授权管理员。然后,授权的管理员可以为组织中的其他账户启用 Security Hub CSPM,将这些账户添加为 Security Hub CSPM 成员账户,然后对成员账户采取允许的操作。Security Hub CSPM 授权管理员可以为多达 10,000 个成员账户启用和管理 Security Hub CSPM。

委托管理员的配置能力范围取决于您是否使用中心配置。启用中央配置后,您无需在每个成员账户中单独配置 Security Hub CSPM,而且。 Amazon Web Services 区域授权的管理员可以在各区域的指定成员账户和组织单位 (OUs) 中强制执行特定的 Security Hub CSPM 设置。

Security Hub CSPM 委托管理员账户可以对成员账户执行以下操作:

  • 如果使用集中配置,请通过创建 Security Hub CSPM 配置策略为成员账户集中配置 Secur OUs ity Hub CSPM。配置策略可用于启用和禁用 Security Hub CSPM、启用和禁用标准以及启用和禁用控件。

  • 账户加入组织时,自动将其视为 Security Hub CSPM 成员账户。如果您使用中心配置,则与 OU 关联的配置策略包括属于 OU 的现有账户和新账户。

  • 现有组织账户视为 Security Hub CSPM 成员账户。如果您使用中心配置,这种情况会自动出现。

  • 取消关联属于该组织的成员账户。如果您使用中心配置,则只有在将成员账户指定为自行管理之后,才能取消其关联。或者,您可以将禁用 Security Hub CSPM 的配置策略与特定的集中管理成员账户相关联。

如果您不选择中心配置,则组织会使用称为本地配置的默认配置类型。在本地配置下,委托管理员在成员账户中强制设置的能力将更为有限。有关更多信息,请参阅 了解 Security Hub CSPM 中的本地配置

有关委托管理员可以对成员账户执行的操作的完整列表,请参阅允许管理员和成员账户在 Security Hub CSPM 中执行的操作

本节中的主题说明了如何将 Security Hub CSPM 与组织中的账户集成, Amazon Organizations 以及如何为组织中的账户管理 Security Hub CSPM。在相关时,每个部分都确定了中心配置用户在管理方面的好处和差异。