本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用管理账户 Amazon Organizations
您可以 Amazon Security Hub 与 Amazon Organizations组织中的账户集成 Security Hub,然后对其进行管理。
要将 Security Hub 与集成 Amazon Organizations,你需要在中创建一个组织 Amazon Organizations。组织管理账户会将一个账户指定为该组织的 Security Hub 委托管理员。然后,委托管理员可以为组织中的其他账户启用 Security Hub,将这些账户添加为 Security Hub 成员账户,并对成员账户采取允许的操作。Security Hub 委托管理员可以为多达 1 万个成员账户启用和管理 Security Hub。
委托管理员的配置能力范围取决于您是否使用中心配置。启用中心配置后,您无需在每个成员账户和 Amazon Web Services 区域中单独配置 Security Hub。委托管理员可以在各区域的指定成员账户和组织单位(OU)中强制执行特定的 Security Hub 设置。
Security Hub 委托管理员账户可以对成员账户执行以下操作:
-
如果使用中心配置,请通过创建 Security Hub 配置策略为成员账户和 OU 中心配置 Security Hub。配置策略可用于启用和禁用 Security Hub、启用和禁用标准以及启用和禁用控件。
-
在将新账户添加到组织时,自动将其视为 Security Hub 成员账户。如果您使用中心配置,则与 OU 关联的配置策略包括属于 OU 的现有账户和新账户。
-
将现有组织账户视为 Security Hub 成员账户。如果您使用中心配置,这种情况会自动出现。
-
取消关联属于该组织的成员账户。如果您使用中心配置,则只有在将成员账户指定为自行管理之后,才能取消其关联。或者,您可以将禁用 Security Hub 的配置策略与特定的集中管理成员账户相关联。
有关委托管理员可以对成员账户执行的操作的完整列表,请参阅允许对账户执行的操作。
本节中的主题说明了如何将 Security Hub 与组织中的账户集成, Amazon Organizations 以及如何为组织中的账户管理 Security Hub。在相关时,每个部分都确定了中心配置用户在管理方面的好处和差异。