本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
在 Security Hub CSPM 中管理管理员和成员账户
如果您的 Amazon 环境有多个帐户,则可以将使用 Sec Amazon urity Hub Cloud 安全态势管理 (CSPM) 的帐户视为成员帐户,并将它们与单个管理员帐户关联。管理员可以监控您的整体安全状况,对成员账户执行允许的操作。管理员还可以大规模执行各种账户管理任务,例如监控预计使用成本和评测账户配额。
您可以通过两种方式将成员帐户与管理员关联:将 Security Hub CSPM 与 Security Hub CSPM 集成, Amazon Organizations 或者在 Security Hub CSPM 中手动发送和接受会员邀请。
使用管理账户 Amazon Organizations
Amazon Organizations 是一项全球账户管理服务,允许 Amazon 管理员整合和管理多个账户 Amazon Web Services 账户。它提供账户管理和整合账单功能,这些功能旨在满足预算、安全性和合规性需求。它不收取额外费用,并且与多种功能集成 Amazon Web Services 服务,包括Security Hub云 Amazon 安全态势管理(CSPM)、Amazon Macie和亚马逊。 GuardDuty有关更多信息,请参阅 Amazon Organizations 《用户指南》。
当你集成 Security Hub CSPM 和时 Amazon Organizations,Organizations 管理账户会指定 Security Hub CSPM 授权的管理员。Security Hub CSPM 将在指定的委托管理员账户 Amazon Web Services 区域 中自动启用。
指定委派管理员后,我们建议使用集中配置在 Security Hub CSPM 中管理帐户。这是自定义 Security Hub CSPM 并确保为您的组织提供足够安全覆盖的最有效方法。
中央配置允许授权管理员跨多个组织账户和区域自定义 Security Hub CSPM,而不必进行配置。 Region-by-Region您可以为整个组织创建配置策略,也可以为不同的账户和创建不同的配置策略 OUs。这些策略指定在关联账户中是启用还是禁用 Security Hub CSPM,以及启用了哪些安全标准和控制措施。
委托管理员可将账户指定为集中管理或自行管理。集中管理的账户只能由委托管理员配置。自行管理账户可以自行指定设置。
如果您不选择使用集中配置,则委派的管理员配置 Security Hub CSPM 的能力将更加有限,称为本地配置。在本地配置下,授权的管理员可以在当前区域的新组织帐户中自动启用 Security Hub CSPM 和默认安全标准。但现有账户不使用这些设置,因此账户加入组织后可能会出现配置偏差。
除了这些新账户设置外,本地配置是针对特定账户和特定区域的。每个组织帐户都必须在每个区域中单独配置 Security Hub CSPM 服务、标准和控制。本地配置也不支持使用配置策略。
通过邀请手动管理账户
如果您拥有独立账户或未与 Organizations 集成,则必须在 Security Hub CSPM 中通过邀请手动管理成员账户。独立账户不能与 Organizations 集成,因此需要手动管理。如果您将来添加其他帐户,我们建议您与中央配置集成 Amazon Organizations 并使用中央配置。
使用手动账户管理时,可以将一个账户指定为 Security Hub CSPM 管理员。管理员账户可以查看成员账户中的数据,对成员账户的调查发现执行某些操作。Security Hub CSPM 管理员邀请其他账户成为成员账户,当潜在成员账户接受邀请时,管理员与成员的关系即建立。
手动账户管理不支持使用配置策略。如果没有配置策略,管理员就无法通过为不同的账户配置变量设置来集中自定义 Security Hub CSPM。相反,每个组织帐户都必须在每个区域中分别为自己启用和配置 Security Hub CSPM。这可能会使在您使用 Security Hub CSPM 的所有账户和区域中确保足够的安全覆盖变得更加困难和耗时。这还可能导致配置偏差,因为成员账户可以指定自己的设置,而无需管理员输入。
要通过邀请管理账户,请参阅在 Security Hub CSPM 中通过邀请管理账户。