本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
管理管理员和成员账户
如果您的 Amazon 环境有多个账户,则可以将使用 Amazon Security Hub 的账户视为成员账户,并将其与单个管理员账户关联。管理员可以监控您的整体安全状况,对成员账户执行允许的操作。管理员还可以大规模执行各种账户管理任务,例如监控预计使用成本和评测账户配额。
您可以通过两种方式将成员账户与管理员关联:将 Security Hub 与 Amazon Organizations 集成,或者在 Security Hub 中手动发送和接受成员资格邀请。
使用 Amazon Organizations 管理账户
Amazon Organizations 是一项全球账户管理服务,使 Amazon 管理员能够整合和管理多个 Amazon Web Services 账户。它提供账户管理和整合账单功能,这些功能旨在满足预算、安全性和合规性需求。该服务不收取额外费用,可与多个 Amazon Web Services 集成,包括 Amazon Security Hub、Amazon Macie 和 Amazon GuardDuty。有关更多信息,请参阅 Amazon Organizations 用户指南。
在集成 Security Hub 和 Amazon Organizations 时,组织管理账户会指定一名 Security Hub 委托管理员。Security Hub 会在指定的 Amazon Web Services 区域 中的委托管理员账户中自动启用。
指定委托管理员后,我们建议使用中心配置在 Security Hub 中管理账户。这是自定义 Security Hub 并确保为组织提供足够的安全覆盖的有效方法。
中心配置让委托管理员能够跨多个组织账户和区域自定义 Security Hub,而不必逐个区域配置。您可以为整个组织创建配置策略,也可以为不同的账户和 OU 创建不同的配置策略。这些策略指定了在关联账户中启用还是禁用 Security Hub,以及启用哪些安全标准和控件。
委托管理员可将账户指定为集中管理或自行管理。集中管理的账户只能由委托管理员配置。自行管理账户可以自行指定设置。
如果您不选择使用中心配置,则委托管理员配置 Security Hub(称为本地配置)的能力将更为有限。在本地配置下,委托管理员可以在当前区域的新组织账户中自动启用 Security Hub 和默认安全标准。但现有账户不使用这些设置,因此账户加入组织后可能会出现配置偏差。
除了这些新账户设置外,本地配置是针对特定账户和特定区域的。每个组织账户必须在每个区域单独配置 Security Hub 服务、标准和控件。本地配置也不支持使用配置策略。
通过邀请手动管理账户
如果您拥有独立账户或未与 Organizations 集成,则必须在 Security Hub 中通过邀请手动管理成员账户。独立账户不能与 Organizations 集成,因此需要手动管理。如果您将来添加其他账户,我们建议与 Amazon Organizations 集成,并使用中心配置。
使用手动账户管理时,要将一个账户指定为 Security Hub 管理员。管理员账户可以查看成员账户中的数据,对成员账户的调查发现执行某些操作。Security Hub 管理员邀请其他账户成为成员账户,当潜在成员账户接受邀请后,管理员与成员关系即建立。
手动账户管理不支持使用配置策略。如果没有配置策略,管理员就无法通过为不同的账户配置变量设置来集中自定义 Security Hub。相反,每个组织账户必须在每个区域中单独为自己启用和配置 Security Hub。这可能会增加确保在使用 Security Hub 的所有账户和区域中实现充分安全覆盖的难度和时间。这还可能导致配置偏差,因为成员账户可以指定自己的设置,而无需管理员输入。
要通过邀请管理账户,请参阅通过邀请管理账户。