手动启用 Security Hub - Amazon Security Hub
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

手动启用 Security Hub

在将所需策略附加到 IAM 身份后,可以使用该身份启用 Security Hub。您可 Security Hub 从Amazon Web Services Management Console或 API。

Security Hub 还在 GitHub 中提供了一个脚本,允许您跨区域启用多个帐户。

将所需的 IAM 策略附加到 IAM 身份

用于启用 Security Hub 的 IAM 身份 (用户、角色或组) 必须具有所需的权限。

如果启用集成Amazon Organizations,则组织中的帐户将自动启用 “Security Hub”。所需的权限也会自动处理。

未使用 Organizations 管理的帐户必须手动启用 Security Hub。用于启用 Security Hub 的 IAM 身份 (用户、角色或组) 必须具有所需的权限。

要授予启用 Security Hub 所需的权限,请附加 Security Hub 托管策略AWSSecurityHubFullAccess分配给 IAM 用户、组或角色。

启用 Security Hub(控制台)

从控制台中启用 Security Hub 时,您还可以选择启用支持的安全标准。

启用 Security Hub

  1. 使用 IAM 身份的凭证登录到 Security Hub 控制台。

  2. 首次打开 Security Hub 控制台时,选择开始使用

  3. 在欢迎页面上,安全标准列出了 Security Hub 支持的安全标准。

    要启用标准,请选中其复选框。

    要禁用标准,请清除其复选框。

    您可以随时启用或禁用标准或其各个控制。有关安全标准以及如何管理它们的信息,请参阅安全标准和控制AmazonSecurity Hub

  4. 选择 Enable Security Hub (启用 Security Hub)

启用 Security Hub(Security Hub API,Amazon CLI)

要启用 Security Hub,您可以使用 API 调用或Amazon Command Line Interface。

要启用 Security Hub(安全集线器 API,Amazon CLI)

  • Security Hub API— 使用EnableSecurityHuboperation. 从 API 中启用 Security Hub 时,它会自动启用这些安全标准。

    • CIS Amazon 基金会基准

    • Amazon基础安全最佳实践标准

    如果您不想启用这些标准,请将 EnableDefaultStandards 设置为 false

    您也可以使用Tags参数将标签值分配给中心资源。

  • Amazon CLI— 在命令行处,运行enable-security-hub命令。要启用默认标准,请包含--enable-default-standards。要不启用默认标准,请包含--no-enable-default-standards

    aws securityhub enable-security-hub [--tags <tag values>] [--enable-default-standards | --no-enable-default-standards]

    示例

    aws securityhub enable-security-hub --enable-default-standards --tags '{"Department": "Security"}'

启用 Security Hub 后,您可以启用或禁用标准。请参阅 禁用或启用安全标准

启用 Security Hub(多帐户脚本)

这些区域有:GitHub 中的 Security Hub 多帐户启用脚本允许您跨账户和区域启用 Security Hub。该脚本还自动执行向成员帐户发送邀请的过程,并启用Amazon Config。

该脚本会自动为所有区域中的所有资源(包括全局资源)启用资源记录。它不会将全球资源的记录限制在单个地区。

有一个相应的脚本来禁用跨账户和区域的 Security Hub。

自述文件提供了有关如何使用脚本的详细信息。其中包含以下信息:

  • 如何将所需的 IAM 策略添加到账户

  • 如何配置执行环境

  • 如何运行脚本