本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
手动启用 Security Hub
将所需策略附加到 IAM 身份后,您可以使用该身份启用 Security Hub。您可以从中启用 Security HubAmazon Web Services Management Console或者 API。
Security Hub 还在 GitHub 中提供了一个脚本,允许您跨区域启用多个帐户。
将所需的 IAM 策略附加到 IAM 身份
用于启用 Security Hub 的 IAM 身份(用户、角色或组)必须具有所需的权限。
启用集成Amazon Organizations,那么组织中的帐户将自动启用 Security Hub。所需的权限也会自动处理。
未使用 Organizations 管理的帐户必须手动启用 Security Hub。用于启用 Security Hub 的 IAM 身份(用户、角色或组)必须具有所需的权限。
要授予启用 Security Hub 所需的权限,请附加 Security Hub 托管策略AWSSecurityHubFullAccess到 IAM 用户、组或角色。
启用 Security Hub(控制台)
从控制台中启用 Security Hub 时,您还可以选择启用支持的安全标准。
启用 Security Hub
-
使用 IAM 身份的凭证登录 Security Hub 控制台。
-
首次打开 Security Hub 控制台时,选择开始使用.
-
在欢迎页面上,安全标准列出 Security Hub 支持的安全标准。
要启用标准,请选中其复选框。
要禁用标准,请清除其复选框。
您可以随时启用或禁用标准或其各个控制。有关安全标准以及如何管理它们的信息,请参阅中的安全标准和控制AmazonSecurity Hub。
-
选择 Enable Security Hub (启用 Security Hub)。
启用 Security Hub(Security Hub API)Amazon CLI)
要启用 Security Hub,您可以使用 API 调用或Amazon Command Line Interface.
要启用 Security Hub(安全 HubAPI),Amazon CLI)
-
Security Hub API— 使用
EnableSecurityHuboperation. 从 API 中启用 Security Hub 时,它会自动启用这些安全标准。-
CIS Amazon 基金会基准
-
Amazon基础安全最佳实践标准
如果您不想启用这些标准,请将
EnableDefaultStandards设置为false。您也可以使用
Tags参数以将标签值分配给 Hub 资源。 -
-
Amazon CLI— 在命令行处,运行
enable-security-hub命令。要启用默认标准,请包括--enable-default-standards. 要不启用默认标准,请包括--no-enable-default-standards.aws securityhub enable-security-hub [--tags<tag values>] [--enable-default-standards | --no-enable-default-standards]示例
aws securityhub enable-security-hub --enable-default-standards --tags '{"Department": "Security"}'
启用 Security Hub 后,您可以启用或禁用标准。请参阅 禁用或启用安全标准。
启用 Security Hub(多账户脚本)
这些区域有:GitHub 中的 Security Hub 多账户启用脚本
该脚本会自动为所有区域中的所有资源启用资源记录功能,包括全局资源。它不会将全球资源的记录限制在单个地区。
有一个相应的脚本可以在账户和区域之间禁用 Security Hub。
自述文件提供了有关如何使用此脚本的详细信息。其中包含以下信息:
-
如何将所需的 IAM 策略添加到账户
-
如何配置执行环境
-
如何运行脚本