本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
手动启用 Security Hub
在将所需策略附加到 IAM 身份后,可以使用该身份启用 Security Hub。您可 Security Hub 从Amazon Web Services Management Console或 API。
Security Hub 还在 GitHub 中提供了一个脚本,允许您跨区域启用多个帐户。
将所需的 IAM 策略附加到 IAM 身份
用于启用 Security Hub 的 IAM 身份 (用户、角色或组) 必须具有所需的权限。
如果启用集成Amazon Organizations,则组织中的帐户将自动启用 “Security Hub”。所需的权限也会自动处理。
未使用 Organizations 管理的帐户必须手动启用 Security Hub。用于启用 Security Hub 的 IAM 身份 (用户、角色或组) 必须具有所需的权限。
要授予启用 Security Hub 所需的权限,请附加 Security Hub 托管策略AWSSecurityHubFullAccess分配给 IAM 用户、组或角色。
启用 Security Hub(控制台)
从控制台中启用 Security Hub 时,您还可以选择启用支持的安全标准。
启用 Security Hub
-
使用 IAM 身份的凭证登录到 Security Hub 控制台。
-
首次打开 Security Hub 控制台时,选择开始使用。
-
在欢迎页面上,安全标准列出了 Security Hub 支持的安全标准。
要启用标准,请选中其复选框。
要禁用标准,请清除其复选框。
您可以随时启用或禁用标准或其各个控制。有关安全标准以及如何管理它们的信息,请参阅安全标准和控制AmazonSecurity Hub。
-
选择 Enable Security Hub (启用 Security Hub)。
启用 Security Hub(Security Hub API,Amazon CLI)
要启用 Security Hub,您可以使用 API 调用或Amazon Command Line Interface。
要启用 Security Hub(安全集线器 API,Amazon CLI)
-
Security Hub API— 使用
EnableSecurityHuboperation. 从 API 中启用 Security Hub 时,它会自动启用这些安全标准。-
CIS Amazon 基金会基准
-
Amazon基础安全最佳实践标准
如果您不想启用这些标准,请将
EnableDefaultStandards设置为false。您也可以使用
Tags参数将标签值分配给中心资源。 -
-
Amazon CLI— 在命令行处,运行
enable-security-hub命令。要启用默认标准,请包含--enable-default-standards。要不启用默认标准,请包含--no-enable-default-standards。aws securityhub enable-security-hub [--tags<tag values>] [--enable-default-standards | --no-enable-default-standards]示例
aws securityhub enable-security-hub --enable-default-standards --tags '{"Department": "Security"}'
启用 Security Hub 后,您可以启用或禁用标准。请参阅 禁用或启用安全标准。
启用 Security Hub(多帐户脚本)
这些区域有:GitHub 中的 Security Hub 多帐户启用脚本
该脚本会自动为所有区域中的所有资源(包括全局资源)启用资源记录。它不会将全球资源的记录限制在单个地区。
有一个相应的脚本来禁用跨账户和区域的 Security Hub。
自述文件提供了有关如何使用脚本的详细信息。其中包含以下信息:
-
如何将所需的 IAM 策略添加到账户
-
如何配置执行环境
-
如何运行脚本