本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
启用 Security Hub
启用 Sec Amazon urity Hub 的方法有两种,分别是与集成 Amazon Organizations 或手动集成。
在多账户和多区域环境中,我们强烈建议与 Organizations 集成。如果您有独立账户,则需要手动设置 Security Hub。
确认必要的权限
在注册 Amazon Web Services(Amazon)之后,您必须启用 Security Hub 才能使用 Security Hub 的功能和特性。要启用 Security Hub,您首先必须设置允许您访问 Security Hub 控制台和API操作的权限。为此,您或您的 Amazon 管理员可以使用 Amazon Identity and Access Management (IAM) 将名为的 Amazon 托管策略附加AWSSecurityHubFullAccess
到您的IAM身份。
要通过 Organizations 集成启用和管理 Security Hub,还应附加名为的 Amazon 托管策略AWSSecurityHubOrganizationsAccess
。
有关更多信息,请参阅 Amazon Sec Amazon urity Hub 的托管策略。
启用 Security Hub 与 Organizations 的集成
要开始使用 Security Hub Amazon Organizations,组织的 Amazon Organizations 管理账户需要将一个账户指定为该组织委派的 Security Hub 管理员帐户。Security Hub 会在指定区域中的委托管理员账户中自动启用。
选择您的首选方法,然后按照步骤指定委托管理员账户。
有关与 Organizations 集成的更多信息,请参阅将 Security Hub 与 Amazon Organizations。
中心配置
在集成 Security Hub 和 Organizations 时,你可以选择使用一项名为中央配置的功能来为你的组织设置和管理 Security Hub。我们强烈建议使用中心配置,因为其可让管理员为组织自定义安全范围。在适当情况下,委托管理员可以允许成员账户配置自己的安全范围设置。
中央配置允许委派的管理员跨账户OUs、和配置 Security Hub Amazon Web Services 区域。委托管理员通过创建配置策略来配置 Security Hub。在配置策略中,您可以指定以下设置:
启用还是禁用 Security Hub
哪些安全标准已启用和禁用
哪些安全控件已启用和禁用
是否自定义所选控件的参数
作为委托管理员,您可以为整个组织创建单个配置策略,也可以为不同的账户创建不同的配置策略OUs。例如,测试账户和生产账户可以使用不同的配置策略。
使用配置策略的成员账户是集中管理的,只能由授权的管理员进行配置。OUs授权的管理员可以将特定的成员帐户指定OUs为自我管理帐户,从而使成员能够 Region-by-Region根据需要配置自己的设置。
如果您不使用中心配置,则必须主要在每个账户和区域中单独配置 Security Hub。这称为本地配置。在本地配置下,委托管理员可以在当前区域的新组织账户中自动启用 Security Hub 和一组有限的安全标准。本地配置不适用于现有组织账户或当前区域以外的其他区域。本地配置也不支持使用配置策略。
手动启用 Security Hub
如果您拥有独立账户或未与集成,则必须手动启用 Security Hub Amazon Organizations。独立账户无法集成 Amazon Organizations ,必须使用手动启用。
手动启用 Security Hub 时,您可以指定一个 Security Hub 管理员账户并邀请其他账户成为成员账户。当潜在成员账户接受邀请时,管理员与成员的关系即已建立。
选择首选方法,然后按照以下步骤启用 Security Hub。从控制台中启用 Security Hub 时,您还可以选择启用支持的安全标准。
多账户启用脚本
注意
我们建议不要使用此脚本,而是使用中心配置在多个账户和区域中启用和配置 Security Hub。
中的 S ecurity Hub 多账户启用脚本 GitHub允许您跨账户和地区
该脚本会自动为所有区域的所有资源(包括全球资源)启用 Amazon Config 资源记录。它不会将全局资源的记录限制在单个区域。为了节省成本,我们建议仅将全球资源记录在单个区域中。如果您使用中央配置或跨区域聚合,则这应该是您的主区域。有关更多信息,请参阅 在中录制资源 Amazon Config。
有一个相应的脚本可以跨账户和区域禁用 Security Hub。
后续步骤:状态管理和集成
启用 Security Hub 后,我们建议启用安全标准和控制以监控您的安全状况。启用控制后,Security Hub 开始运行安全检查并生成控制结果,以帮助您检测 Amazon 环境中的错误配置。要接收控制结果,必须为 Security Hub 启用和配置 Amazon Config 。有关更多信息,请参阅 为 Security Hub 启用和配置 Amazon Config。
启用 Security Hub 后,您还可以利用 Security Hub 与其他 Amazon Web Services 服务 和第三方解决方案之间的集成,在 Security Hub 中查看他们的发现。Security Hub 汇总来自不同来源的发现,并以一致的格式摄取它们。有关更多信息,请参阅 了解 Security Hub 中的集成。