设置 AWS Security Hub - AWS Security Hub
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

设置 AWS Security Hub

您必须拥有 AWS 账户才能启用 AWS Security Hub。如果您还没有 账户,请使用以下步骤创建。

注册 AWS

  1. 打开 https://portal.amazonaws.cn/billing/signup

  2. 按照屏幕上的说明进行操作。

    在注册时,您将接到一通电话,要求您使用电话键盘输入一个验证码。

将所需 IAM 策略附加到 IAM 身份

用于启用 Security Hub 的 IAM 身份(用户、角色或组)必须具有所需的权限。

要授予启用 Security Hub 所需的权限,请将以下策略附加到 IAM 用户、组或角色。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "securityhub:*", "Resource": "*" }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringLike": { "iam:AWSServiceName": "securityhub.amazonaws.com" } } } ] }

启用Security Hub

在将所需策略附加到 IAM 身份后,可以使用该身份启用 Security Hub。

您可以启用 Security Hub 来自 AWS 管理控制台 或API。

促成 Security Hub (孔)

从控制台中启用 Security Hub 时,您还可以选择启用支持的安全标准。

启用 Security Hub

  1. 使用 IAM 身份的凭证登录到 Security Hub 控制台。

  2. 当您首次打开 Security Hub 控制台时,请选择 Get Started (开始使用)

  3. 在欢迎页面上,Security standards (安全标准) 列出了 Security Hub 支持的安全标准。

    要启用标准,请选中其复选框。

    要禁用标准,请清除其复选框。

    您可以随时启用或禁用标准或其各个控制。有关安全标准以及如何管理它们的信息,请参阅安全标准和控制 AWS Security Hub

  4. 选择 Enable Security Hub (启用 Security Hub)

促成 Security Hub (Security Hub API, AWS CLI)

要启用 Security Hub,您可以使用API调用或 AWS Command Line Interface.

启用安全中心(安全中心API,AWCCLI)

  • Security Hub API – 使用 EnableSecurityHub 操作。当您启用 Security Hub 它会自动启用这些安全标准。

    • CIS AWS 基金会基准

    • AWS 基本安全最佳实践标准

    如果您不想启用这些标准,请将 EnableDefaultStandards 设置为 false

    您也可以使用 Tags 参数以将标记值分配给集线器资源。

  • AWS CLI – 在命令行中,运行 enable-security-hub 命令。要启用默认标准,包括 --enable-default-standards。要不启用默认标准,包括 --no-enable-default-standards.

    aws securityhub enable-security-hub [--tags <tag values>] [--enable-default-standards | --no-enable-default-standards]

    示例:

    aws securityhub enable-security-hub --enable-default-standards --tags '{"Department": "Security"}'

在您启用后 Security Hub您可以启用或禁用标准。请参阅禁用或启用安全标准

分配给 Security Hub 的服务相关角色

当您启用 Security Hub,它被分配一个服务关联的角色,名为 AWSServiceRoleForSecurityHub。此服务关联的角色包括权限和信任策略, Security Hub 需要做以下事情:

  • 检测和聚合来自 Amazon GuardDuty、Amazon Inspector 和 Amazon Macie 的结果

  • 配置必需的 AWS Config 基础设施来运行支持的标准(在该版本中为 CIS AWS Foundations)的安全检查

要查看 AWSServiceRoleForSecurityHub 的详细信息,请在 Enable Security Hub (启用 Security Hub) 页面上选择 View service role permissions (查看服务角色权限)。有关更多信息,请参阅 对 AWS Security Hub 使用服务相关角色。)

有关服务关联角色的更多信息,请参阅 使用服务关联角色IAM 用户指南.

启用 AWS Config 以支持安全检查

从控制台中启用 Security Hub 时,您还可以选择启用支持的安全标准。当您启用 Security Hub 然后CIS AWS 将自动启用基础基准标准。

安全标准的很多控制依赖于 AWS Config 服务级规则。

如果启用了任何安全标准,您必须在启用了 Security Hub 的账户中启用 AWS Config。对于 Security Hub 主账户,您必须在该账户的每个 Security Hub 成员账户中启用 AWS Config。

Security Hub 不会为您管理 AWS Config。如果您已启用 AWS Config,则可以通过 AWS Config 控制台或 API 继续配置其设置。

如果您没有 AWS Config 启用,您可以手动启用。您也可以使用 AWS CloudFormation “启用 AWS Config”模板 AWS CloudFormation StackSets样本模板。如果您使用 Security Hub 多账户多区域启用脚本,它还会为您启用 AWS Config。

重要

当您打开 AWS Config 记录器时,请选择记录给定区域中支持的所有资源,包括全局资源。

更多信息,请参阅 入门指南 AWS ConfigAWS Config Developer Guide.