启用 Security Hub - Amazon Security Hub
确认必要的权限启用 Security Hub 与 Organizations 的集成手动启用 Security Hub启用 Security Hub 后的后续步骤
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

启用 Security Hub

启用 Amazon Security Hub 的方法有两种,分别是与 Amazon Organizations 集成或手动启用。

在多账户和多区域环境中,我们强烈建议与 Organizations 集成。如果您有独立账户,则需要手动设置 Security Hub。

确认必要的权限

在注册 Amazon Web Services(Amazon)之后,您必须启用 Security Hub 才能使用 Security Hub 的功能和特性。要使用 Security Hub,您必须设置权限,以便允许访问 Security Hub 控制台和 API 操作。为此,您或您的 Amazon 管理员可以使用 Amazon Identity and Access Management(IAM)附加名为 AWSSecurityHubFullAccess 的 Amazon 托管策略到您的 IAM 身份。

要通过 Organizations 集成启用和管理 Security Hub,还应附加名为 AWSSecurityHubOrganizationsAccess 的 Amazon 托管策略。

有关更多信息,请参阅Amazon Sec Amazon urity Hub 的托管策略

启用 Security Hub 与 Organizations 的集成

要开始将 Security Hub 与 Amazon Organizations 一起使用,组织的 Amazon Organizations 管理账户将指定一个账户作为该组织的 Security Hub 委托管理员账户。Security Hub 会在指定区域中的委托管理员账户中自动启用。

选择您的首选方法,然后按照步骤指定委托管理员账户。

Security Hub console
要在引导阶段指定 Security Hub 的委托管理员

  1. 打开 Amazon Security Hub 控制台,登陆:https://console.aws.amazon.com/securityhub/

  2. 选择转到 Security Hub。系统会提示您登录到组织管理账户。

  3. 指定委托管理员页面的委托管理员账户部分,指定委托管理员账户。我们建议选择您为其他 Amazon 安全与合规服务设置的相同委托管理员。

  4. 选择添加委托管理员

Security Hub API

从 Organizations 管理账户调用 EnableOrganizationAdminAccount API。提供 Security Hub 委派管理员账户的 Amazon Web Services 账户 ID。

Amazon CLI

从 Organizations 管理账户运行 enable-organization-admin-account 命令。提供 Security Hub 委派管理员账户的 Amazon Web Services 账户 ID。

命令示例:

aws securityhub enable-organization-admin-account --admin-account-id 777788889999

有关与 Organizations 集成的更多信息,请参阅将 Security Hub 与 Amazon Organizations

指定委托管理员后,我们建议您继续使用中心配置设置 Security Hub。控制台会提示您如何做。通过使用中心配置,您可以简化为组织启用和配置 Security Hub 的过程,并确保您的组织拥有足够的安全范围。

中心配置让委托管理员能够跨多个组织账户和区域自定义 Security Hub,而不必逐个区域配置。您可以为整个组织创建配置策略,也可以为不同的账户和 OU 创建不同的配置策略。这些策略指定了在关联账户中启用还是禁用 Security Hub,以及启用哪些安全标准和控件。

委托管理员可将账户指定为集中管理或自行管理。集中管理的账户只能由委托管理员配置。自行管理账户可以自行指定设置。

如果您不使用中心配置,则委托管理员配置 Security Hub 的能力将更为有限。有关更多信息,请参阅使用管理账户 Amazon Organizations

手动启用 Security Hub

如果您拥有独立账户或未与 Amazon Organizations 集成,则必须手动启用 Security Hub。独立账户无法与 Amazon Organizations 集成,必须使用手动启用。

手动启用 Security Hub 时,您可以指定一个 Security Hub 管理员账户并邀请其他账户成为成员账户。当潜在成员账户接受邀请时,管理员与成员的关系即已建立。

选择首选方法,然后按照以下步骤启用 Security Hub。从控制台中启用 Security Hub 时,您还可以选择启用支持的安全标准。

Security Hub console

  1. 打开 Amazon Security Hub 控制台,登陆:https://console.aws.amazon.com/securityhub/

  2. 首次打开 Security Hub 控制台时,选择前往 Security Hub

  3. 在欢迎页面上,安全标准部分列出了 Security Hub 支持的安全标准。

    选中标准的复选框即可将其启用,取消选中该复选框即可将其禁用。

    您可以随时启用或禁用标准或其各个控制。有关管理安全标准和控件的信息,请参阅 Amazon Security Hub 中的安全控件和标准

  4. 选择 Enable Security Hub (启用 Security Hub)

Security Hub API

调用 EnableSecurityHub API。从 API 中启用 Security Hub 时,它会自动启用以下默认安全标准:

  • Amazon 基础安全最佳实践

  • Center for Internet Security(CIS)Amazon 基金会基准 v1.2.0

如果您不想启用这些标准,请将 EnableDefaultStandards 设置为 false

您也可以使用 Tags 参数为 hub 资源分配标签值。

Amazon CLI

运行 enable-security-hub命令。要启用默认标准,请包括 --enable-default-standards。要不启用默认标准,请包括 --no-enable-default-standards。默认安全标准如下:

  • Amazon 基础安全最佳实践

  • Center for Internet Security(CIS)Amazon 基金会基准 v1.2.0

aws securityhub enable-security-hub [--tags <tag values>] [--enable-default-standards | --no-enable-default-standards]

示例

aws securityhub enable-security-hub --enable-default-standards --tags '{"Department": "Security"}'

多账户启用脚本

注意

我们建议不要使用此脚本,而是使用中心配置在多个账户和区域中启用和配置 Security Hub。

GitHub 中的 Security Hub 多账户启用脚本允许您跨账户和区域启用 Security Hub。该脚本还自动执行向成员账户发送邀请并启用 Amazon Config 的流程。

该脚本会自动为所有区域的所有资源(包括全球资源)启用资源记录。它不会将全球资源的记录限制在单个区域。

有一个相应的脚本可以跨账户和区域禁用 Security Hub。

启用 Security Hub 后的后续步骤

启用 Security Hub 后,我们建议启用对您的安全需求至关重要的安全标准和安全控件。启用控件后,Security Hub 开始运行安全检查并生成控件调查发现。您还可以利用 Security Hub 与其他 Amazon Web Services 和第三方解决方案之间的集成,在 Security Hub 中查看他们的调查发现。