开始使用中心配置 - Amazon Security Hub
中心配置的先决条件启用中心配置
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

开始使用中心配置

Amazon Security Hub 委托管理员账户可以使用中心配置为 Amazon Web Services 区域 的多个账户和组织单位(OU)配置 Security Hub、标准和控件。

本节介绍中心配置的先决条件以及如何开始使用。

中心配置的先决条件

在开始使用中心配置之前,必须将 Security Hub 与 Amazon Organizations 集成,并指定主区域。如果您使用 Security Hub 控制台,则这些先决条件包含在中心配置的选择加入工作流程中。

与 Organizations 集成

您必须集成 Security Hub 和 Organizations 才能使用中心配置。

要集成这些服务,首先要在 Organizations 中创建一个组织。在组织管理账户中,指定一个 Security Hub 委托管理员账户。有关说明,请参阅 将 Security Hub 与 Amazon Organizations

确保您在预期主区域指定您的委托管理员。当您开始使用中心配置时,还会在所有关联区域中自动设置相同的委托管理员。组织管理账户不能设置为委托管理员账户。

重要

在使用中心配置时,无法使用 Security Hub 控制台或 Security Hub API 来更改或删除委托管理员账户。如果组织管理账户使用 Amazon Organizations API 更改或删除 Security Hub 委托管理员,则 Security Hub 会自动停止中心配置。您的配置策略也将被取消关联和删除。成员账户保留其在更改或删除委托管理员之前的配置。

指定主区域

您必须指定主区域才能使用中心配置。主区域是委托管理员从中配置组织的区域。

要使用中心配置,必须至少指定一个可从主区域配置的关联区域。

注意

主区域不能是 Amazon 已指定为选择加入区域的区域。默认情况下,选择加入区域处于禁用状态。有关选择加入区域的列表,请参阅《Amazon 账户管理参考指南》中的启用和禁用区域之前的注意事项

委托管理员只能从主区域创建和管理配置策略。配置策略在主区域和所有关联区域生效。您无法创建仅适用于某些区域而不适用于其他区域的配置策略。

主区域也是您的 Security Hub 聚合区域,用于接收来自关联区域的调查发现、见解和其他数据。

如果您已经为跨区域聚合设置了聚合区域,那么这就是中心配置的默认主区域。在开始使用中心配置之前,您可以通过删除当前的调查发现聚合器并在所需的主区域中创建一个新的聚合器来更改主区域。调查发现聚合器是一种 Security Hub 资源,用于指定主区域和关联区域。

要指定主区域,请按照设置聚合区域的步骤进行操作。如果您已经有主区域,则可以调用 GetFindingAggregator API 来查看有关它的详细信息,包括当前与其关联的区域。

启用中心配置

选择您的首选方法,然后按照步骤开始为您的组织使用中心配置。

Security Hub console
要集中配置您的组织

  1. 通过以下网址打开 Amazon Security Hub 控制台:https://console.aws.amazon.com/securityhub/

  2. 在导航窗格中,选择设置配置。然后,选择启用中心配置

    如果要加入 Security Hub,请选择前往 Security Hub

  3. 指定委托管理员页面上,选择您的委托管理员账户或输入其账户 ID。如果适用,我们建议选择您为其他 Amazon 安全与合规服务设置的相同委托管理员。选择添加委托管理员

  4. 集中组织页面的区域部分,选择您的主区域。您必须登录到主区域才能继续。如果您已经为跨区域聚合设置了聚合区域,则该聚合区域将显示为主区域。要更改主区域,请选择编辑区域设置。然后,您可以选择首选的主区域并返回到此工作流程。

  5. 至少选择一个区域以链接到主区域。或者选择是否要自动将未来受支持的区域链接到主区域。您在此处选择的区域可由委托管理员从主区域进行配置。配置策略将在主区域和所有关联区域生效。

  6. 选择确认并继续

  7. 现在可以使用中心配置了。继续按照控制台提示创建您的第一个配置策略。如果您尚未准备好创建配置策略,请选择我还没准备好配置。您可以稍后通过在导航窗格中选择设置配置来创建策略。有关创建配置策略的说明,请参阅创建和关联 Security Hub 配置策略

Security Hub API
要集中配置 Security Hub

  1. 使用委托管理员账户的凭证,从主区域调用 UpdateOrganizationConfiguration API。

  2. AutoEnable 字段设置为 false

  3. OrganizationConfiguration 对象中的 ConfigurationType 字段设置为 CENTRAL。此操作会产生以下影响:

    • 在所有关联区域中将调用账户指定为 Security Hub 的委托管理员。

    • 在所有关联区域的委托管理员账户中启用 Security Hub。

    • 为使用 Security Hub 且属于该组织的新账户和现有账户指定调用账户为 Security Hub 委托管理员。这发生在主区域和所有关联区域。仅当新组织账户与启用了 Security Hub 的配置策略关联时,调用账户才会被设置为新组织账户的委托管理员。仅当现有组织账户已启用 Security Hub 时,调用账户才会被设置为现有组织账户的委托管理员。

    • 在所有关联区域中将 AutoEnable 设置为 false,并在主区域和所有关联区域中将 AutoEnableStandards 设置为 NONE。当您使用中心配置时,这些参数与主区域和关联区域无关,但是您可以通过使用配置策略在组织账户中自动启用 Security Hub 和默认安全标准。

  4. 现在可以使用中心配置了。委托管理员可以创建配置策略以在您的组织中配置 Security Hub。有关创建配置策略的说明,请参阅创建和关联 Security Hub 配置策略

API 请求示例

{
    "AutoEnable": false,
    "OrganizationConfiguration": {
        "ConfigurationType": "CENTRAL"
    }
}
Amazon CLI
要集中配置 Security Hub

  1. 使用委托管理员账户的凭证,从主区域运行 update-organization-configuration 命令。

  2. 包含 no-auto-enable 参数。

  3. organization-configuration 对象中的 ConfigurationType 字段设置为 CENTRAL。此操作会产生以下影响:

    • 在所有关联区域中将调用账户指定为 Security Hub 的委托管理员。

    • 在所有关联区域的委托管理员账户中启用 Security Hub。

    • 为使用 Security Hub 且属于该组织的新账户和现有账户指定调用账户为 Security Hub 委托管理员。这发生在主区域和所有关联区域。仅当新组织账户与启用了 Security Hub 的配置策略关联时,调用账户才会被设置为新组织账户的委托管理员。仅当现有组织账户已启用 Security Hub 时,调用账户才会被设置为现有组织账户的委托管理员。

    • 在所有关联区域中将自动启用选项设置为 no-auto-enable,并在主区域和所有关联区域中将 auto-enable-standards 设置为 NONE。当您使用中心配置时,这些参数与主区域和关联区域无关,但是您可以通过使用配置策略在组织账户中自动启用 Security Hub 和默认安全标准。

  4. 现在可以使用中心配置了。委托管理员可以创建配置策略以在您的组织中配置 Security Hub。有关创建配置策略的说明,请参阅创建和关联 Security Hub 配置策略

命令示例:

aws securityhub --region us-east-1 update-organization-configuration \
--no-auto-enable \
--organization-configuration '{"ConfigurationType": "CENTRAL"}'