在 Security Hub CSPM 中启用集中配置

委派的 Sec Amazon urity Hub 云安全态势管理 (CSPM) 管理员帐户可以使用中央配置为多个账户和组织单位 () 配置 Security Hub CSPM、标准和控制。OUs Amazon Web Services 区域

有关中心配置的好处及其工作原理的背景信息，请参阅了解 Security Hub CSPM 中的中心配置。

本节介绍中心配置的先决条件以及如何开始使用。

中心配置的先决条件

在开始使用中央配置之前，必须将 Security Hub CSPM 与主区域集成， Amazon Organizations 并指定主区域。如果您使用 Security Hub CSPM 控制台，则这些先决条件包含在集中配置的选择加入工作流程中。

与 Organizations 集成

你必须集成 Security Hub CSPM 和 Organizations 才能使用集中配置。

要集成这些服务，首先要在 Organizations 中创建一个组织。然后，您可以从 Organizations 管理账户中指定一个 Security Hub CSPM 委托管理员帐户。有关说明，请参阅将 Security Hub CSPM 与 Amazon Organizations。

确保您在预期主区域指定您的委托管理员。当您开始使用中心配置时，还会在所有关联区域中自动设置相同的委托管理员。组织管理账户不能设置为委托管理员账户。

重要

当你使用集中配置时，你无法使用 Security Hub CSPM 控制台或 Security Hub CSPM APIs 来更改或删除委派的管理员帐户。如果 Organizations 管理帐户使用 Amazon Organizations APIs 更改或删除 Security Hub CSPM 授权的管理员，则 Security Hub CSPM 会自动停止中央配置。您的配置策略也将被取消关联和删除。成员账户保留其在更改或删除委托管理员之前的配置。

指定主区域

您必须指定主区域才能使用中心配置。主区域是委托管理员从中配置组织的区域。

注意

主区域不能是 Amazon 已指定为可选区域的区域。默认情况下，选择加入区域处于禁用状态。有关选择加入区域的列表，请参阅《Amazon 账户管理参考指南》中的启用和禁用区域之前的注意事项。

或者，您可以指定一个或多个可从主区域进行配置的关联区域。

委托管理员只能从主区域创建和管理配置策略。配置策略在主区域和所有关联区域生效。您无法创建仅适用于某些区域而不适用于其他区域的配置策略。唯一的例外是涉及全球资源的控制。如果您使用中央配置，Security Hub CSPM 会自动禁用涉及除本地区以外的所有区域的全球资源的控件。有关更多信息，请参阅使用全局资源的控件。

主区域也是您的 Security Hub CSPM 聚合区域，用于接收来自关联区域的发现、见解和其他数据。

如果您已经为跨区域聚合设置了聚合区域，那么这就是中心配置的默认主区域。在开始使用中心配置之前，您可以通过删除当前的调查发现聚合器并在所需的主区域中创建一个新的聚合器来更改主区域。查找聚合器是一种 Security Hub CSPM 资源，用于指定主区域和关联区域。

要指定主区域，请参阅设置聚合区域的步骤。如果您已经有主区域，则可以调用 GetFindingAggregator API 来查看有关它的详细信息，包括当前与其关联的区域。

启用中心配置的说明

选择您的首选方法，然后按照步骤为组织启用中心配置。

Security Hub CSPM console

启用中心配置（控制台）

打开 Sec Amazon urity Hub 云安全态势管理 (CSPM) 控制台，网址为。https://console.aws.amazon.com/securityhub/
在导航窗格中，选择设置和配置。然后，选择启用中心配置。

如果你要加入 Security Hub CSPM，请选择前往 Security Hub CSPM。
在指定委托管理员页面上，选择您的委托管理员账户或输入其账户 ID。如果适用，我们建议选择您为其他 Amazon 安全与合规服务设置的相同委托管理员。选择添加委托管理员。
在集中组织页面的区域部分，选择您的主区域。您必须登录到主区域才能继续。如果您已经为跨区域聚合设置了聚合区域，则该聚合区域将显示为主区域。要更改主区域，请选择编辑区域设置。然后，您可以选择首选的主区域并返回到此工作流程。
至少选择一个区域以链接到主区域。或者选择是否要自动将未来受支持的区域链接到主区域。您在此处选择的区域可由委托管理员从主区域进行配置。配置策略将在主区域和所有关联区域生效。
选择确认并继续。
现在可以使用中心配置了。继续按照控制台提示创建您的第一个配置策略。如果您尚未准备好创建配置策略，请选择我还没准备好配置。您可以稍后通过在导航窗格中选择设置和配置来创建策略。有关创建配置策略的说明，请参阅创建和关联配置策略。

Security Hub CSPM API

启用中心配置（API）

使用委托管理员账户的凭证，从主区域调用 UpdateOrganizationConfiguration API。
将 AutoEnable 字段设置为 false。
将 OrganizationConfiguration 对象中的 ConfigurationType 字段设置为 CENTRAL。此操作会产生以下影响：
- 在所有关联区域中将主叫账户指定为 Security Hub CSPM 委托管理员。
- 在所有关联区域的委托管理员账户中启用 Security Hub CSPM。
- 将主叫账户指定为 Security Hub CSPM 且属于该组织的新账户和现有账户的 Security Hub CSPM 委托管理员。在主区域和所有关联区域均如此。仅当新组织帐户与启用了 Security Hub CSPM 的配置策略关联时，主叫账户才会被设置为新组织帐户的委托管理员。仅当现有组织帐户已启用 Security Hub CSPM 时，主叫账户才会被设置为现有组织帐户的委托管理员。
- 在所有关联区域中将 AutoEnable 设置为 false，并在主区域和所有关联区域中将 AutoEnableStandards 设置为 NONE。当您使用中央配置时，这些参数与主区域和关联区域无关，但是您可以通过使用配置策略在组织账户中自动启用 Security Hub CSPM 和默认安全标准。
现在可以使用中心配置了。授权的管理员可以创建配置策略，以便在您的组织中配置 Security Hub CSPM。有关创建配置策略的说明，请参阅创建和关联配置策略。

API 请求示例：


{
    "AutoEnable": false,
    "OrganizationConfiguration": {
        "ConfigurationType": "CENTRAL"
    }
}

Amazon CLI

启用中心配置（Amazon CLI）

使用委托管理员账户的凭证，从主区域运行 update-organization-configuration 命令。
包含 no-auto-enable 参数。
将 organization-configuration 对象中的 ConfigurationType 字段设置为 CENTRAL。此操作会产生以下影响：
- 在所有关联区域中将主叫账户指定为 Security Hub CSPM 委托管理员。
- 在所有关联区域的委托管理员账户中启用 Security Hub CSPM。
- 将主叫账户指定为 Security Hub CSPM 且属于该组织的新账户和现有账户的 Security Hub CSPM 委托管理员。在主区域和所有关联区域均如此。只有当新组织账户与启用了 Security Hub 的配置策略关联时，才会将调用账户设置为该新账户的委托管理员。仅当现有组织帐户已启用 Security Hub CSPM 时，主叫账户才会被设置为现有组织帐户的委托管理员。
- 在所有关联区域中将自动启用选项设置为 no-auto-enable，并在主区域和所有关联区域中将 auto-enable-standards 设置为 NONE。当您使用中央配置时，这些参数与主区域和关联区域无关，但是您可以通过使用配置策略在组织账户中自动启用 Security Hub CSPM 和默认安全标准。
现在可以使用中心配置了。授权的管理员可以创建配置策略，以便在您的组织中配置 Security Hub CSPM。有关创建配置策略的说明，请参阅创建和关联配置策略。

命令示例：


aws securityhub --region us-east-1 update-organization-configuration \
--no-auto-enable \
--organization-configuration '{"ConfigurationType": "CENTRAL"}'

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

中心配置

集中管理与自行管理