驗證必要的許可啟用 Security Hub 與 Organizations 整合手動啟用 Security Hub 後續步驟：姿勢管理和整合

啟用 Security Hub

有兩種方式可整合 AWS Organizations 或手動啟用 AWS Security Hub。

我們強烈建議在多帳戶和多區域環境中與 Organizations 整合。如果您有獨立帳戶，則必須手動設定 Security Hub。

驗證必要的許可

註冊 Amazon Web Services (AWS) 之後，您必須啟用 Security Hub 以使用其功能。若要啟用 Security Hub，您必須先設定允許您存取 Security Hub 主控台和API操作的許可。您或您的 AWS 管理員可以使用 AWS Identity and Access Management (IAM) 將名為 AWSSecurityHubFullAccess 的 AWS 受管政策連接到IAM您的身分，以執行此操作。

若要透過 Organizations 整合來啟用和管理 Security Hub，您也應該連接稱為的 AWS 受管政策AWSSecurityHubOrganizationsAccess。

如需詳細資訊，請參閱AWSAWS Security Hub 的受管政策。

啟用 Security Hub 與 Organizations 整合

若要開始使用 Security Hub 搭配 AWS Organizations，組織的 AWS Organizations 管理帳戶會指定帳戶做為組織的委派 Security Hub 管理員帳戶。Security Hub 會在目前區域中的委派管理員帳戶中自動啟用。

選擇您偏好的方法，然後依照步驟指定委派的管理員。

如需與 Organizations 整合的詳細資訊，請參閱將 Security Hub 與整合 AWS Organizations。

中央組態

當您整合 Security Hub 和 Organizations 時，您可以選擇使用稱為中央組態的功能來設定和管理組織的 Security Hub。我們強烈建議使用中央組態，因為它可讓管理員自訂組織的安全涵蓋範圍。在適當情況下，委派管理員可以允許成員帳戶設定自己的安全涵蓋範圍設定。

中央組態可讓委派管理員跨帳戶OUs、和設定 Security Hub AWS 區域。委派管理員透過建立組態政策來設定 Security Hub。在組態政策中，您可以指定下列設定：

是否啟用或停用 Security Hub
啟用和停用哪些安全標準
啟用和停用哪些安全控制
是否要自訂特定控制項的參數

身為委派管理員，您可以為整個組織建立單一組態政策，或為各種帳戶和建立不同的組態政策OUs。例如，測試帳戶和生產帳戶可以使用不同的組態政策。

成員帳戶和使用組態政策OUs的帳戶會集中管理，而且只能由委派的管理員設定。委派的管理員可以指定特定成員帳戶OUs和自我管理，讓成員能夠根據自己的設定進行 Region-by-Region設定。

如果您不使用中央組態，則必須在每個帳戶和區域中分別設定 Security Hub。這稱為本機組態。在本機組態下，委派的管理員可以在目前區域中的新組織帳戶中自動啟用 Security Hub 和一組有限的安全標準。本機組態不適用於現有的組織帳戶或目前區域以外的區域。本機組態也不支援使用組態政策。

手動啟用 Security Hub

如果您有獨立帳戶，或者如果您未與整合，則必須手動啟用 Security Hub AWS Organizations。獨立帳戶無法與整合 AWS Organizations ，且必須使用手動啟用。

當您手動啟用 Security Hub 時，您可以指定 Security Hub 管理員帳戶，並邀請其他帳戶成為成員帳戶。當潛在成員帳戶接受邀請時，會建立管理員成員關係。

選擇您偏好的方法，並依照步驟啟用 Security Hub。當您從主控台啟用 Security Hub 時，您也可以選擇啟用支援的安全標準。

Security Hub console

在開啟 AWS Security Hub 主控台https://console.aws.amazon.com/securityhub/。
當您第一次開啟 Security Hub 主控台時，請選擇前往 Security Hub。
在歡迎頁面上，安全標準區段會列出 Security Hub 支援的安全標準。

選取標準的核取方塊以啟用，然後清除核取方塊以停用它。

您可以隨時啟用或停用標準，或是其個別的控制項。如需管理安全標準的資訊，請參閱了解 Security Hub 中的安全標準。
選擇 Enable Security Hub (啟用 Security Hub)。

Security Hub API

叫用 EnableSecurityHub API。當您從啟用 Security Hub 時API，會自動啟用下列預設安全標準：

AWS 基礎安全最佳實務
網際網路安全中心 (CIS) AWS 基準測試 1.2.0 版

如果您不希望啟用這些標準，請將 EnableDefaultStandards 設為 false。

您也可以使用 Tags 參數將標籤值指派給中樞資源。

AWS CLI

執行 enable-security-hub 命令。若要啟用預設標準，請包含 --enable-default-standards。若要不啟用預設標準，請包含 --no-enable-default-standards。預設安全標準如下所示：

AWS 基礎安全最佳實務
網際網路安全中心 (CIS) AWS 基準測試 1.2.0 版


aws securityhub enable-security-hub [--tags <tag values>] [--enable-default-standards | --no-enable-default-standards]

範例


aws securityhub enable-security-hub --enable-default-standards --tags '{"Department": "Security"}'

多帳戶啟用指令碼

注意

我們建議您使用中央組態來啟用和設定多個帳戶和區域的 Security Hub，而不是此指令碼。

中的 Security Hub 多帳戶啟用指令碼 GitHub可讓您跨帳戶和區域啟用 Security Hub。指令碼也會自動傳送邀請至成員帳戶和啟用的程序 AWS Config。

指令碼會自動啟用所有區域中所有資源 AWS Config 的資源記錄，包括全域資源。它不會將全域資源的記錄限制為單一區域。為了節省成本，我們建議僅在單一區域中記錄全域資源。如果您使用中央組態或跨區域彙總，這應該是您的主區域。如需詳細資訊，請參閱在中記錄資源 AWS Config。

有一個對應的指令碼可停用帳戶和區域的 Security Hub。

後續步驟：姿勢管理和整合

啟用 Security Hub 之後，我們建議啟用安全標準和控制項來監控您的安全狀態。啟用控制項後，Security Hub 會開始執行安全檢查並產生控制調查結果，協助您偵測 AWS 環境中的錯誤組態。若要接收控制項問題清單，您必須 AWS Config 為 Security Hub 啟用和設定。如需詳細資訊，請參閱啟用和設定 AWS Config Security Hub。

啟用 Security Hub 之後，您也可以利用 Security Hub AWS 服務與其他和第三方解決方案之間的整合，查看其在 Security Hub 中的調查結果。Security Hub 會彙整不同來源的調查結果，並以一致的格式擷取它們。如需詳細資訊，請參閱了解 Security Hub 中的整合。

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

Security Hub 概念

AWS Config 為 Security Hub 設定