在佈建Security Hub前必須注意的事項
因為Security Hub是一項匯集所有資安服務調查結果的服務，這也包含了多個帳號，若您的公司有多個AWS帳戶，AWS強烈建議您啟用AWS Organization搭配Security Hub一起服用。

上一篇有提到Security Hub必須透過AWS Config來記錄資安項目是否偏離資安最佳實踐，所以你也必須在你的每個帳號啟用AWS Config然後將Security Hub檢查的權限啟用，如果沒啟用Security Hub就會出現錯誤訊息。如果想要知道Config如何佈建，可以回去看Day 17的文章?。

如何手動佈建Security Hub?
我們先說明如果你沒有啟用AWS Organization要怎樣佈建Security Hub

1.你必須要給Security Hub AWSSecurityHubFullAccess IAM權限並套用到user、group、role，Policy如下:

{ “Version”: “2012–10–17”,
    “Statement”: [
        { “Effect”: “Allow”,
        “Action”: “securityhub:*”,
        “Resource”: “*” },
        { “Effect”: “Allow”,
        “Action”: “iam:CreateServiceLinkedRole”,
        “Resource”: “*”,
        “Condition”: {
        “StringLike”: {
        “iam:AWSServiceName”: “securityhub.amazonaws.com”
            }
        }
    }
    ]
}

2.找到Security Hub，並按下Go to Security Hub

3.如前面所述，你必須要先啟用Config來記錄，除了手動啟用之外，這裡也提供CloudFormation template StackSet提供下載

4.這裡勾選想啟用的資安標準，勾選完成後按Enable Security Hub，就完成了，這時候Security Hub就會開始收集此帳號所有的資安相關訊息

如果是已經啟用AWS Organization，如何佈建Security Hub?

如上圖所示，左邊為AWS Organization的帳號階級圖，帳號1為Org.的管理帳號，帳號1可以指派任何在Org.裡面的帳號成為Security Hub的管理帳號。然而，Security Hub建議不要將Org.的管理帳號也是Security Hub的管理帳號，因為有權限看billing的趙號不一定也會想要管理資安相關資訊。

在指派Security Hub管理帳號時，每個Region被指派的管理帳號一定要是同一個，但Org.的管理帳號必須進入每個Region分別指派。在移除時如果透過Console，Org.的管理帳號只要移除其中一個Region的Security Hub管理帳號，全部都會被移除。如果是透過API，只會移除在那個Region被執行的帳戶，要全部移除請用Org. API。
指定管理帳號的步驟:

1.在Security Hub側邊選單選settings

2.選擇General

3.在Delegated Administrator欄位輸入你想指派為管理員的Account ID，記得每個region的管理者必須是同一位，不然會出現錯誤訊息，知後按下Delegate就完成了