Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Agrégation entre régions
En utilisant l'agrégation entre régions AWS Security Hub, vous pouvez agréger les résultats, trouver des mises à jour, des informations, contrôler les statuts de conformité et les scores de sécurité de plusieurs régions d'agrégation Régions AWS à une seule. Vous pouvez ensuite gérer toutes ces données à partir de la région d'agrégation. La région d'agrégation est également appelée région d'origine.
Note
Dans AWS GovCloud (US), l'agrégation entre régions n'est prise en charge que pour les résultats, la recherche de mises à jour et les informations AWS GovCloud (US) croisées. Plus précisément, vous ne pouvez agréger les résultats, trouver des mises à jour et des informations qu'entre AWS GovCloud (USA Est) et AWS GovCloud (USA Ouest). Dans les régions chinoises, l'agrégation entre régions n'est prise en charge que pour les résultats, les mises à jour et les informations relatives aux régions chinoises. Plus précisément, vous ne pouvez agréger les résultats, trouver des mises à jour et des informations qu'entre la Chine (Pékin) et la Chine (Ningxia).
Supposons que vous définissiez l'est des États-Unis (Virginie du Nord) comme région d'agrégation, et l'ouest des États-Unis (Oregon) et l'ouest des États-Unis (Californie du Nord) comme régions liées. Lorsque vous consultez la page des résultats dans l'est des États-Unis (Virginie du Nord), vous voyez les résultats des trois régions. Les mises à jour de ces résultats sont également prises en compte dans les trois régions.
Si un contrôle est activé dans une région liée mais désactivé dans la région d'agrégation, vous pouvez voir l'état de conformité du contrôle depuis la région d'agrégation, mais vous ne pouvez pas activer ou désactiver ce contrôle depuis la région d'agrégation. L'exception est si vous utilisez la configuration centralisée. Si vous utilisez la configuration centralisée, l'administrateur délégué du Security Hub peut configurer les contrôles dans la région d'agrégation et les régions liées à partir de la région d'agrégation.
Si vous avez défini une région d'agrégation, les scores de sécurité tiennent compte des statuts de contrôle dans tous Régions liées. Pour consulter les scores de sécurité et les états de conformité entre régions, ajoutez les autorisations suivantes à votre IAM rôle qui utilise Security Hub :
Comment fonctionne l'agrégation entre régions
Lorsque l'agrégation entre régions est activée avec une ou plusieurs régions liées, Security Hub réplique les données suivantes des régions liées vers la région d'agrégation. Cela se produit dans tous les comptes pour lesquels l'agrégation entre régions est activée.
Conclusions
Informations
Contrôlez les statuts de conformité
Scores de sécurité
Outre les nouvelles données de la liste précédente, Security Hub réplique également les mises à jour de ces données entre les régions liées et la région d'agrégation. Les mises à jour qui se produisent dans une région liée sont répliquées dans la région d'agrégation. Les mises à jour qui se produisent dans la région d'agrégation sont répliquées dans la région liée.
En cas de conflit entre les mises à jour de la région d'agrégation et de la région liée, la mise à jour la plus récente est utilisée.
L'agrégation entre régions n'augmente pas le coût de Security Hub. Vous n'êtes pas débité lorsque Security Hub réplique de nouvelles données ou des mises à jour.
Dans la région d'agrégation, la page Résumé fournit une vue de vos résultats actifs dans les régions liées. Pour plus d'informations, voir Affichage d'un résumé interrégional des résultats par gravité. Les autres panneaux de la page de résumé qui analysent les résultats affichent également des informations provenant des régions liées.
Vos scores de sécurité dans la région d'agrégation sont calculés en comparant le nombre de contrôles passés au nombre de contrôles activés dans toutes les régions liées. En outre, si un contrôle est activé dans au moins une région liée, il est visible sur les pages de détails des normes de sécurité de la région d'agrégation. L'état de conformité des contrôles sur les pages détaillées des normes reflète les résultats obtenus dans les régions liées. Si un contrôle de sécurité associé à un contrôle échoue dans une ou plusieurs régions liées, le statut de conformité de ce contrôle est indiqué comme Échec sur les pages de détails des normes de la région d'agrégation. Le nombre de contrôles de sécurité inclut les résultats de toutes les régions liées.
Security Hub agrège uniquement les données des régions où Security Hub est activé sur un compte. Security Hub n'est pas automatiquement activé pour un compte en fonction de la configuration d'agrégation entre régions.
Il est possible d'activer l'agrégation entre régions sans qu'aucune région liée ne soit sélectionnée. Dans ce cas, aucune réplication de données n'a lieu.
Agrégation pour les comptes d'administrateur et de membre
Les comptes autonomes, les comptes membres et les comptes administrateurs peuvent configurer l'agrégation entre régions. Si elle est configurée par un administrateur, la présence du compte administrateur est essentielle pour que l'agrégation entre régions fonctionne dans les comptes administrés. Si le compte administrateur est supprimé ou dissocié d'un compte membre, l'agrégation entre régions pour le compte membre cesse. Cela est vrai même si l'agrégation entre régions était activée sur le compte avant le début de la relation administrateur-membre.
Lorsqu'un compte administrateur active l'agrégation entre régions, Security Hub réplique les données générées par le compte administrateur dans toutes les régions liées vers la région d'agrégation. En outre, Security Hub identifie les comptes membres associés à cet administrateur, et chaque compte de membre hérite des paramètres d'agrégation entre régions de l'administrateur. Security Hub réplique les données générées par un compte membre dans toutes les régions liées vers la région d'agrégation.
L'administrateur peut accéder aux résultats de sécurité de tous les comptes membres des régions administrées et les gérer. Toutefois, en tant qu'administrateur du Security Hub, vous devez être connecté à la région d'agrégation pour consulter les données agrégées de tous les comptes membres et des régions associées.
En tant que compte membre du Security Hub, vous devez être connecté à la région d'agrégation pour consulter les données agrégées de votre compte provenant de toutes les régions associées. Les comptes membres ne sont pas autorisés à consulter les données des autres comptes membres.
Un compte administrateur peut inviter manuellement des comptes de membres ou servir d'administrateur délégué d'une organisation intégrée à AWS Organizations. Pour un compte membre invité manuellement, l'administrateur doit inviter le compte depuis la région d'agrégation et toutes les régions associées pour que l'agrégation entre régions fonctionne. En outre, Security Hub doit être activé sur le compte membre dans la région d'agrégation et dans toutes les régions associées pour permettre à l'administrateur de consulter les résultats du compte membre. Si vous n'utilisez pas la région d'agrégation à d'autres fins, vous pouvez désactiver les normes et les intégrations du Security Hub dans cette région pour éviter les frais.
Si vous envisagez d'utiliser l'agrégation entre régions et que vous possédez plusieurs comptes d'administrateur, nous vous recommandons de suivre les bonnes pratiques suivantes :
-
Chaque compte administrateur possède des comptes de membre différents.
-
Chaque compte administrateur possède les mêmes comptes de membre dans toutes les régions.
-
Chaque compte administrateur utilise une région d'agrégation différente.
Note
Pour comprendre l'impact de l'agrégation entre régions sur la configuration centrale, voirConfiguration centrale et agrégation entre régions.
