Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Aggregazione tra regioni
Utilizzando l'aggregazione interregionale in AWS Security Hub, è possibile aggregare i risultati, trovare aggiornamenti e approfondimenti, controllare gli stati di conformità e i punteggi di sicurezza da più aree a un'unica area di aggregazione. Regioni AWS È quindi possibile gestire tutti questi dati dalla regione di aggregazione. La regione di aggregazione viene anche definita regione di origine.
Nota
In AWS GovCloud (US), l'aggregazione tra regioni è supportata solo per i risultati, gli aggiornamenti di ricerca e le informazioni approfondite in tutto il mondo. AWS GovCloud (US) In particolare, puoi aggregare i risultati, trovare aggiornamenti e approfondimenti solo tra AWS GovCloud (Stati Uniti orientali) e AWS GovCloud (Stati Uniti occidentali). Nelle regioni cinesi, l'aggregazione interregionale è supportata solo per i risultati, gli aggiornamenti dei risultati e gli approfondimenti nelle regioni cinesi. In particolare, puoi aggregare risultati, trovare aggiornamenti e approfondimenti solo tra Cina (Pechino) e Cina (Ningxia).
Supponiamo di impostare Stati Uniti orientali (Virginia settentrionale) come regione di aggregazione e Stati Uniti occidentali (Oregon) e Stati Uniti occidentali (California settentrionale) come regioni collegate. Quando si visualizza la pagina Risultati negli Stati Uniti orientali (Virginia settentrionale), vengono visualizzati i risultati di tutte e tre le regioni. Gli aggiornamenti a tali risultati si riflettono anche in tutte e tre le regioni.
Se un controllo è abilitato in una regione collegata ma disabilitato nella regione di aggregazione, è possibile visualizzare lo stato di conformità del controllo dalla regione di aggregazione, ma non è possibile abilitare o disabilitare tale controllo dalla regione di aggregazione. L'eccezione è se si utilizza la configurazione centrale. Se si utilizza la configurazione centrale, l'amministratore delegato del Security Hub può configurare i controlli nella regione di aggregazione e nelle regioni collegate dalla regione di aggregazione.
Se è stata impostata una regione di aggregazione, i punteggi di sicurezza tengono conto degli stati di controllo in generale Regioni collegate. Per visualizzare i punteggi di sicurezza e gli stati di conformità tra le regioni, aggiungi le seguenti autorizzazioni al tuo IAM ruolo che utilizza Security Hub:
Come funziona l'aggregazione tra regioni
Quando l'aggregazione tra regioni è abilitata con una o più regioni collegate, Security Hub replica i seguenti dati dalle regioni collegate alla regione di aggregazione. Ciò si verifica in tutti gli account in cui è abilitata l'aggregazione tra aree geografiche.
Risultati
Informazioni dettagliate
Controlla gli stati di conformità
Punteggi di sicurezza
Oltre ai nuovi dati nell'elenco precedente, Security Hub replica anche gli aggiornamenti di questi dati tra le regioni collegate e la regione di aggregazione. Gli aggiornamenti che si verificano in una regione collegata vengono replicati nella regione di aggregazione. Gli aggiornamenti che si verificano nella regione di aggregazione vengono replicati nella regione collegata.
Se sono presenti aggiornamenti in conflitto nella regione di aggregazione e nella regione collegata, viene utilizzato l'aggiornamento più recente.
L'aggregazione tra regioni non aumenta il costo di Security Hub. Non ti viene addebitato alcun costo quando Security Hub replica nuovi dati o aggiornamenti.
Nella regione di aggregazione, la pagina di riepilogo fornisce una visualizzazione dei risultati attivi nelle regioni collegate. Per informazioni, consulta Visualizzazione di un riepilogo interregionale dei risultati per gravità. In altri pannelli della pagina di riepilogo che analizzano i risultati vengono visualizzate anche informazioni provenienti da tutte le regioni collegate.
I punteggi di sicurezza nella regione di aggregazione vengono calcolati confrontando il numero di controlli approvati con il numero di controlli abilitati in tutte le aree collegate. Inoltre, se un controllo è abilitato in almeno una regione collegata, è visibile nelle pagine dei dettagli degli standard di sicurezza della regione di aggregazione. Lo stato di conformità dei controlli nelle pagine dei dettagli degli standard riflette i risultati delle regioni collegate. Se un controllo di sicurezza associato a un controllo ha esito negativo in una o più aree collegate, lo stato di conformità di tale controllo viene visualizzato come Non riuscito nelle pagine dei dettagli degli standard della regione di aggregazione. Il numero di controlli di sicurezza include i risultati di tutte le regioni collegate.
Security Hub aggrega solo i dati delle regioni in cui un account ha Security Hub abilitato. Security Hub non è abilitato automaticamente per un account in base alla configurazione di aggregazione tra regioni.
È possibile abilitare l'aggregazione tra regioni senza selezionare alcuna regione collegata. In questo caso, non si verifica alcuna replica dei dati.
Aggregazione per gli account degli amministratori e dei membri
Gli account autonomi, gli account membro e gli account amministratore possono configurare l'aggregazione tra regioni. Se configurata da un amministratore, la presenza dell'account amministratore è essenziale affinché l'aggregazione tra regioni funzioni negli account amministrati. Se l'account amministratore viene rimosso o dissociato da un account membro, l'aggregazione tra aree geografiche per l'account membro si interrompe. Ciò è vero anche se l'aggregazione tra aree geografiche era abilitata per l'account prima dell'inizio della relazione amministratore-membro.
Quando un account amministratore abilita l'aggregazione tra regioni, Security Hub replica i dati generati dall'account amministratore in tutte le regioni collegate alla regione di aggregazione. Inoltre, Security Hub identifica gli account membro associati a quell'amministratore e ogni account membro eredita le impostazioni di aggregazione interregionale dell'amministratore. Security Hub replica i dati generati da un account membro in tutte le regioni collegate alla regione di aggregazione.
L'amministratore può accedere e gestire i risultati di sicurezza di tutti gli account membri all'interno delle regioni amministrate. Tuttavia, in qualità di amministratore di Security Hub, è necessario accedere alla regione di aggregazione per visualizzare i dati aggregati di tutti gli account membri e le regioni collegate.
In qualità di account membro di Security Hub, devi accedere alla regione di aggregazione per visualizzare i dati aggregati del tuo account da tutte le regioni collegate. Gli account dei membri non dispongono delle autorizzazioni per visualizzare i dati degli altri account membri.
Un account amministratore può invitare manualmente gli account dei membri o fungere da amministratore delegato di un'organizzazione integrata con. AWS Organizations Per un account membro invitato manualmente, l'amministratore deve invitare l'account dalla regione di aggregazione e da tutte le regioni collegate affinché l'aggregazione tra regioni funzioni. Inoltre, l'account membro deve avere il Security Hub abilitato nella regione di aggregazione e in tutte le regioni collegate per consentire all'amministratore di visualizzare i risultati dell'account membro. Se non utilizzi la regione di aggregazione per altri scopi, puoi disabilitare gli standard e le integrazioni di Security Hub in quella regione per evitare addebiti.
Se prevedi di utilizzare l'aggregazione tra regioni e disponi di più account amministratore, ti consigliamo di seguire queste best practice:
-
Ogni account amministratore ha account membri diversi.
-
Ogni account amministratore ha gli stessi account membro in tutte le regioni.
-
Ogni account amministratore utilizza una regione di aggregazione diversa.
Nota
Per comprendere in che modo l'aggregazione tra aree geografiche influisce sulla configurazione centrale, consulta. Configurazione centrale e aggregazione tra regioni
