跨區域彙總 - AWS Security Hub
跨區域彙總的運作方式管理員和成員帳戶的彙總

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

跨區域彙總

透過跨區域彙總,您可以彙總發現項目、尋找更新、見解、控制合規狀態,以及從多個區域到單一彙總區域的安全分數。然後,您可以從彙總區域管理所有這些資料。

注意

在中 AWS GovCloud (US),只有發現項目、尋找更新和深入解析才支援跨區域彙總。 AWS GovCloud (US)具體而言,您只能彙總 AWS GovCloud (美國東部) 和 (美國西部) 之間的發現項目、尋找更新和 AWS GovCloud 深入解析。在中國地區,跨區域彙總僅支援跨中國區域的搜尋結果、尋找更新和見解。具體而言,您只能彙總中國(北京)和中國(寧夏)之間的調查結果,發現更新和見解。

假設您將美國東部 (維吉尼亞北部) 設定為彙總區域,將美國西部 (奧勒岡) 和美國西部 (加利佛尼亞北部) 設定為連結的區域。當您檢視美國東部 (維吉尼亞北部) 的「發現項目」頁面時,您會看到來自全部三個區域的發現項目。這些發現項目的更新也會反映在所有三個區域中。

必須在每個區域中修改控制項的啟用狀態。如果已在連結的區域中啟用控制項,但在聚總區域中停用,您可以從聚總區域查看控制項的相容性狀態,但您無法從聚總區域啟用或停用該控制項。

若要檢視跨區域安全分數和合規狀態,請將下列許可新增至使用 Security Hub 的 IAM 角色:

跨區域彙總的運作方式

啟用跨區域彙總時,Security Hub 會將下列資料從連結的區域複寫到彙總區域。每個啟用跨區域彙總的帳戶都會發生這種情況。

  • 問題清單

  • 深入分析

  • 控制符合性狀態

  • 安全分數

除了先前清單中的新資料之外,Security Hub 也會在連結的區域和彙總區域之間複寫此資料的更新。連結區域中發生的更新會複寫到彙總區域。彙總區域中發生的更新會複寫回連結的區域。

例如,此圖表顯示如何將新的發現項目從連結的區域複製到彙總區域,以及如何在連結的區域和彙總區域之間複製尋找更新。

如果彙總 [區域] 和 [連結的區域] 中發生衝突的更新,則會使用最新的更新。

跨區域彙總不會增加 Security Hub 的成本。當 Security Hub 複寫新資料或更新時,不會向您收費。

在聚總區域中,「總」頁面提供跨連結區域之有效發現項目的檢視表。如需詳細資訊,請參閱依嚴重性檢視發現項目的跨區域摘要。分析發現項目的其他「摘要」頁面面板也會顯示來自跨連結區域的資訊。

彙總區域中的安全分數是透過比較傳遞的控制項數目與所有連結區域中啟用的控制項數目,來計算出來的。此外,如果至少在一個連結的 [區域] 中啟用控制項,則會在彙總 [區域] 的 [安全性] 標準詳細資料頁面上看到控制項。標準詳細資料頁面上控制項的符合性狀態反映了跨連結區域的發現項目。如果在一或多個連結的區域中與控制項相關聯的安全性檢查失敗,該控制項的符合性狀態會在彙總「區域」的標準詳細資料頁面上顯示為「失敗」。安全檢查的數目包括來自所有連結區域的發現項目。

Security Hub 只會彙總帳戶已啟用 Security Hub 之區域的資料。不會根據跨區域彙總組態為帳戶自動啟用 Security Hub。

管理員和成員帳戶的彙總

獨立帳戶、成員帳戶和管理員帳戶可以設定跨區域彙總。如果由管理員設定,則跨區域彙總在管理的帳戶中運作時,必須存在管理員帳戶。如果管理員帳戶已移除或與成員帳戶取消關聯,則該成員帳戶的跨區域彙總會停止。即使帳戶在管理員與成員關係開始之前已啟用跨區域彙總,也是如此。

當系統管理員帳戶啟用跨區域彙總時,Security Hub 會將系統管理員帳戶在所有連結區域中產生的資料複寫到彙總區域。此外,Security Hub 會識別與該系統管理員相關聯的成員帳戶,而且每個成員帳戶都會繼承系統管理員的跨區域彙總設定。Security Hub 會將成員帳戶在所有連結的區域中產生的資料複寫到彙總區域。

管理員可以從管理區域內的所有成員帳戶存取和管理安全發現項目。不過,身為 Security Hub 系統管理員,您必須登入彙總區域,才能檢視來自所有成員帳戶和連結區域的彙總資料。

身為 Security Hub 成員帳戶,您必須登入彙總區域,才能檢視來自所有連結區域之帳戶的彙總資料。會員帳戶沒有查看其他成員帳戶數據的權限。

系統管理員帳戶可以手動邀請成員帳戶,或擔任與整合之組織的委派管理員 AWS Organizations。對於手動邀請的成員帳戶,管理員必須從彙總區域和所有連結區域邀請帳戶,以便跨區域彙總才能運作。此外,成員帳戶必須在彙總區域和所有連結的區域中啟用 Security Hub,才能讓系統管理員能夠檢視成員帳戶中的發現項目。如果您未將彙總區域用於其他用途,則可以停用該區域中的 Security Hub 標準和整合,以避免收費。

如果您計劃使用跨區域彙總並擁有多個管理員帳戶,建議您遵循下列最佳作法:

  • 每個管理員帳戶都有不同的成員帳戶。

  • 每個管理員帳戶在區域中都有相同的成員帳戶。

  • 每個管理員帳戶都使用不同的彙總區域。

注意

若要瞭解跨區域彙總如何影響中央組態,請參閱中央組態與跨區域彙總