概念和定義

本節說明關鍵概念並定義此解決方案特有的術語：

修補、修補 Runbook

一組解決問題清單之步驟的實作。例如，控制項安全控制 (SC) Lambda.1「Lambda 函數政策應禁止公開存取」的修復會修改相關 AWS Lambda 函數的政策，以移除允許公開存取的陳述式。

控制 Runbook

Orchestrator 用來將特定控制項的起始修復路由至正確修復 Runbook 的一組 AWS Systems Manager (SSM) 自動化文件之一。例如，SC Lambda.1 和 AWS Foundational Security Best Practices (FSBP) Lambda.1 的修復會使用相同的修復執行手冊實作。Orchestrator 會叫用每個控制項的控制項 Runbook，分別名為 ASR-AFSBP_Lambda.1 和 ASR-SC_2.0.0_Lambda.1。每個控制項 Runbook 都會叫用相同的修復 Runbook，在此情況下，它會是 ASR-RemoveLambdaPublicAccess。

協調器

解決方案所部署的 Step Functions 會從 AWS Security Hub 做為調查結果物件的輸入，並在目標帳戶和區域中叫用正確的控制 Runbook。Orchestrator 也會在修補啟動和修補成功或失敗時通知解決方案 SNS 主題。

標準

組織定義為合規架構一部分的一組控制項。例如，AWS Security Hub 和此解決方案支援的其中一個標準是 AWS FSBP。

控制項

為了符合規範，資源應擁有或不應擁有的屬性描述。例如，控制項 AWS FSBP Lambda.1 指出 AWS Lambda Functions 應禁止公開存取。允許公開存取的 函數會失敗此控制。

合併控制調查結果、安全控制、安全控制檢視

AWS Security Hub 的一項功能，在啟用時會顯示具有其合併控制項 IDs的問題清單，而不是對應至特定標準的 IDs。例如，控制項 AWS FSBP S3.2、CIS v1.2.0 2.3、CIS v1.4.0 2.1.5.2 和 PCI-DSS v3.2.1 S3.1 所有映射到合併 (SC) 控制項 S3.2「S3 儲存貯體應禁止公開讀取存取」。開啟此功能時，會使用 SC Runbook。

【解決方案 Web UI】 委派管理員

在解決方案的 Web UI 內容中，委派管理員是由管理員邀請的使用者，並具有執行修復和檢視修復歷史記錄的完整存取權。此使用者也可以檢視和管理其他 Account Operator 使用者。

【解決方案 Web UI】 帳戶運算子

在解決方案的 Web UI 內容中，帳戶運算子是由管理員或委派管理員邀請來存取解決方案 Web UI 的使用者。此使用者與其邀請中提供的 AWS 帳戶 ID 清單相關聯；他們只能執行修復並檢視修復歷史記錄，因為它與這些帳戶中的資源相關。

如需 AWS 術語的一般參考，請參閱 AWS 詞彙表。