本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# Security Hub 策略
<a name="orgs_manage_policies_security_hub"></a>

Amazon Security Hub 策略为安全团队提供了一种集中式方法来管理其中的安全配置 Amazon Organizations。利用这些策略，您可以通过集中配置机制建立和维护一致的安全控制措施。通过这种集成，您可以通过创建符合组织安全要求的策略并将其集中应用于各个账户和组织部门（OUs）来解决安全覆盖范围的漏洞。

Security Hub 策略与完全集成 Amazon Organizations，允许管理账户或受托管理员定义和强制执行安全配置。当有账户加入您的组织时，它们会根据其在组织层次结构中的位置自动继承适用的策略。这样可以确保在组织不断发展的过程中，您的安全标准得到始终一致的应用。这些策略尊重现有的组织结构，灵活地分配安全配置，同时保持对关键安全设置的集中控制。

## 主要功能和优势
<a name="security-hub-policies-features"></a>

Security Hub 策略提供了一套全面的功能，可帮助您在整个 Amazon 组织中管理和实施安全配置。这些功能简化了安全管理，同时确保对多账户环境实施一致的控制。
+ 在组织中跨账户和区域集中[启用 Security Hub](https://docs.amazonaws.cn/securityhub/latest/userguide/security-hub-adv-getting-started-enable.html#security-hub-adv-getting-started-enable-org-account)
+ 创建安全策略来定义您的跨账户的安全配置 OUs
+ 新账户加入组织时，会自动应用安全配置
+ 确保整个组织内安全设置的一致性
+ 防止成员账户修改组织级别的安全配置

## 什么是 Security Hub 策略？
<a name="security-hub-policies-what-are"></a>

Security Hub Amazon Organizations 策略是对组织账户中的安全配置进行集中控制的策略。这些策略与 Amazon Organizations 无缝协作，帮助您在多账户环境中建立和维护一致的安全标准。

在实施 Security Hub 策略时，您能够定义可在整个组织中自动传播的特定安全配置。这样可以确保所有账户（包括新创建的账户）都符合组织的安全要求和最佳实践。

这些策略还能够强制执行一致的安全控制措施并防止个人账户修改组织级别的安全设置，从而帮助您保持合规性。这种集中式方法大大减少了在大型复杂 Amazon 环境中管理安全配置的管理开销。

## Security Hub 策略的工作原理
<a name="security-hub-policies-how-works"></a>

当您将 Security Hub 策略附加到组织或组织单元时， Amazon Organizations 会自动评估该策略并根据您定义的范围进行应用。策略执行过程遵循特定的冲突解决规则：

区域同时出现在启用和禁用列表中时，禁用配置优先。例如，如果启用配置和禁用配置中都列出了某个区域，则该区域的 Security Hub 将被禁用。

如果启用时指定了 `ALL_SUPPORTED`，则除非明确禁用，否则将在所有当前和未来区域中启用 Security Hub。这使您能够在 Amazon 扩展到新区域时保持全面的安全保障。

子策略可以使用继承运算符修改父策略设置，从而允许在不同的组织级别实现精细控制。这种分层方法可确保特定的组织单元在保持基准控制的同时，可以自定义其安全设置。

## 术语
<a name="security-hub-policies-terminology"></a>

本主题在讨论 Security Hub 策略时将使用以下术语。


**Security Hub 策略术语**  

| 租期 | 定义 | 
| --- | --- | 
| 有效策略 | 合并所有继承的策略后，应用于某个账户的最终策略。 | 
| 策略继承 | 账户从父级组织单元继承策略的过程。 | 
| 委派管理员 | 指定代表组织来管理 Security Hub 策略的账户。 | 
| 服务相关角色 | 允许 Security Hub 与其他 Amazon 服务进行交互的 IAM 角色。 | 

## Security Hub 策略的使用案例
<a name="security-hub-policies-use-cases"></a>

Security Hub 策略解决了多账户环境中常见的安全管理挑战。以下使用案例演示了组织通常如何实施这些策略来增强其安全状况。

### 示例使用案例：区域合规性要求
<a name="security-hub-policies-use-case-1"></a>

一家跨国公司需要针对不同的地理区域使用不同的 Security Hub 配置。他们使用 `ALL_SUPPORTED` 创建了一个在所有区域中启用 Security Hub 的父策略，然后使用子策略禁用需要不同安全控制的特定区域。这样，他们既能够遵守地区法规，又能确保全面的安全覆盖范围。

### 示例使用案例：开发团队安全标准
<a name="security-hub-policies-use-case-2"></a>

一个软件开发组织实施了 Security Hub 策略，允许在生产区域中进行监控，同时保持开发区域不受管理。他们在策略中使用明确的区域列表而不是 `ALL_SUPPORTED`，以精确控制安全监控的覆盖范围。使用这种方法，他们能够在生产环境中实施更严格的安全控制，同时保持开发领域具有灵活性。

## 策略继承和强制执行
<a name="security-hub-policies-inheritance"></a>

了解策略的继承和执行方式对于在整个组织中实现有效的安全管理至关重要。继承模型遵循 Amazon Organizations 层次结构，确保策略应用的可预测性和一致性。
+ 在根级别附加的策略适用于所有账户
+ 账户从其父级组织单元继承策略
+ 多个策略可应用于单个账户
+ 更具体的策略（层次结构中更接近账户的策略）优先级更高

## 策略验证
<a name="security-hub-policies-validation"></a>

创建 Security Hub 策略时，需要进行以下验证：
+ 区域名称必须是有效的 Amazon 区域标识符
+ 区域必须受 Security Hub 支持
+ 策略结构必须遵循 Amazon Organizations 策略语法规则
+ 必须同时存在 `enable_in_regions` 和 `disable_in_regions` 列表，但这两个列表都可以为空

## 区域注意事项和支持的区域
<a name="security-hub-policies-regions"></a>

Security Hub 策略跨多个区域运行，因此需要仔细考虑您的全局安全需求。了解区域行为有助于您在组织的全局范围内实施有效的安全控制。
+ 策略在每个区域内独立执行
+ 您可以指定在策略中包括或排除哪些区域
+ 使用 `ALL_SUPPORTED` 选项时，新区域将自动包含在内
+ 政策仅适用于 Security Hub 可用的区域

## 后续步骤
<a name="security-hub-policies-next-steps"></a>

要开始使用 Security Hub 策略，请执行以下操作：

1. 查看“Security Hub 策略入门”中的先决条件

1. 使用我们的最佳实践指南规划您的策略

1. 了解策略语法并查看示例策略