本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 使用 Security Hub 策略的最佳实践
<a name="orgs_manage_policies_security_hub_best_practices"></a>

在整个组织中实施 Security Hub 策略时，遵循既定的最佳实践有助于确保成功部署和维护安全配置。这些指南专门针对了 Security Hub 策略管理和实施的独特方面 Amazon Organizations。

## 策略设计原则
<a name="policy-design-principles"></a>

在创建 Security Hub 策略之前，请先确立明确的策略结构原则。保持策略简洁明了，避免使用复杂的交叉属性或嵌套规则，以免难以确定最终结果。首先在组织根级别制定宽泛策略，然后根据需要通过子策略进行细化。

考虑策略性地使用空区域列表。如果您只需要在特定区域禁用 Security Hub，则可以将 `enable_in_regions` 留空，或者将 `disable_in_regions` 留空以使某些区域不受策略管理。这种灵活性有助于您精确控制安全监控的覆盖范围。

## 区域管理策略
<a name="region-management-strategies"></a>

在通过 Security Hub 策略管理区域时，请考虑这些经验证的方法。如果您想要自动将未来区域纳入安全覆盖范围，请使用 `ALL_SUPPORTED`。要进行更精细的控制，请明确列出区域而不是依赖 `ALL_SUPPORTED`，尤其是在不同区域需要不同安全配置的情况下。

记录您的区域特定要求，特别是：
+ 需要特定配置的合规性规定区域
+ 开发环境与生产环境存在差异
+ 有特殊注意事项的选择加入区域
+ 必须禁用 Security Hub 的区域

## 策略继承规划
<a name="policy-inheritance-planning"></a>

仔细规划您的策略继承结构，在保持有效安全控制的同时兼顾必要的灵活性。记录哪些组织单元可以修改继承的策略以及允许进行哪些修改。当您需要强制执行严格的安全控制措施时，可以考虑在父级限制继承运算符（@@assign、@@append、@@remove）。

## 监控和验证
<a name="monitoring-validation"></a>

实施定期监控措施，确保您的策略持续有效。定期审查策略附件，尤其是在组织发生变更之后。验证区域配置是否符合您的预期安全覆盖范围，尤其是在使用 `ALL_SUPPORTED` 或管理多个区域列表时。

## 对策略进行问题排查
<a name="troubleshooting-strategies"></a>

在对 Security Hub 策略进行问题排查时，首先要关注策略优先级和策略继承。请记住，如果区域出现在两个列表中，禁用配置的优先级高于启用配置。检查策略继承链，了解父策略和子策略如何组合起来为每个账户创建有效策略。