了解 Security Hub CSPM 中的跨区域聚合 - Amazon Security Hub
聚合的数据类型聚合管理员账户和成员账户
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

了解 Security Hub CSPM 中的跨区域聚合

注意

聚合区域现在称为主区域。一些 Security Hub CSPM API 操作仍然使用旧术语聚合区域。

通过在 Sec Amazon urity Hub Cloud 安全态势管理 (CSPM) 中使用跨区域聚合,您可以将多个 Amazon Web Services 区域 主区域的发现、查找更新、见解、控制合规状态和安全分数。然后,您可以管理主区域中的所有这些数据。

假设您将美国东部(弗吉尼亚州北部)设置为主区域,将美国西部(俄勒冈州)和美国西部(北加利福尼亚)设置为关联区域。在美国东部(弗吉尼亚州北部)查看调查发现页面时,您会看到所有三个地区的调查发现。这些调查发现的最新情况也反映在所有三个区域。

注意

在中 Amazon GovCloud (US),跨区域聚合仅支持对调查结果、发现更新和洞察进行跨 Amazon GovCloud (US)区域聚合。具体而言,您只能汇总 Amazon GovCloud (美国东部)和 Amazon GovCloud (美国西部)之间的调查结果、最新发现和见解。在中国区域,跨区域聚合仅支持对中国区域的调查发现、调查发现更新和见解进行跨区域聚合。具体而言,您只能聚合中国(北京)和中国(宁夏)之间的调查发现、调查发现更新和见解。

如果在关联区域中启用了控件,但在主区域中禁用了控件,则可以从主区域查看该控件的合规性状态,但不能在主区域启用或禁用该控件。例外情况是您使用中心配置。如果您使用集中配置,则委派的 Security Hub CSPM 管理员可以在主区域中配置控件,也可以从主区域配置关联区域的控件。

如果您设置了主区域,则安全评分会将所有关联区域中的控件状态考虑在内。要查看跨区域安全评分和合规状态,请向使用 Security Hub CSPM 的 IAM 角色添加以下权限:

聚合的数据类型

当一个或多个关联区域启用跨区域聚合时,Security Hub CSPM 会将以下数据从关联区域复制到主区域。每个启用了跨区域聚合的账户都会发生这种情况。

  • 调查发现

  • 见解

  • 控制合规性状态

  • 安全分数

除了上面列表中的新数据外,Security Hub CSPM 还会在关联的区域和主区域之间复制对这些数据的更新。关联区域中进行的更新会被复制到主区域。主区域中进行的更新会被复制回关联区域。如果主区域和关联区域中的更新相互冲突,则使用最新的更新。

启用跨区域聚合后,Security Hub CSPM 会在关联的区域和主区域之间复制新的和更新的发现。

跨区域聚合不会增加 Security Hub CSPM 的成本。当 Security Hub CSPM 复制新数据或更新时,您无需支付任何费用。

在主区域中,摘要页面提供了您在关联区域中活动调查发现的视图。有关信息,请参阅按严重性查看跨区域调查发现摘要。其他用于分析调查发现的摘要页面面板还会显示来自关联区域的信息。

您在主区域中的安全评分是通过比较所有关联区域中已通过的控件数量和已启用的控件数量来计算的。此外,如果在至少一个关联区域中启用了控件,则该控件将在主区域的安全标准详细信息页面上可见。标准详情页面上控件的合规状态反映了关联区域的调查发现。如果与控件关联的安全检查在一个或多个关联区域中失败,则该控件的合规性状态将在主区域的标准详细信息页面上显示为失败。安全检查的数量包括来自所有关联区域的调查发现。

Security Hub CSPM 仅汇总来自账户启用了 Security Hub CSPM 的地区的数据。根据跨区域聚合配置,不会自动为账户启用 Security Hub CSPM。

可以在不选择任何关联区域的情况下启用跨区域聚合。在这种情况下,不会进行数据复制。

聚合管理员账户和成员账户

独立账户、成员账户和管理员账户可以配置跨区域聚合。如果由管理员配置,则管理员账户的存在对于跨区域聚合在托管账户中发挥作用至关重要。如果管理员账户被移除或与成员账户取消关联,则成员账户的跨区域聚合将停止。即使该账户在管理员与成员的关系开始之前就已启用跨区域聚合,也是如此。

当管理员帐户启用跨区域聚合时,Security Hub CSPM 会将管理员帐户在所有关联区域中生成的数据复制到主区域。此外,Security Hub CSPM 可以识别与该管理员关联的成员帐户,并且每个成员帐户都继承管理员的跨区域聚合设置。Security Hub CSPM 将成员账户在所有关联区域生成的数据复制到主区域。

管理员可以访问和管理托管区域内所有成员账户的安全调查发现。但是,作为 Security Hub CSPM 管理员,您必须登录到主区域才能查看来自所有成员账户和关联区域的汇总数据。

作为 Security Hub CSPM 成员账户,您必须登录主区域才能查看来自您账户的所有关联区域的汇总数据。成员账户无权查看其他成员账户的数据。

管理员账户可以手动邀请成员账户,也可以作为与之集成的组织的委托管理员 Amazon Organizations。对于手动邀请的成员账户,管理员必须从主区域和所有关联区域邀请该账户,才能使跨区域聚合发挥作用。此外,成员账户必须在主区域和所有关联区域中启用 Security Hub CSPM,这样管理员才能查看成员账户的调查结果。如果您不将主区域用于其他目的,则可以在该区域禁用 Security Hub CSPM 标准和集成以防止收费。

如果您计划使用跨区域聚合,并且拥有多个管理员账户,则我们推荐以下最佳实践:

  • 每个管理员账户都有不同的成员账户。

  • 每个管理员账户在不同地区都有相同的成员账户。

  • 每个管理员账户使用不同的主区域。

注意

要了解跨区域聚合如何影响中心配置,请参阅中心配置对跨区域聚合的影响