跨区域聚合 - Amazon Security Hub
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

跨区域聚合

通过跨区域聚合,您可以将多个区域的调查发现、调查发现更新、见解、控件合规状态和安全评分汇总到单个聚合区域。然后,您可以管理聚合区域中的所有这些数据。

注意

在中 Amazon GovCloud (US),跨区域聚合仅支持对调查结果、发现更新和洞察进行跨 Amazon GovCloud (US)区域聚合。具体而言,您只能汇总 Amazon GovCloud (美国东部)和 Amazon GovCloud (美国西部)之间的调查结果、最新发现和见解。在中国区域,跨区域聚合仅支持对中国区域的调查发现、调查发现更新和见解进行跨区域聚合。具体而言,您只能聚合中国(北京)和中国(宁夏)之间的调查发现、调查发现更新和见解。

假设您将美国东部(弗吉尼亚州北部)设置为聚合区域,将美国西部(俄勒冈州)和美国西部(北加利福尼亚)设置为关联区域。在美国东部(弗吉尼亚州北部)查看调查发现页面时,您会看到所有三个地区的调查发现。这些调查发现的最新情况也反映在所有三个区域。

必须在每个区域修改控件的启用状态。如果在关联区域启用了控件,但在聚合区域中禁用了控件,则可以从聚合区域查看该控件的合规性状态,但不能在聚合区域启用或禁用该控件。

要查看跨区域安全评分和合规状态,请向使用 Security Hub 的 IAM 角色添加以下权限:

如何执行跨区域聚合工作

启用跨区域聚合后,Security Hub 会将以下数据从链接的区域复制到聚合区域。每个启用了跨区域聚合的账户都会发生这种情况。

  • 调查发现

  • 洞察

  • 控制合规性状态

  • 安全分数

除了先前列表中的新数据之外,Security Hub 还会在关联区域和聚合区域之间复制对这些数据的更新。关联区域中发生的更新将被复制到聚合区域。聚合区域中发生的更新将被复制到关联区域。

例如,此图表显示了如何将新调查发现从关联区域复制到聚合区域,以及如何在关联区域和聚合区域之间复制调查发现更新。

如果聚合区域和关联区域的更新相互冲突,则使用最新的更新。

跨区域聚合不会增加 Security Hub 的费用。Security Hub 复制新数据或更新时,您无需付费。

在聚合区域中,摘要页面提供了您在关联区域中活动调查发现的视图。有关信息,请参阅按严重性查看跨区域调查发现摘要。其他用于分析调查发现的摘要页面面板还会显示来自关联区域的信息。

您在聚合区域中的安全分数是通过比较所有关联区域中已通过的控件数量和已启用的控件数量来计算的。此外,如果在至少一个关联区域中启用了控件,则该控件将在聚合区域的安全标准详细信息页面上可见。标准详情页面上控件的合规状态反映了关联区域的调查发现。如果与控件关联的安全检查在一个或多个关联区域中失败,则该控件的合规性状态将在聚合区域的标准详细信息页面上显示为失败。安全检查的数量包括来自所有关联区域的调查发现。

Security Hub 仅汇总来自账户启用了 Security Hub 的地区数据。根据跨区域聚合配置,不会自动为账户启用 Security Hub。

管理员和成员账户的聚合

独立账户、成员账户和管理员账户可以配置跨区域聚合。如果由管理员配置,则管理员帐户的存在对于跨区域聚合在托管账户中发挥作用至关重要。如果管理员账户被移除或取消与成员账户的关联,则该成员账户的跨区域聚合将停止。即使账户在管理员-成员关系开始之前启用了跨区域聚合,也是如此。

当管理员帐户启用跨区域聚合时,Security Hub 会将管理员帐户在所有关联区域中生成的数据复制到聚合区域。此外,Security Hub 可以识别与该管理员关联的成员账户,并且每个成员账户都继承管理员的跨区域聚合设置。Security Hub 会将成员账户在所有关联区域生成的数据复制到聚合区域。

管理员可以访问和管理来自管理区域内所有成员账户的安全调查结果。但是,作为 Security Hub 管理员,您必须登录到聚合区域才能查看来自所有成员账户和关联区域的聚合数据。

作为 Security Hub 成员账户,您必须登录到聚合区域才能查看来自您账户的所有关联区域的汇总数据。成员账户无权查看其他成员账户的数据。

管理员账户可以手动邀请成员账户,也可以作为与之集成的组织的委托管理员 Amazon Organizations。对于手动邀请的成员账户,管理员必须邀请来自聚合区域和所有关联区域的账户,才能使跨区域聚合生效。此外,成员账户必须在聚合区域和所有关联区域中启用 Security Hub,这样管理员才能查看成员账户的调查结果。如果您不将聚合区域用于其他目的,则可以在该区域禁用 Security Hub 标准和集成以防止收费。

如果您计划使用跨区域聚合,并且拥有多个管理员账户,我们建议您遵循以下最佳实践:

  • 每个管理员账户都有不同的成员账户。

  • 每个管理员账户在不同地区都有相同的成员账户。

  • 每个管理员账户使用不同的聚合区域。

注意

要了解跨区域聚合如何影响中央配置,请参阅中心配置和跨区域聚合