跨区域聚合 - Amazon Security Hub
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

跨区域聚合

通过跨区域聚合,您可以将多个区域的调查发现、调查发现更新、见解、控件合规状态和安全评分汇总到单个聚合区域。然后,您可以管理聚合区域中的所有这些数据。

注意

在 Amazon GovCloud (US) 中,仅支持各种 Amazon GovCloud (US) 的跨区域聚合的调查发现、调查发现更新和见解。具体而言,您只能聚合 Amazon GovCloud(美国东部)和 Amazon GovCloud(美国西部)之间的调查发现、调查发现更新和见解。在中国区域,跨区域聚合仅支持对中国区域的调查发现、调查发现更新和见解进行跨区域聚合。具体而言,您只能聚合中国(北京)和中国(宁夏)之间的调查发现、调查发现更新和见解。

假设您将美国东部(弗吉尼亚州北部)设置为聚合区域,将美国西部(俄勒冈州)和美国西部(北加利福尼亚)设置为关联区域。在美国东部(弗吉尼亚州北部)查看调查发现页面时,您会看到所有三个地区的调查发现。这些调查发现的最新情况也反映在所有三个区域。

必须在每个区域修改控件的启用状态。如果在关联区域启用了控件,但在聚合区域中禁用了控件,则可以从聚合区域查看该控件的合规性状态,但不能在聚合区域启用或禁用该控件。

要查看跨区域安全评分和合规状态,请向使用 Security Hub 的 IAM 角色添加以下权限:

如何执行跨区域聚合工作

跨区域聚合由独立账户和管理员账户配置。成员账户继承其管理员账户的跨区域聚合配置。

当成员账户与管理员账户取消关联后,该成员账户的跨区域聚合将停止。即使该账户在成为成员账户之前已启用跨区域聚合,也是如此。

跨区域聚合基于聚合区域和关联区域。

聚合新数据并复制数据的更新

启用跨区域聚合后,Security Hub 会聚合在关联区域和聚合区域之间的以下数据:

  • 调查发现

  • 洞察

  • 控制合规性状态

  • 安全分数

除了先前列表中的新数据之外,Security Hub 还会在关联区域和聚合区域之间复制对这些数据的更新。关联区域中发生的更新将被复制到聚合区域。聚合区域中发生的更新将被复制到关联区域。


                    例如,此图表显示了如何将新调查发现从关联区域复制到聚合区域,以及如何在关联区域和聚合区域之间复制调查发现更新。

如果聚合区域和关联区域的更新相互冲突,则使用最新的更新。

跨区域聚合不会增加 Security Hub 的费用。Security Hub 复制新数据或更新时,您无需付费。

在聚合区域中,摘要页面提供了您在关联区域中活动调查发现的视图。有关信息,请参阅按严重性查看跨区域调查发现摘要。其他用于分析调查发现的摘要页面面板还会显示来自关联区域的信息。

您在聚合区域中的安全分数是通过比较所有关联区域中已通过的控件数量和已启用的控件数量来计算的。此外,如果在至少一个关联区域中启用了控件,则该控件将在聚合区域的安全标准详细信息页面上可见。标准详情页面上控件的合规状态反映了关联区域的调查发现。如果与控件关联的安全检查在一个或多个关联区域中失败,则该控件的合规性状态将在聚合区域的标准详细信息页面上显示为失败。安全检查的数量包括来自所有关联区域的调查发现。

确定要从中汇总数据的账户

Security Hub 仅汇总来自账户启用了 Security Hub 的地区数据。根据跨区域聚合配置,不会自动为账户启用 Security Hub。

要了解中心配置如何影响跨区域聚合,请参阅中心配置和跨区域聚合

管理员账户配置跨区域聚合时,Security Hub 会在关联区域中识别该管理员账户的成员账户。

在每个关联区域中,该管理员账户的每个成员账户都继承跨区域聚合配置。Security Hub 将他们的调查发现、见解、控件状态和安全评分汇总到聚合区域。

如果聚合区域的成员账户不是关联区域的成员账户,则 Security Hub 不会汇总该区域中该账户的数据。

如果您计划使用跨区域聚合,并且拥有多个管理员账户,那么我们推荐以下最佳做法:

  • 每个管理员账户在不同地区都有相同的成员账户。

  • 每个管理员账户都有不同的成员账户。

  • 每个管理员账户使用不同的聚合区域。