了解 Security Hub 中的跨区域聚合 - Amazon Security Hub
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

了解 Security Hub 中的跨区域聚合

注意

聚合区域现在称为主区域。某些 Security Hub API 操作仍使用旧术语“聚合区域”。

通过在 Amazon Security Hub 中使用跨区域聚合,您可以将多个 Amazon Web Services 区域 的调查发现、调查发现更新、洞察、控件合规性状态和安全评分聚合到单个主区域。然后,您可以管理主区域中的所有这些数据。

假设您将美国东部(弗吉尼亚州北部)设置为主区域,将美国西部(俄勒冈州)和美国西部(北加利福尼亚)设置为关联区域。在美国东部(弗吉尼亚州北部)查看调查发现页面时,您会看到所有三个地区的调查发现。这些调查发现的最新情况也反映在所有三个区域。

注意

在 Amazon GovCloud (US) 中,仅支持各种 Amazon GovCloud (US) 的跨区域聚合的调查发现、调查发现更新和见解。具体而言,您只能聚合 Amazon GovCloud(美国东部)和 Amazon GovCloud(美国西部)之间的调查发现、调查发现更新和见解。在中国区域,跨区域聚合仅支持对中国区域的调查发现、调查发现更新和见解进行跨区域聚合。具体而言,您只能聚合中国(北京)和中国(宁夏)之间的调查发现、调查发现更新和见解。

如果在关联区域中启用了控件,但在主区域中禁用了控件,则可以从主区域查看该控件的合规性状态,但不能在主区域启用或禁用该控件。例外情况是您使用中心配置。如果您使用中心配置,则委托 Security Hub 管理员可以在主区域和主区域的关联区域中配置控件。

如果您设置了主区域,则安全评分会将所有关联区域中的控件状态考虑在内。要查看跨区域安全评分和合规状态,请向使用 Security Hub 的 IAM 角色添加以下权限:

聚合的数据类型

在一个或多个关联区域中启用跨区域聚合后,Security Hub 会将以下数据从关联区域复制到主区域。每个启用了跨区域聚合的账户都会发生这种情况。

  • 调查发现

  • 洞察

  • 控制合规性状态

  • 安全分数

除了先前列表中的新数据之外,Security Hub 还会在关联区域和主区域之间复制对这些数据的更新。关联区域中进行的更新会被复制到主区域。主区域中进行的更新会被复制回关联区域。如果主区域和关联区域中的更新相互冲突,则使用最新的更新。

启用跨区域聚合后,Security Hub 会在关联区域和主区域之间复制新调查发现和更新的调查发现。

跨区域聚合不会增加 Security Hub 的费用。Security Hub 复制新数据或更新时,您无需付费。

在主区域中,摘要页面提供了您在关联区域中活动调查发现的视图。有关信息,请参阅按严重性查看跨区域调查发现摘要。其他用于分析调查发现的摘要页面面板还会显示来自关联区域的信息。

您在主区域中的安全评分是通过比较所有关联区域中已通过的控件数量和已启用的控件数量来计算的。此外,如果在至少一个关联区域中启用了控件,则该控件将在主区域的安全标准详细信息页面上可见。标准详情页面上控件的合规状态反映了关联区域的调查发现。如果与控件关联的安全检查在一个或多个关联区域中失败,则该控件的合规性状态将在主区域的标准详细信息页面上显示为失败。安全检查的数量包括来自所有关联区域的调查发现。

Security Hub 仅汇总来自账户启用了 Security Hub 的地区数据。根据跨区域聚合配置,不会自动为账户启用 Security Hub。

可以在不选择任何关联区域的情况下启用跨区域聚合。在这种情况下,不会进行数据复制。

聚合管理员账户和成员账户

独立账户、成员账户和管理员账户可以配置跨区域聚合。如果由管理员配置,则管理员账户的存在对于跨区域聚合在托管账户中发挥作用至关重要。如果管理员账户被移除或与成员账户取消关联,则成员账户的跨区域聚合将停止。即使该账户在管理员与成员的关系开始之前就已启用跨区域聚合,也是如此。

管理员账户启用跨区域聚合后,Security Hub 会将管理员账户在所有关联区域中生成的数据复制到主区域。此外,Security Hub 会识别与该管理员关联的成员账户,并且每个成员账户都会继承管理员的跨区域聚合设置。Security Hub 会将成员账户在所有关联区域生成的数据复制到主区域。

管理员可以访问和管理托管区域内所有成员账户的安全调查发现。但是,作为 Security Hub 管理员,您必须登录到主区域才能查看所有成员账户和关联区域的聚合数据。

作为 Security Hub 成员账户,您必须登录到主区域才能查看您的账户和所有关联区域的聚合数据。成员账户无权查看其他成员账户的数据。

管理员账户可以手动邀请成员账户,也可以作为与 Amazon Organizations 集成的组织的委托管理员。对于手动邀请的成员账户,管理员必须从主区域和所有关联区域邀请该账户,才能使跨区域聚合发挥作用。此外,成员账户必须在主区域和所有关联区域中启用 Security Hub,这样管理员才能查看成员账户中的调查发现。如果您不将主区域用于其他用途,则可以在该区域中禁用 Security Hub 标准和集成以防止产生费用。

如果您计划使用跨区域聚合,并且拥有多个管理员账户,则我们推荐以下最佳实践:

  • 每个管理员账户都有不同的成员账户。

  • 每个管理员账户在不同地区都有相同的成员账户。

  • 每个管理员账户使用不同的主区域。

注意

要了解跨区域聚合如何影响中心配置,请参阅中心配置对跨区域聚合的影响