了解 Security Hub 中的跨区域聚合 - AmazonSecurity Hub
聚合的数据类型聚合管理员账户和成员账户自动化规则和跨区域聚合
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

了解 Security Hub 中的跨区域聚合

跨区域聚合允许您将来自多个Amazon区域的发现、资源和趋势汇总到一个主区域。然后,您可以从本地区域管理所有这些数据。

假设您将美国东部(弗吉尼亚州北部)设置为主区域,将美国西部(俄勒冈州)和美国西部(北加利福尼亚)设置为关联区域。在美国东部(弗吉尼亚州北部)查看调查发现页面时,您会看到所有三个地区的调查发现。这些调查发现的最新情况也反映在所有三个区域。

聚合的数据类型

在一个或多个关联区域中启用跨区域聚合后,Security Hub 会将以下数据从关联区域复制到主区域。每个启用了跨区域聚合的账户都会发生这种情况。

  • 结果

  • 资源

  • Trends

除了先前列表中的新数据之外,Security Hub 还会在关联区域和主区域之间复制对这些数据的更新。关联区域中进行的更新会被复制到主区域。主区域中进行的更新会被复制回关联区域。如果主区域和关联区域中的更新相互冲突,则使用最新的更新。

除非对发现结果进行更新,否则在某个区域成为关联区域时存在的任何发现都不会复制到原区域。将某个区域与主区域关联后,在关联区域中的发现结果更新或过时之前,主区域和关联区域之间的发现就会有所不同。

在某个区域成为关联区域时存在的任何资源都将复制到原区域,通常是在该区域与主区域关联后的 24-48 小时内。

移除关联区域时,该区域的所有发现或资源都将保留在本区域中,直到发现或资源失效。

趋势数据基于趋势所针对的区域内存在的发现和资源。主区域的趋势数据将反映已同步到原区域的发现和资源的当前状态。

启用跨区域聚合后,Security Hub CSPM 会在关联区域和主区域之间复制新调查发现和更新的调查发现。

跨区域聚合不会增加 Security Hub 的费用。Security Hub 复制新数据或更新时,您无需付费。

在主区域中,摘要页面提供了您在关联区域中的活跃发现和资源的视图。

Security Hub 仅汇总来自账户启用了 Security Hub 的地区数据。根据跨区域聚合配置,不会自动为账户启用 Security Hub。

可以在不选择任何关联区域的情况下启用跨区域聚合。在这种情况下,不会进行数据复制。

聚合管理员账户和成员账户

独立账户和管理员账户可以配置跨区域聚合。如果由管理员配置,则管理员账户的存在对于跨区域聚合在托管账户中发挥作用至关重要。如果管理员账户被移除或取消与成员账户的关联,则成员账户的跨区域聚合将停止,或者如果成员账户在与管理员关联之前具有跨区域聚合配置,则该聚合配置将再次对该账户生效。

管理员账户启用跨区域聚合后,Security Hub 会将管理员账户在所有关联区域中生成的数据复制到主区域。此外,Security Hub 会识别与该管理员关联的成员账户,并且每个成员账户都会继承管理员的跨区域聚合设置。Security Hub 会将成员账户在所有关联区域生成的数据复制到主区域。

管理员可以访问和管理托管区域内所有成员账户的安全调查发现。此外,管理员可以查看管理区域内所有成员账户的资源清单。

作为 Security Hub 成员账户,您必须登录到主区域才能查看您的账户和所有关联区域的聚合数据。成员账户无权查看来自其他成员账户的数据,也无权调用CreateAggregatorV2DeleteAggregatorV2、和GetAggregatorV2 APIs。

自动化规则和跨区域聚合

启用跨区域聚合后,只能在定义的主区域创建自动化规则。除非您的规则标准适用于特定区域,否则您定义的任何规则都适用于所有关联区域。您必须为任何非关联区域的区域创建单独的自动化规则。

在启用跨区域聚合之前,在本地区创建的任何规则都将自动适用于关联区域。创建聚合器后,先前在关联区域中创建的规则将不再适用。删除聚合器或不再关联该区域后,在关联区域中定义的规则将恢复应用。