本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 在 Security Hub CSPM 中管理多个账户的建议
以下部分总结了在 Sec Amazon urity Hub CSPM 中管理成员帐户时需要注意的一些限制和建议。
## 成员账户的最大数量
如果您使用与的集成 Amazon Organizations,Security Hub CSPM 在每个委托管理员账户中最多支持 10,000 个成员账户。 Amazon Web Services 区域如果手动启用和管理 Security Hub CSPM,Security Hub CSPM 支持每个区域每个管理员账户最多 1,000 个成员账户邀请。
## 创建管理员与成员关系
**注意**
如果您将 Security Hub CSPM 与 Amazon Organizations Security Hub CSPM 集成,并且尚未手动邀请任何成员帐户,则此部分不适用于您。
账户不能既是管理员账户又是成员账户。
一个成员账户只能与一个管理员账户关联。如果组织账户由 Security Hub CSPM 管理员账户启用,则该账户将无法接受来自其他账户的邀请。如果某账户已经接受邀请,则该账户无法通过组织的 Security Hub CSPM 管理员账户启用。它也无法接收来自其他账户的邀请。
对于手动邀请流程,接受成员资格邀请是可选的。
### 通过以下方式获得会 Amazon Organizations
如果您将 Security Hub CSPM 与集成 Amazon Organizations,则组织管理帐户可以为 Security Hub CSPM 指定委托管理员 (DA) 帐户。不能将组织管理账户设置为组织的 DA。虽然 Security Hub CSPM 允许这样做,但我们建议*不要*将 Organizations 管理账户设为 DA。
我们建议在所有区域选择同一个 DA 账户。如果使用[中心配置](central-configuration-intro.md),则 Security Hub CSPM 会在您为组织配置 Security Hub CSPM 的所有区域中设置相同的 DA 账户。
我们还建议您在 Amazon 安全与合规服务中选择相同的 DA 帐户,以帮助您在单一管理平台中管理与安全相关的问题。
### 通过邀请的成员资格
对于通过邀请创建的成员账户,管理员与成员账户的关联仅在发出邀请的地区创建。管理员账户必须在要使用的每个区域中启用 Security Hub CSPM。然后,管理员账户会邀请每个账户成为该区域的成员账户。
**注意**
我们建议使用 Amazon Organizations 代替 Security Hub CSPM 邀请来管理您的会员账户。
## 跨服务协调管理员账户
Security Hub CSPM 汇总了来自亚马逊、亚马逊 Insp GuardDuty ector 和 Amazon Macie 等各种 Amazon 服务的调查结果。Security Hub CSPM 还允许用户从调查 GuardDuty 结果转向在 Amazon Detective 中开始调查。
但是,您在这些其他服务中设置的管理员与成员关系不会自动应用于 Security Hub CSPM。Security Hub CSPM 建议所有这些服务使用与管理员账户相同的账户。此管理员账户应该是负责安全工具的账户。同一个账户也应该是 Amazon Config的聚合器账户。
例如, GuardDuty 管理员账户 A 中的用户可以在 GuardDuty 控制台上查看 GuardDuty成员账户 B 和 C 的调查结果。如果账户 A 随后启用 Security Hub CSPM,则账户 A 的用户*不会*自动在 Security Hub CSPM 中看到账户 B 和 C 的搜索 GuardDuty结果。这些账户还需要建立 Security Hub CSPM 管理员与成员关系。
为此,请将账户 A 设为 Security Hub CSPM 管理员账户,并使账户 B 和 C 成为 Security Hub CSPM 成员账户。