本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 管理 Security Hub CSPM 中的管理员账户和成员账户
<a name="securityhub-accounts"></a>

如果您的 Amazon 环境有多个帐户，则可以将使用 Sec Amazon urity Hub CSPM 的帐户视为成员帐户，并将它们与单个管理员帐户关联。管理员可以监控您的整体安全状况，对成员账户执行[允许的操作](securityhub-accounts-allowed-actions.md)。管理员还可以大规模执行各种账户管理任务，例如监控预计使用成本和评测账户配额。

您可以通过两种方式将成员帐户与管理员关联：将 Security Hub CSPM 与 Security Hub CSPM 集成， Amazon Organizations 或者在 Security Hub CSPM 中手动发送和接受会员邀请。

## 使用管理账户 Amazon Organizations
<a name="securityhub-orgs-account-management-overview"></a>

Amazon Organizations 是一项全球账户管理服务，允许 Amazon 管理员整合和管理多个账户 Amazon Web Services 账户。它提供账户管理和整合账单功能，这些功能旨在满足预算、安全性和合规性需求。它不收取额外费用，并且可以与多个 Amazon Web Services 服务集成，包括Sec Amazon urity Hub CSPM、Amazon Macie和亚马逊。 GuardDuty有关更多信息，请参阅 [https://docs.amazonaws.cn/organizations/latest/userguide/orgs_introduction.html](https://docs.amazonaws.cn/organizations/latest/userguide/orgs_introduction.html)。

当你集成 Security Hub CSPM 和时 Amazon Organizations，Organizations 管理账户会指定 Security Hub CSPM 授权的管理员。Security Hub CSPM 将在指定的委托管理员账户 Amazon Web Services 区域 中自动启用。

指定委派管理员后，我们建议使用[中心配置](central-configuration-intro.md)在 Security Hub CSPM 中管理账户。这是自定义 Security Hub CSPM 并确保为组织提供足够的安全覆盖的有效方法。

中央配置允许授权管理员跨多个组织账户和区域自定义 Security Hub CSPM，而不必进行配置。 Region-by-Region您可以为整个组织创建配置策略，也可以为不同的账户和创建不同的配置策略 OUs。这些策略指定了在关联账户中启用还是禁用 Security Hub CSPM，以及启用哪些安全标准和控件。

委派管理员可将账户指定为集中管理或自行管理。集中管理的账户只能由委派管理员配置。自行管理账户可以自行指定设置。

如果您不选择使用中心配置，则委派管理员配置 Security Hub CSPM 的能力将更为有限（称为*本地配置*）。在本地配置下，委派管理员可以在当前区域的新组织账户中自动启用 Security Hub CSPM 和[默认安全标准](securityhub-auto-enabled-standards.md)。但现有账户不使用这些设置，因此账户加入组织后可能会出现配置偏差。

除了这些新账户设置外，本地配置是针对特定账户和特定区域的。每个组织账户必须在每个区域单独配置 Security Hub CSPM 服务、标准和控件。本地配置也不支持使用配置策略。

## 通过邀请手动管理账户
<a name="securityhub-manual-account-management-overview"></a>

如果您拥有独立账户或未与 Organizations 集成，则必须在 Security Hub CSPM 中通过邀请手动管理成员账户。独立账户不能与 Organizations 集成，因此需要手动管理。如果您将来添加其他帐户，我们建议您与中央配置集成 Amazon Organizations 并使用中央配置。

使用手动账户管理时，要将一个账户指定为 Security Hub CSPM 管理员。管理员账户可以查看成员账户中的数据，对成员账户的调查发现执行某些操作。Security Hub CSPM 管理员邀请其他账户成为成员账户，当潜在成员账户接受邀请后，管理员与成员关系即建立。

手动账户管理不支持使用配置策略。如果没有配置策略，管理员就无法通过为不同的账户配置变量设置来集中自定义 Security Hub CSPM。相反，每个组织账户必须在每个区域中单独为自己启用和配置 Security Hub CSPM。这可能会增加确保在使用 Security Hub CSPM 的所有账户和区域中实现充分安全覆盖的难度和时间。这还可能导致配置偏差，因为成员账户可以指定自己的设置，而无需管理员输入。

要通过邀请管理账户，请参阅[在 Security Hub CSPM 中通过邀请管理账户](account-management-manual.md)。