账户操作对 Security Hub 数据的影响 - AWS Security Hub
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

账户操作对 Security Hub 数据的影响

当您对账户执行这些操作时,它会对 AWS Security Hub 数据产生以下影响。

Security Hub 已禁用

禁用主账户或成员账户的 Security Hub 时,将仅禁用您在禁用它时选择的 AWS 区域中的该账户的 Security Hub。

您必须在启用 Security Hub 的每个区域分别禁用 Security Hub。

Security Hub 已为主账户禁用

禁用主账户的 Security Hub 时,将删除默认的公司和产品设置。

将删除与 Macie、GuardDuty 和 Amazon Inspector 的集成。

已启用的安全标准将被禁用。

禁用了 Security Hub 时,不会为主账户生成新的结果。现有结果将在 90 天后删除。

不会删除其他 Security Hub 数据和设置,包括成员账户关联、自定义操作、见解和第三方产品订阅。

如果以后再次启用 Security Hub,则会恢复默认的公司和产品设置、已启用的安全标准以及与 AWS 服务的集成。这让您能够像在禁用 Security Hub 之前一样使用它,而不必重新配置。

Security Hub 已为成员账户禁用

禁用成员账户的 Security Hub 时,不会为区域中的该成员账户生成新的结果。但是,主账户仍然可以查看成员账户中的现有结果。

结果在上次更新后 90 天被删除。如果没有更新,则结果将在创建 90 天后删除。

将保留主账户与成员账户的关系。您可以在成员账户中启用 Security Hub 并像在禁用它之前一样使用它。唯一的区别是,在未启用 Security Hub 的时间段内没有结果可用。

成员账户与主账户断开关联

成员账户与主账户取消关联后,主账户将失去查看该成员账户中的结果的权限。

Security Hub 将继续在主账户及成员账户中运行。

为主账户定义的自定义设置或集成不会应用于以前成员账户的结果。例如,取消账户关联后,在 Amazon EventBridge 规则中用作事件模式的主账户中,您可能具有自定义操作。但是,无法在成员账户中使用此自定义操作。

AWS 账户已删除或暂停

删除或挂起 AWS 账户后,该账户的所有 Security Hub 相关数据将在 90 天后删除。数据被删除后将无法检索。

要将结果保留 90 天以上,您可以对结果进行存档。您还可以将自定义操作与 EventBridge 规则一起使用,以将结果存储在 Amazon S3 存储桶中。