Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Grundlegendes zur regionsübergreifenden Aggregation in Security Hub

Durch die Verwendung der regionsübergreifenden Aggregation in AWS Security Hub, können Sie Ergebnisse zusammenfassen, Updates und Einblicke finden, den Compliance-Status kontrollieren und Sicherheitsbewertungen aus verschiedenen Quellen ermitteln AWS-Regionen zu einer einzigen Heimatregion. Sie können dann all diese Daten von der Heimatregion aus verwalten.

Angenommen, Sie legen USA Ost (Nord-Virginia) als Heimatregion und USA West (Oregon) und USA West (Nordkalifornien) als verknüpfte Regionen fest. Wenn Sie die Ergebnisseite in USA Ost (Nord-Virginia) aufrufen, sehen Sie die Ergebnisse aus allen drei Regionen. Aktualisierungen dieser Ergebnisse spiegeln sich auch in allen drei Regionen wider.

Wenn ein Steuerelement in einer verknüpften Region aktiviert, aber in der Heimatregion deaktiviert ist, können Sie den Konformitätsstatus des Steuerelements in der Heimatregion anzeigen, aber Sie können dieses Steuerelement nicht von der Heimatregion aus aktivieren oder deaktivieren. Die Ausnahme ist, wenn Sie die zentrale Konfiguration verwenden. Wenn Sie die zentrale Konfiguration verwenden, kann der delegierte Security Hub-Administrator Steuerungen in der Heimatregion und verknüpften Regionen von der Heimatregion aus konfigurieren.

Wenn Sie eine Heimatregion festgelegt haben, berücksichtigen die Sicherheitswerte den Kontrollstatus in allen verknüpfte Regionen. Um regionsübergreifende Sicherheitsbewertungen und den Compliance-Status einzusehen, fügen Sie Ihrer IAM Rolle, die Security Hub verwendet, die folgenden Berechtigungen hinzu:

Arten von Daten, die aggregiert sind

Wenn die regionsübergreifende Aggregation mit einer oder mehreren verknüpften Regionen aktiviert ist, repliziert Security Hub die folgenden Daten aus den verknüpften Regionen in die Heimatregion. Dies geschieht in jedem Konto, für das die regionsübergreifende Aggregation aktiviert ist.

Zusätzlich zu den neuen Daten in der vorherigen Liste repliziert Security Hub auch Aktualisierungen dieser Daten zwischen den verknüpften Regionen und der Heimatregion. Updates, die in einer verknüpften Region auftreten, werden in die Heimatregion repliziert. Aktualisierungen, die in der Heimatregion vorgenommen werden, werden zurück in die verknüpfte Region repliziert. Wenn es in der Heimatregion und der verknüpften Region widersprüchliche Aktualisierungen gibt, wird das neueste Update verwendet.

Die regionsübergreifende Aggregation erhöht die Kosten von Security Hub nicht. Es fallen keine Gebühren an, wenn Security Hub neue Daten oder Updates repliziert.

In der Heimatregion bietet die Übersichtsseite einen Überblick über Ihre aktiven Ergebnisse in den verknüpften Regionen. Weitere Informationen finden Sie unter Eine regionsübergreifende Zusammenfassung der Ergebnisse nach Schweregrad anzeigen. In anderen Bereichen auf der Übersichtsseite, in denen Ergebnisse analysiert werden, werden ebenfalls Informationen aus allen verknüpften Regionen angezeigt.

Ihre Sicherheitswerte in der Heimatregion werden berechnet, indem die Anzahl der bestandenen Kontrollen mit der Anzahl der aktivierten Kontrollen in allen verknüpften Regionen verglichen wird. Wenn ein Steuerelement in mindestens einer verknüpften Region aktiviert ist, ist es außerdem auf den Detailseiten zu den Sicherheitsstandards der Heimatregion sichtbar. Der Konformitätsstatus der Kontrollen auf den Seiten mit den Standarddetails spiegelt die Ergebnisse der einzelnen verknüpften Regionen wider. Wenn eine mit einer Kontrolle verknüpfte Sicherheitsüberprüfung in einer oder mehreren verknüpften Regionen fehlschlägt, wird der Konformitätsstatus dieser Kontrolle auf den Standarddetailseiten der Heimatregion als Fehlgeschlagen angezeigt. Die Anzahl der Sicherheitsüberprüfungen umfasst Ergebnisse aus allen verknüpften Regionen.

Security Hub aggregiert nur Daten aus Regionen, in denen Security Hub für ein Konto aktiviert ist. Security Hub wird nicht automatisch für ein Konto aktiviert, das auf der regionsübergreifenden Aggregationskonfiguration basiert.

Es ist möglich, die regionsübergreifende Aggregation zu aktivieren, ohne dass verknüpfte Regionen ausgewählt werden. In diesem Fall findet keine Datenreplikation statt.

Aggregation für Administrator- und Mitgliedskonten

Eigenständige Konten, Mitgliedskonten und Administratorkonten können die regionsübergreifende Aggregation konfigurieren. Falls von einem Administrator konfiguriert, ist das Vorhandensein des Administratorkontos unerlässlich, damit die regionsübergreifende Aggregation in verwalteten Konten funktioniert. Wenn das Administratorkonto entfernt oder von einem Mitgliedskonto getrennt wird, wird die regionsübergreifende Aggregation für das Mitgliedskonto beendet. Dies gilt auch dann, wenn für das Konto die regionsübergreifende Aggregation aktiviert war, bevor die Beziehung zwischen Administrator und Mitglied aufgenommen wurde.

Wenn ein Administratorkonto die regionsübergreifende Aggregation aktiviert, repliziert Security Hub die Daten, die das Administratorkonto in allen verknüpften Regionen generiert, in die Heimatregion. Darüber hinaus identifiziert Security Hub die Mitgliedskonten, die diesem Administrator zugeordnet sind, und jedes Mitgliedskonto erbt die regionsübergreifenden Aggregationseinstellungen des Administrators. Security Hub repliziert die Daten, die ein Mitgliedskonto in allen verknüpften Regionen generiert, in die Heimatregion.

Der Administrator kann von allen Mitgliedskonten in den verwalteten Regionen aus auf Sicherheitsergebnisse zugreifen und diese verwalten. Als Security Hub-Administrator müssen Sie jedoch in der Heimatregion angemeldet sein, um aggregierte Daten aus allen Mitgliedskonten und verknüpften Regionen einsehen zu können.

Als Security Hub-Mitgliedskonto müssen Sie in der Heimatregion angemeldet sein, um aggregierte Daten aus Ihrem Konto aus allen verknüpften Regionen einsehen zu können. Mitgliedskonten sind nicht berechtigt, Daten von anderen Mitgliedskonten einzusehen.

Ein Administratorkonto kann Mitgliedskonten manuell einladen oder als delegierter Administrator einer Organisation fungieren, die integriert ist AWS Organizations. Bei einem Mitgliedskonto mit manueller Einladung muss der Administrator das Konto aus der Heimatregion und allen verknüpften Regionen einladen, damit die regionsübergreifende Aggregation funktioniert. Darüber hinaus muss Security Hub für das Mitgliedskonto in der Heimatregion und allen verknüpften Regionen aktiviert sein, damit der Administrator die Ergebnisse des Mitgliedskontos einsehen kann. Wenn Sie die Heimatregion nicht für andere Zwecke verwenden, können Sie die Security Hub Hub-Standards und -Integrationen in dieser Region deaktivieren, um Gebühren zu vermeiden.

Wenn Sie die regionsübergreifende Aggregation verwenden möchten und über mehrere Administratorkonten verfügen, empfehlen wir Ihnen, die folgenden bewährten Methoden zu befolgen: