Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Comprendre l'agrégation entre régions dans Security Hub
Note
La région d'agrégation est désormais appelée région d'origine. Certaines API opérations du Security Hub utilisent toujours l'ancien terme « région d'agrégation ».
En utilisant l'agrégation entre régions dans AWS Security Hub, vous pouvez agréger les résultats, trouver des mises à jour, des informations, contrôler les statuts de conformité et les scores de sécurité à partir de plusieurs Régions AWS vers une seule région d'origine. Vous pouvez ensuite gérer toutes ces données depuis votre région d'origine.
Supposons que vous définissiez USA Est (Virginie du Nord) comme région d'origine, et USA Ouest (Oregon) et USA Ouest (Californie du Nord) comme régions liées. Lorsque vous consultez la page des résultats dans l'est des États-Unis (Virginie du Nord), vous voyez les résultats des trois régions. Les mises à jour de ces résultats sont également prises en compte dans les trois régions.
Note
Entrée AWS GovCloud (US), l'agrégation entre régions n'est prise en charge que pour les résultats, la recherche de mises à jour et les informations sur AWS GovCloud (US). Plus précisément, vous ne pouvez agréger les résultats, trouver des mises à jour et des informations qu'entre AWS GovCloud (USA Est) et AWS GovCloud (Ouest des États-Unis). Dans les régions chinoises, l'agrégation entre régions n'est prise en charge que pour les résultats, les mises à jour et les informations relatives aux régions chinoises. Plus précisément, vous ne pouvez agréger les résultats, trouver des mises à jour et des informations qu'entre la Chine (Pékin) et la Chine (Ningxia).
Si un contrôle est activé dans une région liée mais désactivé dans la région d'origine, vous pouvez voir l'état de conformité du contrôle depuis la région d'origine, mais vous ne pouvez pas activer ou désactiver ce contrôle depuis la région d'origine. L'exception est si vous utilisez la configuration centralisée. Si vous utilisez la configuration centralisée, l'administrateur délégué du Security Hub peut configurer les contrôles dans la région d'origine et dans les régions associées à partir de la région d'origine.
Si vous avez défini une région d'origine, les scores de sécurité tiennent compte des statuts de contrôle dans tous Régions liées. Pour consulter les scores de sécurité et les états de conformité entre régions, ajoutez les autorisations suivantes à votre IAM rôle qui utilise Security Hub :
Types de données agrégées
Lorsque l'agrégation entre régions est activée avec une ou plusieurs régions liées, Security Hub réplique les données suivantes des régions liées vers la région d'origine. Cela se produit dans tous les comptes pour lesquels l'agrégation entre régions est activée.
Conclusions
Informations
Contrôlez les statuts de conformité
Scores de sécurité
Outre les nouvelles données de la liste précédente, Security Hub réplique également les mises à jour de ces données entre les régions liées et la région d'origine. Les mises à jour effectuées dans une région liée sont répliquées dans la région d'origine. Les mises à jour effectuées dans la région d'origine sont répliquées dans la région associée. En cas de conflit entre les mises à jour de la région d'origine et de la région associée, la mise à jour la plus récente est utilisée.
L'agrégation entre régions n'augmente pas le coût de Security Hub. Vous n'êtes pas débité lorsque Security Hub réplique de nouvelles données ou des mises à jour.
Dans la région d'origine, la page Résumé fournit une vue de vos résultats actifs dans les régions liées. Pour plus d'informations, voir Affichage d'un résumé interrégional des résultats par gravité. Les autres panneaux de la page de résumé qui analysent les résultats affichent également des informations provenant des régions liées.
Vos scores de sécurité dans la région d'origine sont calculés en comparant le nombre de contrôles passés au nombre de contrôles activés dans toutes les régions associées. En outre, si un contrôle est activé dans au moins une région liée, il est visible sur les pages de détails des normes de sécurité de la région d'origine. L'état de conformité des contrôles sur les pages détaillées des normes reflète les résultats obtenus dans les régions liées. Si un contrôle de sécurité associé à un contrôle échoue dans une ou plusieurs régions liées, le statut de conformité de ce contrôle s'affiche comme Échec sur les pages de détails des normes de la région d'origine. Le nombre de contrôles de sécurité inclut les résultats de toutes les régions liées.
Security Hub agrège uniquement les données des régions où Security Hub est activé sur un compte. Security Hub n'est pas automatiquement activé pour un compte en fonction de la configuration d'agrégation entre régions.
Il est possible d'activer l'agrégation entre régions sans qu'aucune région liée ne soit sélectionnée. Dans ce cas, aucune réplication de données n'a lieu.
Agrégation pour les comptes administrateurs et membres
Les comptes autonomes, les comptes membres et les comptes administrateurs peuvent configurer l'agrégation entre régions. Si elle est configurée par un administrateur, la présence du compte administrateur est essentielle pour que l'agrégation entre régions fonctionne dans les comptes administrés. Si le compte administrateur est supprimé ou dissocié d'un compte membre, l'agrégation entre régions pour le compte membre cesse. Cela est vrai même si l'agrégation entre régions était activée sur le compte avant le début de la relation administrateur-membre.
Lorsqu'un compte administrateur active l'agrégation entre régions, Security Hub réplique les données générées par le compte administrateur dans toutes les régions associées à la région d'origine. En outre, Security Hub identifie les comptes membres associés à cet administrateur, et chaque compte de membre hérite des paramètres d'agrégation entre régions de l'administrateur. Security Hub reproduit les données générées par un compte membre dans toutes les régions associées à la région d'origine.
L'administrateur peut accéder aux résultats de sécurité de tous les comptes membres des régions administrées et les gérer. Toutefois, en tant qu'administrateur du Security Hub, vous devez être connecté à la région d'origine pour consulter les données agrégées de tous les comptes membres et des régions associées.
En tant que membre du Security Hub, vous devez être connecté à la région d'origine pour consulter les données agrégées de votre compte provenant de toutes les régions associées. Les comptes membres ne sont pas autorisés à consulter les données des autres comptes membres.
Un compte administrateur peut inviter manuellement des comptes de membres ou servir d'administrateur délégué d'une organisation intégrée à AWS Organizations. Pour un compte de membre invité manuellement, l'administrateur doit inviter le compte depuis la région d'origine et toutes les régions associées pour que l'agrégation entre régions fonctionne. En outre, Security Hub doit être activé sur le compte membre dans la région d'origine et dans toutes les régions associées pour permettre à l'administrateur de consulter les résultats du compte membre. Si vous n'utilisez pas la région d'origine à d'autres fins, vous pouvez désactiver les normes et les intégrations du Security Hub dans cette région pour éviter les frais.
Si vous envisagez d'utiliser l'agrégation entre régions et que vous possédez plusieurs comptes d'administrateur, nous vous recommandons de suivre les bonnes pratiques suivantes :
-
Chaque compte administrateur possède des comptes de membre différents.
-
Chaque compte administrateur possède les mêmes comptes de membre dans toutes les régions.
-
Chaque compte administrateur utilise une région d'origine différente.
Note
Pour comprendre l'impact de l'agrégation entre régions sur la configuration centrale, voirImpact de la configuration centrale sur l'agrégation entre régions.
