了解 Security Hub 中的中央配置

当您使用中心配置时，Security Hub 会引导您完成为组织配置安全最佳实践的过程。它还会OUs自动将生成的配置策略部署到指定的账户。如果您已有 Security Hub 设置，例如自动启用新的安全控件，则可以将其用作配置策略的起点。此外，Secur it y Hub 控制台上的 “配置” 页面会显示您的配置策略以及哪些账户和OUs使用每个策略的实时摘要。

您可以使用中心配置跨多个账户和区域配置 Security Hub。这有助于确保组织的每个部分都保持一致的配置和足够的安全覆盖。

通过集中配置，您可以选择以不同的OUs方式配置组织的帐户。例如，您的测试账户和生产账户可能需要不同的配置。您还可以创建配置策略，以在新账户加入组织后涵盖这些新账户。

当用户对与委托管理员的选择冲突的服务或功能进行更改时，会发生配置偏差。中心配置可防止这种偏差。当您将账户或 OU 指定为集中管理时，只能由该组织的委托管理员对其进行配置。如果您希望特定账户或 OU 自行配置设置，则可以将其指定为自行管理。

Security Hub 的一项功能，可帮助组织委托的 Security Hub 管理员账户跨多个账户和区域配置 Security Hub 服务、安全标准和安全控件。要配置这些设置，委托管理员为其组织中的集中管理账户创建并管理 Security Hub 配置策略。自行管理账户可以在每个区域单独配置自己的设置。要使用集中配置，必须集成 Security Hub 和 AWS Organizations.

这些区域有： AWS 区域 委托的管理员通过创建和管理配置策略从中集中配置 Security Hub。配置策略在主区域和所有关联区域生效。

主区域还充当 Security Hub 聚合区域，接收来自关联区域的发现、见解和其他数据。

那些地区 AWS 在 2019 年 3 月 20 日当天或之后推出的区域被称为选择加入区域。选择加入区域不能是主区域，但可以是关联区域。有关选择加入区域的列表，请参阅中启用和禁用区域之前的注意事项 AWS 账户管理参考指南。

网络 ACL 和安全组都允许 (因此可到达您的实例) 的发起 ping 的 AWS 区域 可以从家乡区域进行配置。配置策略由主区域的委托管理员创建。这些策略在主区域和所有关联的区域生效。指定关联区域是可选的。

关联区域还会将调查发现、见解和其他数据发送到主区域。

那些地区 AWS 在 2019 年 3 月 20 日当天或之后推出的区域被称为选择加入区域。必须先为账户启用这样的区域，然后才能对其应用配置策略。组织管理账户可以为成员账户启用选择加入区域。有关更多信息，请参阅指定哪个 AWS 区域 您的账户可以在 AWS 账户管理参考指南。

网络 ACL 和安全组都允许 (因此可到达您的实例) 的发起 ping 的 AWS 账户、组织单位 (OU) 或组织根目录。

一组 Security Hub 设置，授权的管理员可以为集中管理的目标配置这些设置。这包括：

配置策略在与至少一个账户、组织单元（OU）或根关联后，将在主区域和所有关联区域中生效。

在 Security Hub 控制台上，委托管理员可以选择 Security Hub 推荐的配置策略或创建自定义配置策略。有了 Security Hub API 和 AWS CLI，则委派的管理员只能创建自定义配置策略。委托管理员最多可以创建 20 个自定义配置策略。

在推荐的配置策略 Security Hub 中， AWS 基础安全最佳实践 (FSBP) 标准，所有现有控件和新FSBP控件均已启用。接受参数的控件使用默认值。推荐的配置策略适用于整个组织。

要对组织应用不同的设置，或者对不同的账户应用不同的配置策略OUs，请创建自定义配置策略。

在集成 Security Hub 和之后，组织的默认配置类型 AWS Organizations。 通过本地配置，授权管理员可以选择在当前区域的新组织账户中自动启用 Security Hub 和默认安全标准。如果委托管理员自动启用默认标准，则属于这些标准的所有控件也会自动启用，附带新组织账户的默认参数。这些设置不适用于现有账户，因此账户加入组织后可能会出现配置偏差。必须分别在每个账户和区域中禁用属于默认标准的特定控件以及配置其他标准和控件。

本地配置不支持使用配置策略。要使用配置策略，必须切换到中心配置。

如果你没有将 Security Hub 与集成 AWS Organizations 或者您拥有独立账户，则必须在每个地区分别为每个账户指定设置。手动账户管理不支持使用配置策略。

只有 Security Hub 委托的 Security Hub 管理员才能使用的 Security Hub 操作，可用于在主区域中集中管理账户的配置策略。操作包括：

Security Hub 操作，可用于 account-by-account 根据需要启用或禁用 Security Hub、标准和控件。这些操作用于每个单独的区域。

自行管理账户可以使用特定于账户的操作来配置自己的设置。集中管理的账户不能在主区域和关联区域使用以下特定于账户的操作。在这些区域中，只有委托管理员才能通过中心配置操作和配置策略对集中管理的账户进行配置。

要查看账户状态，集中管理账户的所有者可以使用 Security Hub 的任何Get或Describe操作API。

如果您使用本地配置或手动账户管理，而不是中心配置，则可以使用这些特定于账户的操作。

自行管理的账户也可以使用*Invitations和*Members操作。但是，我们建议自行管理的账户不要使用这些操作。如果成员账户的成员与委派的管理员属于不同的组织，则策略关联可能会失败。

In AWS Organizations 还有 Security Hub，一个可容纳一群人的容器 AWS 账户。 组织单位 (OU) 也可以包含其他组织OUs，从而使您能够创建类似于倒置树的层次结构，父组织单位位于顶部，其分支向下延伸，结尾是树叶的帐户。OUs一个 OU 有且仅有一个父级，账户可能是且仅是一个 OU 的成员。

你可以通过以下方式OUs进行管理 AWS Organizations 或者 AWS Control Tower。 有关更多信息，请参阅中的管理组织单位 AWS Organizations 《用户指南》或《管理组织和账户》 AWS Control Tower中的 AWS Control Tower 用户指南。

授权的管理员可以将配置策略与特定账户或OUs根账户相关联，以涵盖组织OUs中的所有账户。

只有授权的管理员才能使用配置策略跨区域配置的目标。

委派的管理员帐户指定目标是否集中管理。委派的管理员还可以将目标的状态从集中管理更改为自我管理，或者反之亦然。

管理自己的 Security Hub 设置的目标。自我管理的目标使用特定于账户的操作在每个区域中为自己单独配置 Security Hub。这与集中管理的目标形成鲜明对比，集中管理的目标只能由跨地区的委派管理员通过配置策略进行配置。

委派管理员账户指定目标是否为自我管理。授权的管理员可以对目标应用自我管理行为。或者，账户或 OU 可以继承父代的自行管理行为。

委托管理员帐户本身可以是自我管理的帐户。委派的管理员帐户可以将目标的状态从自我管理更改为集中管理，或者反之亦然。

配置策略与账户、组织单元（OU）或根之间的链接。当存在策略关联时，账户、OU 或根将使用配置策略定义的设置。在以下任一情况下都存在关联：

在应用或继承不同的配置之前，关联一直存在。

一种配置策略关联，在这种关联中，委派的管理员将配置策略直接应用于目标账户或根账户。OUs目标按照配置策略定义的方式进行配置，只有委托管理员才能更改其配置。如果应用于 root 用户，则该配置策略会影响组织OUs中所有不通过应用程序或从最亲近的父级继承使用不同配置的账户。

委派的管理员还可以将自我管理的配置应用于特定账户或根账户。OUs

一种配置策略关联，在这种关联中，账户或 OU 采用最近的父 OU 或根的配置。如果配置策略未直接应用于账户或 OU，则它会继承最近的父级的配置。策略的所有元素都是继承的。换句话说，账户或 OU 不能选择仅继承策略中自己选择的一部分内容。如果最近的父级是自行管理的，则子账户或 OU 将继承父级的自行管理行为。

继承不能覆盖已应用的配置。也就是说，如果将配置策略或自行管理配置直接应用于账户或 OU，则它将使用该配置，并且不会继承父级的配置。

In AWS Organizations 以及 Security Hub（组织中的顶级父节点）。如果授权的管理员将配置策略应用于 root，则该策略将与组织OUs中的所有账户相关联，除非这些账户通过应用程序或继承使用不同的策略，或者被指定为自我管理。如果管理员将根指定为自我管理，则组织OUs中的所有账户和账户都将进行自我管理，除非他们通过应用程序或继承使用配置策略。如果根是自行管理的，并且当前不存在任何配置策略，则组织中的所有新账户都将保留其当前设置。

加入组织的新账户在被分配到特定 OU 之前一直处于根之下。如果未将新账户分配给 OU，则该账户将继承根配置，除非委托管理员将其指定为自行管理账户。