本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 了解 Security Hub CSPM 中的跨区域聚合
<a name="finding-aggregation"></a>

**注意**  
*聚合区域*现在称为*主区域*。某些 Security Hub CSPM API 操作仍使用旧术语“聚合区域”。

通过在 Sec AWS urity Hub CSPM 中使用跨区域聚合，您可以将多个主区域的发现、查找更新、见解、控制合规状态和安全评分汇总 AWS 区域 到单个主区域。然后，您可以管理主区域中的所有这些数据。

假设您将美国东部（弗吉尼亚州北部）设置为主区域，将美国西部（俄勒冈州）和美国西部（北加利福尼亚）设置为关联区域。在美国东部（弗吉尼亚州北部）查看**调查发现**页面时，您会看到所有三个地区的调查发现。这些调查发现的最新情况也反映在所有三个区域。

**注意**  
在中 AWS GovCloud (US)，跨区域聚合仅支持对调查结果、发现更新和洞察进行跨 AWS GovCloud (US)区域聚合。具体而言，您只能汇总 AWS GovCloud （美国东部）和 AWS GovCloud （美国西部）之间的调查结果、最新发现和见解。在中国区域，跨区域聚合仅支持对中国区域的调查发现、调查发现更新和见解进行跨区域聚合。具体而言，您只能聚合中国（北京）和中国（宁夏）之间的调查发现、调查发现更新和见解。

如果在关联区域中启用了控件，但在主区域中禁用了控件，则可以从主区域查看该控件的合规性状态，但不能在主区域启用或禁用该控件。例外情况是您使用[中心配置](central-configuration-intro.md)。如果您使用中心配置，则 Security Hub CSPM 委派管理员可以在主区域和主区域的关联区域中配置控件。

如果您设置了主区域，则[安全评分](standards-security-score.md)会将所有关联区域中的控件状态考虑在内。要查看跨区域安全分数和合规性状态，请向使用 Security Hub CSPM 的 IAM 角色添加以下权限：
+ `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html)`
+ `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetStandardsControlAssociations.html)`
+ `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html)`

## 聚合的数据类型
<a name="finding-aggregation-overview"></a>

在一个或多个关联区域中启用跨区域聚合后，Security Hub CSPM 会将以下数据从关联区域复制到主区域。每个启用了跨区域聚合的账户都会发生这种情况。
+ 结果
+ 见解
+ 控制合规性状态
+ 安全分数

除了先前列表中的新数据之外，Security Hub CSPM 还会在关联区域和主区域之间复制对这些数据的更新。关联区域中进行的更新会被复制到主区域。主区域中进行的更新会被复制回关联区域。如果主区域和关联区域中的更新相互冲突，则使用最新的更新。

![\[启用跨区域聚合后，Security Hub CSPM 会在关联区域和主区域之间复制新调查发现和更新的调查发现。\]](http://docs.aws.amazon.com/zh_cn/securityhub/latest/userguide/images/diagram-finding-aggregation.png)


跨区域聚合不会增加 Security Hub CSPM 的费用。Security Hub CSPM 复制新数据或更新时，您无需付费。

在主区域中，**摘要**页面提供了您在关联区域中活动调查发现的视图。有关信息，请参阅[按严重性查看跨区域调查发现摘要](https://docs.aws.amazon.com/securityhub/latest/userguide/findings-view-summary.html)。其他用于分析调查发现的**摘要**页面面板还会显示来自关联区域的信息。

您在主区域中的安全评分是通过比较所有关联区域中已通过的控件数量和已启用的控件数量来计算的。此外，如果在至少一个关联区域中启用了控件，则该控件将在主区域的**安全标准**详细信息页面上可见。标准详情页面上控件的合规状态反映了关联区域的调查发现。如果与控件关联的安全检查在一个或多个关联区域中失败，则该控件的合规性状态将在主区域的标准详细信息页面上显示为**失败**。安全检查的数量包括来自所有关联区域的调查发现。

Security Hub CSPM 仅聚合账户启用了 Security Hub CSPM 的区域的数据。根据跨区域聚合配置，不会自动为账户启用 Security Hub CSPM。

可以在不选择任何关联区域的情况下启用跨区域聚合。在这种情况下，不会进行数据复制。

## 聚合管理员账户和成员账户
<a name="finding-aggregation-admin-member"></a>

独立账户、成员账户和管理员账户可以配置跨区域聚合。如果由管理员配置，则管理员账户的存在对于跨区域聚合在托管账户中发挥作用至关重要。如果管理员账户被移除或与成员账户取消关联，则成员账户的跨区域聚合将停止。即使该账户在管理员与成员的关系开始之前就已启用跨区域聚合，也是如此。

管理员账户启用跨区域聚合后，Security Hub CSPM 会将管理员账户在所有关联区域中生成的数据复制到主区域。此外，Security Hub CSPM 会识别与该管理员关联的成员账户，并且每个成员账户都会继承管理员的跨区域聚合设置。Security Hub CSPM 会将成员账户在所有关联区域生成的数据复制到主区域。

管理员可以访问和管理托管区域内所有成员账户的安全调查发现。但是，作为 Security Hub CSPM 管理员，您必须登录到主区域才能查看所有成员账户和关联区域的聚合数据。

作为 Security Hub CSPM 成员账户，您必须登录到主区域才能查看您的账户和所有关联区域的聚合数据。成员账户无权查看其他成员账户的数据。

管理员账户可以手动邀请成员账户，也可以作为与之集成的组织的委托管理员 AWS Organizations。对于[手动邀请的成员账户](account-management-manual.md)，管理员必须从主区域和所有关联区域邀请该账户，才能使跨区域聚合发挥作用。此外，成员账户必须在主区域和所有关联区域中启用 Security Hub CSPM，这样管理员才能查看成员账户中的调查发现。如果您不将主区域用于其他用途，则可以在该区域中禁用 Security Hub CSPM 标准和集成以防止产生费用。

如果您计划使用跨区域聚合，并且拥有多个管理员账户，则我们推荐以下最佳实践：
+ 每个管理员账户都有不同的成员账户。
+ 每个管理员账户在不同地区都有相同的成员账户。
+ 每个管理员账户使用不同的主区域。

**注意**  
要了解跨区域聚合如何影响中心配置，请参阅[中心配置对跨区域聚合的影响](aggregation-central-configuration.md)。

# 中心配置对跨区域聚合的影响
<a name="aggregation-central-configuration"></a>

中央配置是 Sec AWS urity Hub CSPM 中的一项可选功能，如果您与之集成，则可以使用该功能。 AWS Organizations如果您使用中心配置，则委派管理员账户可以为组织中的账户和组织单元（OU）配置 Security Hub CSPM 服务、标准和控件。要配置账户和 OUs，授权的管理员会创建 Security Hub CSPM 配置策略。配置策略可用于定义是启用还是禁用 Security Hub CSPM，以及启用哪些标准和控件。授权的管理员将配置策略与特定账户或根账户（整个组织）关联起来。 OUs

委派管理员只能从主区域为组织创建和管理配置策略。此外，配置策略会在主区域和所有关联区域中生效。您无法创建仅适用于某些关联区域而不适用于其他区域的配置策略。有关跨区域聚合的信息，请参阅[跨区域聚合](https://docs.aws.amazon.com/securityhub/latest/userguide/finding-aggregation.html)。

要使用中心配置，必须指定主区域。（可选）您可以选择一个或多个区域作为关联区域。您也可以选择指定没有任何关联区域的主区域。

更改跨区域聚合设置可能会影响您的配置策略。当您添加关联区域时，您的配置策略将在该区域生效。如果该区域是[选择加入的区域](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html)，则必须启用该区域才能使您的配置策略在该区域生效。相反，当您移除关联区域后，配置策略在该区域不再生效。在该区域中，账户将保留移除关联区域时的区域设置。您可以更改这些设置，但必须在分别每个账户和区域中进行更改。

如果您移除或更改主区域，则您的配置策略和策略关联将被删除。您将不能再在任何区域使用中心配置或创建配置策略。账户将保留更改或移除主区域之前的设置。您可以随时更改这些设置，但由于您不再使用中心配置，因此必须分别在每个账户和区域中修改设置。如果您指定了新的主区域，则可以使用中心配置并再次创建配置策略。

有关中心配置的更多信息，请参阅[了解 Security Hub CSPM 中的中心配置](central-configuration-intro.md)。

# 启用跨区域聚合
<a name="finding-aggregation-enable"></a>

**注意**  
*聚合区域*现在称为*主区域*。某些 Security Hub CSPM API 操作仍使用旧术语“聚合区域”。

您必须从要指定为主区域 AWS 区域 的中启用跨区域聚合。

要启用跨区域聚合，您需要创建一项名为调查发现聚合器的 Security Hub CSPM 资源。调查发现聚合器资源指定主区域和关联区域（如果有）。

您不能使用默认禁用的区域作为您的主区域。 AWS 区域 有关默认禁用的区域列表，请参阅 *AWS 一般参考* 中的[启用区域](https://docs.aws.amazon.com/general/latest/gr/rande-manage.html#rande-manage-enable)。

启用跨区域聚合时，如果需要，您可以选择指定一个或多个关联区域。您还可以选择在 Security Hub CSPM 开始支持新区域并且您已选择加入新区域时是否自动关联这些区域。

------
#### [ Security Hub CSPM console ]

**要启用跨区域聚合**

1. 打开 S AWS ecurity Hub CSPM 控制台，网址为。[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. 使用 AWS 区域 选择器登录要用作聚合区域的区域。

1. 在 Security Hub CSPM 导航菜单中，选择**设置**，然后选择**区域**。

1. 对于**调查发现聚合**，选择**配置调查发现聚合**。

   默认情况下，主区域设置为**无聚合区域**。

1. 在**聚合区域**下，选择将当前区域指定为主区域的选项。

1. （可选）对于**关联区域**，选择要从中聚合数据的区域。

1. 当 Security Hub CSPM 支持分区中的新区域并且您选择加入这些区域时，要自动聚合这些区域的数据，请选择**关联未来区域**。

1. 选择**保存**。

------
#### [ Security Hub CSPM API ]

在您要用作主区域的区域中，使用 Security Hub CSPM API 的 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateFindingAggregator.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateFindingAggregator.html) 操作。如果您使用 AWS CLI，请运行该[create-finding-aggregator](https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-finding-aggregator.html)命令。

对于`RegionLinkingMode`，请选择下列选项之一：
+ `ALL_REGIONS` – Security Hub CSPM 聚合所有区域的数据。当新区域受支持并且您选择加入这些区域时，Security Hub CSPM 还会聚合这些区域的数据。
+ `ALL_REGIONS_EXCEPT_SPECIFIED` – Security Hub CSPM 聚合除要排除的区域之外的所有区域的数据。当新区域受支持并且您选择加入这些区域时，Security Hub CSPM 还会聚合这些区域的数据。用 `Regions` 提供要从聚合中排除的区域列表。
+ `SPECIFIED_REGIONS` – Security Hub CSPM 聚合选定区域列表的数据。Security Hub CSPM 不会自动聚合新区域的数据。使用 `Regions` 用于提供要聚合的区域列表。
+ `NO_REGIONS` – Security Hub CSPM 不会聚合数据，因为您没有选择任何关联区域。

以下示例会配置跨区域聚合。主区域为美国东部（弗吉尼亚州北部）。关联区域是美国西部（北加利福尼亚）和美国西部（俄勒冈州）。此示例是针对 Linux、macOS 或 Unix 进行格式化的，它使用反斜杠（\$1）行继续符来提高可读性。

```
$ aws securityhub create-finding-aggregator --region us-east-1 --region-linking-mode SPECIFIED_REGIONS --regions us-west-1 us-west-2
```

------

# 查看跨区域聚合设置
<a name="finding-aggregation-view-config"></a>

**注意**  
*聚合区域*现在称为*主区域*。某些 Security Hub CSPM API 操作仍使用旧术语“聚合区域”。

您可以从任何位置在 Sec AWS urity Hub CSPM 中查看当前的跨区域聚合配置。 AWS 区域配置包括主区域、关联区域（如果有），以及是否自动关联 CSPM 支持的新区域。

成员账户可以查看管理员账户配置的跨区域聚合设置。

选择您的首选方法，然后按照以下步骤查看当前的跨区域聚合设置。

------
#### [ Security Hub CSPM console ]

**查看跨区域聚合设置（控制台）**

1. 打开 S AWS ecurity Hub CSPM 控制台，网址为。[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. 在导航窗格中，选择**设置**，然后选择**区域**选项卡。

如果未启用跨区域聚合，则**区域**选项卡将显示启用跨区域聚合的选项。只有管理员账户和独立账户才能启用跨区域聚合。

如果启用了跨区域聚合，则**区域**选项卡将显示以下信息：
+ 主区域
+ 是否自动聚合 Security Hub CSPM 支持且您选择加入的新区域的调查发现、见解、控件状态和安全分数
+ 关联区域列表（如果选择了任何区域）

------
#### [ Security Hub CSPM API ]

**查看跨区域聚合设置（Security Hub CSPM API）**

使用 Security Hub CSPM API 的 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindingAggregator.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindingAggregator.html) 操作。如果您使用 AWS CLI，请运行该[get-finding-aggregator](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-finding-aggregator.html)命令。

发出请求时，请提供调查发现聚合器 ARN。要获取调查发现聚合器 ARN，请使用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListFindingAggregators.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListFindingAggregators.html) 操作或 [list-finding-aggregators](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-finding-aggregators.html) 命令。

以下示例显示了指定的调查发现聚合器 ARN 的跨区域聚合设置。此示例针对 Linux、macOS 或 Unix 进行了格式化，它使用反斜杠（\$1）续行字符以提高可读性

```
$aws securityhub get-finding-aggregator --finding-aggregator-arn arn:aws:securityhub:us-east-1:222222222222:finding-aggregator/123e4567-e89b-12d3-a456-426652340000
```

------

# 更新跨区域聚合设置
<a name="finding-aggregation-update"></a>

**注意**  
*聚合区域*现在称为*主区域*。某些 Security Hub CSPM API 操作仍使用旧术语“聚合区域”。

您可以通过更改链接的区域或当前的主区域来更新 Sec AWS urity Hub CSPM 中当前的跨区域聚合设置。您还可以更改是否自动聚合支持 Security Hub CSPM 的新增 AWS 区域 数据。

只有在 AWS 账户中启用选择加入的区域后，才会对该区域实施跨区域聚合的更改。在 2019 年 3 月 20 日当天或之后 AWS 推出的区域为可选区域。

当您停止聚合来自关联区域的数据时，Sec AWS urity Hub CSPM 不会从该区域中删除可在原区域访问的任何现有聚合数据。

您不能使用本节中的更新过程来更改主区域。要更改主区域，您必须执行以下操作：

1. 停止跨区域聚合。有关说明，请参阅[停止跨区域聚合](finding-aggregation-stop.md)。

1. 更改为要作为新的主区域的区域。

1. 启用跨区域聚合。有关说明，请参阅[启用跨区域聚合](finding-aggregation-enable.md)。

您必须从当前主区域更新跨区域聚合配置。

------
#### [ Security Hub CSPM console ]

**更改关联区域**

1. 打开 S AWS ecurity Hub CSPM 控制台，网址为。[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   登录到当前聚合区域。

1. 在 Security Hub CSPM 导航菜单中，选择**设置**，然后选择**区域**。

1. 对于**调查发现聚合**，选择**编辑**。

1. 对于**关联区域**，更新所选的关联区域。

1. 如有必要，更改是否选择**关联未来区域**。此设置决定当 Security Hub 支持新区域并且您选择加入这些区域时 Security Hub CSPM 是否自动关联这些区域。

1. 选择**保存**。

------
#### [ Security Hub CSPM API ]

使用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateFindingAggregator.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateFindingAggregator.html) 操作。如果您使用 AWS CLI，请运行该[update-finding-aggregator](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-finding-aggregator.html)命令。要识别调查发现聚合器，必须提供调查发现聚合器 ARN。要获取查找聚合器 ARN，请使用操作[list-finding-aggregators](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-finding-aggregators.html)或[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListFindingAggregators.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListFindingAggregators.html)命令...

如果关联模式为 `ALL_REGIONS_EXCEPT_SPECIFIED` 或 `SPECIFIED_REGIONS`，则可以更改已排除或已包含区域的列表。如果您要将区域关联模式更改为 `NO_REGIONS`，则不应提供区域列表。

更改排除或已包含区域的列表时，必须提供包含更新的完整列表。例如，假设您当前美国东部（俄亥俄州）的调查发现，同时还要聚合美国西部（俄勒冈州）的调查发现。您必须提供同时包含美国东部（俄亥俄州）和美国西部（俄勒冈州）的 `Regions` 列表。

以下示例会更新所选区域的跨区域聚合。从当前主区域 [即美国东部（弗吉尼亚州北部）] 运行命令。关联区域是美国西部（北加利福尼亚）和美国西部（俄勒冈州）。此示例是针对 Linux、macOS 或 Unix 进行格式化的，它使用反斜杠（\$1）行继续符来提高可读性。

```
aws securityhub update-finding-aggregator --region us-east-1 --finding-aggregator-arn arn:aws:securityhub:us-east-1:222222222222:finding-aggregator/123e4567-e89b-12d3-a456-426652340000 --region-linking-mode SPECIFIED_REGIONS --regions us-west-1 us-west-2
```

------

# 停止跨区域聚合
<a name="finding-aggregation-stop"></a>

**注意**  
*聚合区域*现在称为*主区域*。某些 Security Hub CSPM API 操作仍使用旧术语“聚合区域”。

如果您不希望 S AWS ecurity Hub CSPM 聚合数据，则可以删除您的查找聚合器。或者，您可以通过将现有聚合器更新为链接模式 AWS 区域 来保留查找聚合器，但不能将任何聚合器`NO_REGIONS`链接到主区域。

要更改主区域，您必须删除当前的调查发现聚合器并创建新的聚合器。

删除调查发现聚合器后，Security Hub CSPM 会停止聚合数据。它不会从主区域中移除任何现有的聚合数据。

## 删除调查发现聚合器（控制台）
<a name="finding-aggregation-stop-console"></a>

您只能从当前的主区域中删除调查发现聚合器。

在主区域以外的区域中，Security Hub CSPM 控制台上的**调查发现聚合**面板会显示一条消息，提示您必须在主区域中编辑配置。选择此消息可显示切换到主区域的链接。

------
#### [ Security Hub CSPM console ]

**停止跨区域聚合（控制台）**

1. 打开 S AWS ecurity Hub CSPM 控制台，网址为。[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. 确保您已登录到当前主区域。

1. 在 Security Hub CSPM 导航菜单中，选择**设置**，然后选择**区域**。

1. 在**调查发现聚合**下，选择**编辑**。

1. 在**聚合区域**下，选择**无聚合区域**。

1. 选择**保存**。

1. 在确认对话框的确认字段中，键入 **Confirm**。

1. 选择**确认**。

------
#### [ Security Hub CSPM API ]

使用 Security Hub CSPM API 的 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DeleteFindingAggregator.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DeleteFindingAggregator.html) 操作。如果您使用的是 AWS CLI，请运行[https://docs.aws.amazon.com/cli/latest/reference/securityhub/delete-finding-aggregator.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/delete-finding-aggregator.html)命令。

要识别要删除的调查发现聚合器，请提供调查发现聚合器 ARN。要获取调查发现聚合器 ARN，请使用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListFindingAggregators.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListFindingAggregators.html) 操作或 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-finding-aggregators.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-finding-aggregators.html) 命令。

以下示例会删除调查发现聚合器。从当前主区域 [即美国东部（弗吉尼亚州北部）] 运行命令。此示例是针对 Linux、macOS 或 Unix 进行格式化的，它使用反斜杠（\$1）行继续符来提高可读性。

```
$aws securityhub delete-finding-aggregator arn:aws:securityhub:us-east-1:222222222222:finding-aggregator/123e4567-e89b-12d3-a456-426652340000 --region us-east-1
```

------