了解 Security Hub 中的中央組態

當您使用中央組態時，Security Hub 會引導您完成為組織設定安全最佳實務的程序。它也會自動將產生的組態政策部署到指定的帳戶和 OUs。如果您有現有的 Security Hub 設定，例如自動啟用新的安全控制，您可以使用這些設定做為組態政策的起點。此外，Security Hub 主控台上的組態頁面會顯示組態政策的即時摘要，以及哪些帳戶和 OUs 使用每個政策。

您可以使用中央組態，跨多個帳戶和區域設定 Security Hub。這有助於確保組織的每個部分維持一致的組態和足夠的安全涵蓋範圍。

透過中央組態，您可以選擇以不同的方式設定組織的帳戶和 OUs。例如，您的測試帳戶和生產帳戶可能需要不同的組態。您也可以建立組態政策，涵蓋加入組織的新帳戶。

當使用者變更與委派管理員選擇衝突的服務或功能時，會發生組態偏離。中央組態可防止此偏離。當您將帳戶或 OU 指定為集中管理時，只能由組織的委派管理員設定。如果您偏好特定帳戶或 OU 來設定自己的設定，您可以將其指定為自我管理。

Security Hub 功能可協助組織的委派 Security Hub 管理員帳戶設定多個帳戶和區域的 Security Hub 服務、安全標準和安全控制。若要設定這些設定，委派管理員會為其組織中的集中管理帳戶建立和管理 Security Hub 組態政策。自我管理帳戶可以在每個區域中分別設定自己的設定。若要使用中央組態，您必須整合 Security Hub 和 AWS Organizations。

委派管理員透過建立和管理組態政策， AWS 區域 從中集中設定 Security Hub 的 。組態政策會在主要區域和所有連結的區域生效。

主要區域也做為 Security Hub 彙總區域，接收來自連結區域的調查結果、洞見和其他資料。

在 2019 年 3 月 20 日或之後 AWS 引進的區域稱為選擇加入區域。選擇加入區域不能是主要區域，但可以是連結的區域。如需選擇加入區域的清單，請參閱 AWS 帳戶管理參考指南中的啟用和停用區域的考量。

可從主區域 AWS 區域 設定。組態政策是由主要區域中的委派管理員所建立。這些政策會在主要區域和所有連結區域中生效。指定連結的區域是選用的。

連結的區域也會將問題清單、洞見和其他資料傳送至主區域。

在 2019 年 3 月 20 日或之後 AWS 引進的區域稱為選擇加入區域。您必須先為帳戶啟用此類區域，才能套用組態政策。Organizations 管理帳戶可以為成員帳戶啟用選擇加入區域。如需詳細資訊，請參閱《帳戶AWS 管理參考指南》中的指定 AWS 區域 您的帳戶可以使用哪些。

AWS 帳戶組織單位 (OU) 或組織根目錄。

委派管理員可為集中受管目標設定的 Security Hub 設定集合。其中包含：

組態政策在與至少一個帳戶、組織單位 (OU) 或根相關聯後，會在主區域和所有連結區域中生效。

在 Security Hub 主控台上，委派管理員可以選擇 Security Hub 建議的組態政策或建立自訂組態政策。使用 Security Hub API 和 AWS CLI，委派管理員只能建立自訂組態政策。委派管理員最多可以建立 20 個自訂組態政策。

在建議的組態政策中，Security Hub、 AWS 基礎安全最佳實務 (FSBP) 標準，以及所有現有和新的 FSBP 控制項都會啟用。接受參數的控制項會使用預設值。建議的組態政策適用於整個組織。

若要將不同的設定套用至組織，或將不同的組態政策套用至不同的帳戶和 OUs，請建立自訂組態政策。

整合 Security Hub 和 之後，組織的預設組態類型 AWS Organizations。透過本機組態，委派管理員可以選擇在目前區域中的新組織帳戶中自動啟用 Security Hub 和預設安全標準。如果委派管理員自動啟用預設標準，則屬於這些標準的所有控制項也會自動啟用，並具有新組織帳戶的預設參數。這些設定不適用於現有帳戶，因此在帳戶加入組織之後，組態漂移是可能的。停用屬於預設標準一部分的特定控制項，以及設定其他標準和控制項，都必須在每個帳戶和區域中分別完成。

本機組態不支援使用組態政策。若要使用組態政策，您必須切換到中央組態。

如果您未將 Security Hub 與 整合， AWS Organizations 或擁有獨立帳戶，則必須在每個區域中分別指定每個帳戶的設定。手動帳戶管理不支援使用組態政策。

只有 Security Hub 委派 Security Hub 管理員可以在主區域中使用 Security Hub 操作來管理集中管理帳戶的組態政策。這些操作包括：

Security Hub 操作，可用於account-by-account啟用或停用 Security Hub、標準和控制項。這些操作用於每個區域。

自我管理帳戶可以使用帳戶特定的操作來設定自己的設定。集中管理的帳戶無法在主要區域和連結區域中使用下列帳戶特定操作。在這些區域中，只有委派管理員可以透過中央組態操作和組態政策來設定集中管理帳戶。

若要檢查帳戶狀態，中央受管帳戶的擁有者可以使用 Security Hub API 的任何 Get或 Describe操作。

如果您使用本機組態或手動帳戶管理，而不是中央組態，則可以使用這些帳戶特定的操作。

自我管理帳戶也可以使用 *Invitations和 *Members操作。不過，我們建議自我管理帳戶不要使用這些操作。如果成員帳戶自己的成員與委派管理員屬於不同的組織，則政策關聯可能會失敗。

在 AWS Organizations 和 Security Hub 中， 群組的容器 AWS 帳戶。組織單位 (OU) 也可以包含其他 OUs，可讓您建立類似上下倒置樹狀結構的階層，其中父系 OU 位於 OUs 的頂端和分支，到達下端，結束於樹葉的帳戶。OU 可以只有一個父系，而且每個組織帳戶可以是只有一個 OU 的成員。

您可以在 AWS Organizations 或 中管理 OUs AWS Control Tower。如需詳細資訊，請參閱AWS Organizations 《 使用者指南》中的管理組織單位，或》 AWS Control Tower 使用者指南》中的使用 管理組織和帳戶 AWS Control Tower。

委派管理員可以將組態政策與特定帳戶或 OUs 或根關聯，以涵蓋組織中的所有帳戶和 OUs。

只有委派管理員可以使用組態政策跨區域設定的目標。

委派的管理員帳戶會指定目標是否集中管理。委派的管理員也可以將目標的狀態從集中管理變更為自我管理，或反之亦然。

管理自己的 Security Hub 設定的目標。自我管理目標使用帳戶特定的操作，在每個區域中分別設定 Security Hub。這與集中受管目標相反，這些目標只能由跨區域的委派管理員透過組態政策進行設定。

委派的管理員帳戶會指定目標是否為自我管理。委派管理員可以將自我管理行為套用至目標。或者，帳戶或 OU 可以從父系繼承自我管理的行為。

委派的管理員帳戶本身可以是自我管理的帳戶。委派的管理員帳戶可以將目標的狀態從自我管理變更為集中管理，或反之亦然。

組態政策與帳戶、組織單位 (OU) 或根目錄之間的連結。存在政策關聯時，帳戶、OU 或根會使用組態政策定義的設定。下列任一情況下都會存在關聯：

在套用或繼承不同的組態之前，存在關聯。

一種組態政策關聯類型，其中委派的管理員會直接將組態政策套用至目標帳戶、OUs 或根帳戶。目標的設定方式是設定組態政策，只有委派的管理員可以變更其組態。如果套用至根，則組態政策會影響組織中所有帳戶和 OUs，這些帳戶和 OU 不會透過應用程式使用不同的組態，或繼承來自最接近的父系。

委派管理員也可以將自我管理組態套用至特定帳戶、OUs 或根目錄。

帳戶或 OU 採用最接近父系 OU 或根目錄組態的組態政策關聯類型。如果組態政策未直接套用至帳戶或 OU，則會繼承最接近父項的組態。政策的所有元素都會繼承。換句話說，帳戶或 OU 無法選擇僅選擇性地繼承政策的一部分。如果最近的父系是自我管理的，子帳戶或 OU 會繼承父系的自我管理行為。

繼承無法覆寫套用的組態。也就是說，如果組態政策或自我管理組態直接套用到帳戶或 OU，則會使用該組態，而不會繼承父系的組態。

在 AWS Organizations 和 Security Hub 中，組織中最上層的父節點。如果委派管理員將組態政策套用到根目錄，則政策會與組織中的所有帳戶和 OUs 相關聯，除非它們使用不同的政策，透過應用程式或繼承，或指定為自我管理。如果管理員將根指定為自我管理，則組織中的所有帳戶和 OUs 都會自我管理，除非他們透過應用程式或繼承使用組態政策。如果根是自我管理的，且目前沒有組態政策，組織中的所有新帳戶都會保留其目前的設定。

加入組織的新帳戶屬於根帳戶，直到指派給特定 OU 為止。如果新帳戶未指派給 OU，則除非委派管理員將其指定為自我管理帳戶，否則其會繼承根組態。