本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 了解 Security Hub CSPM 中的中央組態
<a name="central-configuration-intro"></a>

中央組態是一項 AWS Security Hub CSPM 功能，可協助您跨多個 和 設定和管理 Security Hub CSPM AWS 帳戶 AWS 區域。若要使用中央組態，您必須先整合 Security Hub CSPM 和 AWS Organizations。您可以透過建立組織並指定組織的委派 Security Hub CSPM 管理員帳戶來整合服務。

從委派的 Security Hub CSPM 管理員帳戶，您可以為組織的帳戶和跨區域的組織單位 (OUs) 啟用 Security Hub CSPM。您也可以跨區域啟用、設定和停用帳戶和 OUs 的個別安全標準和安全控制。您只需幾個步驟即可從一個主要區域設定這些設定，稱為*主要區域*。

當您使用中央組態時，委派管理員可以選擇要設定哪些帳戶和 OUs。如果委派管理員將成員帳戶或 OU 指定為*自我管理*，則該成員可以在每個區域中分別設定自己的設定。如果委派管理員將成員帳戶或 OU 指定為*集中管理*，則只有委派管理員才能跨區域設定成員帳戶或 OU。您可以將組織中的所有帳戶和 OUs 指定為集中管理、所有自我管理或兩者的組合。

若要設定集中受管帳戶，委派管理員會使用 Security Hub CSPM 組態政策。組態政策可讓委派管理員指定啟用或停用 Security Hub CSPM，以及啟用或停用哪些標準和控制項。它們也可以用來自訂特定控制項的參數。

組態政策會在主要區域和所有連結區域中生效。委派管理員會先指定組織的主區域和連結的區域，再開始使用中央組態。指定連結的區域是選用的。委派管理員可以為整個組織建立單一組態政策，或建立多個組態政策來設定不同帳戶和 OUs 的變數設定。

**提示**  
如果您不使用中央組態，則必須在每個帳戶和區域中分別設定 Security Hub CSPM。這稱為*本機組態*。在本機組態下，委派管理員可以在目前區域中的新組織帳戶中自動啟用 Security Hub CSPM 和一組有限的安全標準。本機組態不適用於現有的組織帳戶或目前區域以外的區域。本機組態也不支援使用組態政策。

本節提供中央組態的概觀。

## 使用中央組態的優點
<a name="central-configuration-benefits"></a>

中央組態的優點包括下列項目：

**簡化 Security Hub CSPM 服務和功能的組態**  
當您使用中央組態時，Security Hub CSPM 會引導您完成為組織設定安全最佳實務的程序。它也會自動將產生的組態政策部署到指定的帳戶和 OUs。如果您有現有的 Security Hub CSPM 設定，例如自動啟用新的安全控制，您可以使用這些設定做為組態政策的起點。此外，Security Hub CSPM 主控台上的**組態**頁面會顯示組態政策的即時摘要，以及哪些帳戶和 OUs 使用每個政策。

**跨帳戶和區域設定**  
您可以使用中央組態，跨多個帳戶和區域設定 Security Hub CSPM。這有助於確保組織的每個部分維持一致的組態和足夠的安全涵蓋範圍。

**適應不同帳戶和 OUs 中的不同組態**  
使用中央組態，您可以選擇以不同的方式設定組織的帳戶和 OUs。例如，您的測試帳戶和生產帳戶可能需要不同的組態。您也可以建立組態政策，涵蓋加入組織的新帳戶。

**防止組態偏離**  
當使用者變更與委派管理員選擇衝突的服務或功能時，會發生組態偏離。中央組態可防止此偏離。當您將帳戶或 OU 指定為集中管理時，只能由組織的委派管理員設定。如果您偏好特定帳戶或 OU 來設定自己的設定，您可以將其指定為自我管理。

## 何時使用中央組態？
<a name="central-configuration-audience"></a>

中央組態最適合包含多個 Security Hub CSPM 帳戶 AWS 的環境。它旨在協助您集中管理多個帳戶的 Security Hub CSPM。

您可以使用中央組態來設定 Security Hub CSPM 服務、安全標準和安全控制。您也可以使用它來自訂特定控制項的參數。如需安全標準的詳細資訊，請參閱 [了解 Security Hub CSPM 中的安全標準](standards-view-manage.md)。如需安全控制的詳細資訊，請參閱 [了解 Security Hub CSPM 中的安全控制](controls-view-manage.md)。



## 中央組態術語和概念
<a name="central-configuration-concepts"></a>

了解下列關鍵術語和概念可協助您使用 Security Hub CSPM 中央組態。

**中央組態**  
Security Hub CSPM 功能可協助組織的委派 Security Hub CSPM 管理員帳戶設定跨多個帳戶和區域的 Security Hub CSPM 服務、安全標準和安全控制。若要設定這些設定，委派管理員會為其組織中的集中受管帳戶建立和管理 Security Hub CSPM 組態政策。自我管理帳戶可以在每個區域中分別設定自己的設定。若要使用中央組態，您必須整合 Security Hub CSPM 和 AWS Organizations。

**主區域**  
委派管理員透過建立和管理組態政策， AWS 區域 從中集中設定 Security Hub CSPM 的 。組態政策會在主要區域和所有連結區域中生效。  
主要區域也做為 Security Hub CSPM 彙總區域，接收來自連結區域的調查結果、洞見和其他資料。  
在 2019 年 3 月 20 日或之後 AWS 引進的區域稱為選擇加入區域。選擇加入區域不能是主要區域，但可以是連結的區域。如需選擇加入區域的清單，請參閱《*AWS 帳戶管理參考指南*》中的[啟用和停用區域的考量事項](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#manage-acct-regions-considerations)。

**連結的區域**  
可從主要區域 AWS 區域 設定。組態政策由主要區域中的委派管理員建立。這些政策會在主要區域和所有連結區域中生效。指定連結的區域是選用的。  
連結的區域也會將問題清單、洞見和其他資料傳送至主要區域。  
在 2019 年 3 月 20 日或之後 AWS 引進的區域稱為選擇加入區域。您必須先為帳戶啟用此類區域，才能套用組態政策。Organizations 管理帳戶可以為成員帳戶啟用選擇加入區域。如需詳細資訊，請參閱《[帳戶管理參考指南》中的指定 AWS 區域 您的帳戶可以使用哪些](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#rande-manage-enable)。 *AWS *

**目標**  
 AWS 帳戶、組織單位 (OU) 或組織根目錄。

**Security Hub CSPM 組態政策**  
委派管理員可為集中受管目標設定的 Security Hub CSPM 設定集合。其中包含：  
+ 是否啟用或停用 Security Hub CSPM。
+ 是否啟用一或多個[安全標準](standards-reference.md)。
+ 要跨啟用的標準啟用哪些[安全控制](securityhub-controls-reference.md)。委派管理員可以透過提供應啟用的特定控制項清單來執行此操作，而 Security Hub CSPM 會停用所有其他控制項 （包括發行時的新控制項）。或者，委派管理員可以提供應停用的特定控制項清單，而 Security Hub CSPM 會啟用所有其他控制項 （包括發行時的新控制項）。
+ 或者，[自訂已啟用標準之所選控制項的參數](custom-control-parameters.md)。
組態政策在與至少一個帳戶、組織單位 (OU) 或根關聯之後，會在主區域和所有連結區域中生效。  
在 Security Hub CSPM 主控台上，委派管理員可以選擇 Security Hub CSPM 建議的組態政策或建立自訂組態政策。使用 Security Hub CSPM API 和 AWS CLI，委派管理員只能建立自訂組態政策。委派管理員最多可以建立 20 個自訂組態政策。  
在建議的組態政策中，Security Hub CSPM、 AWS 基礎安全最佳實務 (FSBP) 標準，以及所有現有和新的 FSBP 控制項都會啟用。接受參數的控制項會使用預設值。建議的組態政策適用於整個組織。  
若要將不同的設定套用至組織，或將不同的組態政策套用至不同的帳戶和 OUs，請建立自訂組態政策。

**本機組態**  
整合 Security Hub CSPM 和 之後，組織的預設組態類型 AWS Organizations。透過本機組態，委派管理員可以選擇在目前區域中*的新*組織帳戶中自動啟用 Security Hub CSPM 和[預設安全標準](securityhub-auto-enabled-standards.md)。如果委派管理員自動啟用預設標準，則屬於這些標準的所有控制項也會自動啟用，其中包含新組織帳戶的預設參數。這些設定不適用於現有帳戶，因此在帳戶加入組織之後，組態漂移是可能的。停用屬於預設標準一部分的特定控制項，以及設定其他標準和控制項，都必須在每個帳戶和區域中分別完成。  
本機組態不支援使用組態政策。若要使用組態政策，您必須切換到中央組態。

**手動帳戶管理**  
如果您未將 Security Hub CSPM 與 整合， AWS Organizations 或擁有獨立帳戶，則必須在每個區域中分別指定每個帳戶的設定。手動帳戶管理不支援使用組態政策。

**中央組態 APIs**  
只有 Security Hub CSPM 委派 Security Hub CSPM 管理員可以在主區域中使用 Security Hub CSPM 操作來管理集中管理帳戶的組態政策。這些操作包括：  
+ `CreateConfigurationPolicy`
+ `DeleteConfigurationPolicy`
+ `GetConfigurationPolicy`
+ `ListConfigurationPolicies`
+ `UpdateConfigurationPolicy`
+ `StartConfigurationPolicyAssociation`
+ `StartConfigurationPolicyDisassociation`
+ `GetConfigurationPolicyAssociation`
+ `BatchGetConfigurationPolicyAssociations`
+ `ListConfigurationPolicyAssociations`

**帳戶特定的 APIs**  
Security Hub CSPM 操作，可用於account-by-account啟用或停用 Security Hub CSPM、標準和控制項。這些操作用於每個個別區域。  
自我管理帳戶可以使用帳戶特定的操作來設定自己的設定。在主要區域和連結區域中，集中管理的帳戶無法使用下列帳戶特定操作。在這些區域中，只有委派管理員可以透過中央組態操作和組態政策來設定集中受管帳戶。  
+ `BatchDisableStandards`
+ `BatchEnableStandards`
+ `BatchUpdateStandardsControlAssociations`
+ `DisableSecurityHub`
+ `EnableSecurityHub`
+ `UpdateStandardsControl`
若要檢查帳戶狀態，集中管理帳戶的擁有者*可以使用* Security Hub CSPM API 的任何 `Get`或 `Describe`操作。  
如果您使用本機組態或手動帳戶管理，而不是中央組態，則可以使用這些帳戶特定的操作。  
自我管理帳戶也可以使用 `*Invitations`和 `*Members`操作。不過，我們建議自我管理帳戶不要使用這些操作。如果成員帳戶自己的成員與委派管理員屬於不同的組織，則政策關聯可能會失敗。

**組織單位 (OU)**  
在 AWS Organizations 和 Security Hub CSPM 中， 群組的容器 AWS 帳戶。組織單位 (OU) 也可以包含其他 OUs，可讓您建立類似上下倒置樹狀結構的階層，其中 OU 的父系 OU 位於 OUs 的頂端和分支，以樹狀樹葉的帳戶結尾。OU 可以只有一個父系，而且每個組織帳戶可以是只有一個 OU 的成員。  
您可以在 AWS Organizations 或 中管理 OUs AWS Control Tower。如需詳細資訊，請參閱*AWS Organizations 《 使用者指南*》中的[管理組織單位](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_ous.html)，或《 *AWS Control Tower 使用者指南*》中的[使用 管理組織和帳戶 AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/existing-orgs.html)。  
委派管理員可以將組態政策與特定帳戶或 OUs 或根關聯，以涵蓋組織中的所有帳戶和 OUs。

**集中管理**  
只有委派管理員可以使用組態政策跨區域設定的目標。  
委派管理員帳戶指定目標是否集中管理。委派管理員也可以將目標的狀態從集中受管變更為自我管理，或反之亦然。

**自我管理**  
管理自己的 Security Hub CSPM 設定的目標。自我管理目標使用帳戶特定的操作，在每個區域中分別設定 Security Hub CSPM。這與集中受管目標相反，這些目標只能由跨區域的委派管理員透過組態政策進行設定。  
委派管理員帳戶會指定目標是否為自我管理。委派管理員可以將自我管理行為套用至目標。或者，帳戶或 OU 可以從父系繼承自我管理的行為。  
委派管理員帳戶本身可以是自我管理帳戶。委派管理員帳戶可以將目標的狀態從自我管理變更為集中管理，或反之亦然。  


**組態政策關聯**  
組態政策與 帳戶、組織單位 (OU) 或根帳戶之間的連結。當政策關聯存在時，帳戶、OU 或根會使用組態政策定義的設定。下列任一情況下都會存在關聯：  
+ 當委派管理員直接將組態政策套用至帳戶、OU 或根帳戶時
+ 當帳戶或 OU 從父 OU 或根繼承組態政策時
在套用或繼承不同的組態之前，都會存在關聯。

**套用的組態政策**  
一種組態政策關聯的類型，其中委派的管理員會將組態政策直接套用至目標帳戶、OUs 或根帳戶。目標的設定方式是設定組態政策，只有委派的管理員可以變更其組態。如果套用至根帳戶，則組態政策會影響組織中所有帳戶和 OUs，這些帳戶和 OU 不會透過應用程式使用不同的組態，或繼承來自最接近的父系。  
委派管理員也可以將自我管理組態套用至特定帳戶、OUs 或根目錄。

**繼承的組態政策**  
一種組態政策關聯類型，其中帳戶或 OU 採用最接近父系 OU 或根目錄的組態。如果組態政策未直接套用至帳戶或 OU，則會繼承最接近父項的組態。政策的所有元素都會繼承。換句話說，帳戶或 OU 無法選擇僅選擇性地繼承政策的一部分。如果最近的父系是自我管理的，子帳戶或 OU 會繼承父系的自我管理行為。  
繼承無法覆寫套用的組態。也就是說，如果組態政策或自我管理組態直接套用至帳戶或 OU，則會使用該組態，而不會繼承父系的組態。

**根目錄**  
在 AWS Organizations 和 Security Hub CSPM 中，組織中最上層的父節點。如果委派管理員將組態政策套用至根目錄，則政策會與組織中的所有帳戶和 OUs 相關聯，除非他們透過應用程式或繼承使用不同的政策，或被指定為自我管理。如果管理員將根指定為自我管理，則組織中的所有帳戶和 OUs 都會自我管理，除非他們透過應用程式或繼承使用組態政策。如果根是自我管理的，且目前沒有組態政策，則組織中的所有新帳戶都會保留其目前的設定。  
加入組織的新帳戶屬於根帳戶，直到指派給特定 OU 為止。如果新帳戶未指派給 OU，則會繼承根組態，除非委派管理員將其指定為自我管理帳戶。