本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

了解安全中樞中的跨區域彙總

在中使用跨區域彙總 AWS Security Hub，您可以彙總發現項目、尋找更新、見解、控制合規性狀態，以及來自多個安全分數 AWS 區域 到一個單一的家庭區域。然後，您可以從主區域管理所有這些資料。

假設您將美國東部 (維吉尼亞北部) 設定為本地區域，將美國西部 (奧勒岡) 和美國西部 (加利佛尼亞北部) 設定為連結的區域。當您檢視美國東部 (維吉尼亞北部) 的「發現項目」頁面時，您會看到來自全部三個區域的發現項目。這些發現項目的更新也會反映在所有三個區域中。

如果某個控制項已在連結的「區域」中啟用，但在「地區」中停用，您可以從首頁「區域」查看控制項的合規狀態，但您無法從首頁「地區」啟用或停用該控制項。如果您使用中央規劃，則例外。如果您使用中央組態，委派的 Security Hub 系統管理員可以從主區域設定主區域和連結的區域中的控制項。

如果您已設定主地區，則安全分數會將所有控制項狀態列入帳戶 連結的區域。若要檢視跨區域安全分數和合規性狀態，請將下列權限新增至使用 Security Hub 的IAM角色：

彙總的資料類型

啟用一或多個連結區域的跨區域彙總時，Security Hub 會將下列資料從連結的區域複寫到本地區域。每個啟用跨區域彙總的帳戶都會發生這種情況。

除了先前清單中的新資料之外，Security Hub 也會在連結的區域和本地區域之間複寫此資料的更新。連結區域中發生的更新會複寫到本地區域。在本地區域中發生的更新會複寫回連結的區域。如果首頁「地區」和「連結的區域」中發生衝突的更新，則會使用最新的更新。

跨區域彙總不會增加 Security Hub 的成本。當 Security Hub 複寫新資料或更新時，不會向您收費。

在首頁「區域」中，「彙總」頁面提供跨連結區域之作用中發現項目的檢視。如需詳細資訊，請參閱依嚴重性檢視發現項目的跨區域摘要。分析發現項目的其他「摘要」頁面面板也會顯示來自跨連結區域的資訊。

您在「地區」中的安全分數是透過比較所有連結區域中已啟用控制項的數目來計算。此外，如果至少在一個連結的 [區域] 中啟用控制項，則可在首頁 [Region] 的 [安全性] 標準詳細資料頁面上看到控制項。標準詳細資料頁面上控制項的符合性狀態反映了跨連結區域的發現項目。如果在一或多個連結的區域中與控制項相關聯的安全性檢查失敗，該控制項的符合性狀態會在首頁「區域」的標準詳細資料頁面上顯示為「失敗」。安全性檢查的數目包括來自所有連結區域的發現項目。

Security Hub 只會彙總帳戶已啟用 Security Hub 之區域的資料。不會根據跨區域彙總組態為帳戶自動啟用 Security Hub。

您可以在未選取任何連結區域的情況下啟用跨區域彙總。在這種情況下，不會發生任何資料複製。

管理員和成員帳戶的彙總

獨立帳戶、成員帳戶和管理員帳戶可以設定跨區域彙總。如果由管理員設定，則跨區域彙總在管理的帳戶中運作時，必須存在管理員帳戶。如果管理員帳戶已移除或與成員帳戶取消關聯，則該成員帳戶的跨區域彙總會停止。即使帳戶在管理員與成員關係開始之前已啟用跨區域彙總，也是如此。

當系統管理員帳戶啟用跨區域彙總時，Security Hub 會將系統管理員帳戶在所有連結的區域中產生的資料複寫到主區域。此外，Security Hub 會識別與該系統管理員相關聯的成員帳戶，而且每個成員帳戶都會繼承系統管理員的跨區域彙總設定。Security Hub 會將成員帳戶在所有連結的區域中產生的資料複製到本地區域。

管理員可以從管理區域內的所有成員帳戶存取和管理安全發現項目。不過，身為 Security Hub 系統管理員，您必須登入主區域，才能檢視來自所有成員帳戶和連結區域的彙總資料。

身為 Security Hub 成員帳戶，您必須登入主區域，才能檢視來自所有連結區域的帳戶彙總資料。會員帳戶沒有查看其他成員帳戶數據的權限。

系統管理員帳戶可以手動邀請成員帳戶，或擔任與之整合之組織的委派管理員 AWS Organizations。 對於手動邀請的成員帳戶，管理員必須從主區域和所有連結的區域邀請帳戶，以便跨區域彙總才能運作。此外，成員帳戶必須在主區域和所有連結的區域中啟用 Security Hub，才能讓系統管理員能夠檢視成員帳戶中的發現項目。如果您未將本地區用於其他用途，則可以停用該區域中的 Security Hub 標準和整合，以避免收費。

如果您計劃使用跨區域彙總並擁有多個管理員帳戶，建議您遵循下列最佳作法：