本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

了解 Security Hub 中的跨區域彙總

透過在 中使用跨區域彙總 AWS Security Hub，您可以將調查結果、調查結果更新、洞見、控制合規狀態和安全分數從多個彙總 AWS 區域 到單一主區域。然後，您可以從主要區域管理所有資料。

假設您將美國東部 （維吉尼亞北部） 設定為主區域，而美國西部 （奧勒岡） 和美國西部 （加利佛尼亞北部） 設定為連結區域。當您檢視美國東部 （維吉尼亞北部） 的調查結果頁面時，您會看到所有三個區域的調查結果。這些調查結果的更新也會反映在所有三個區域中。

如果在連結的區域中啟用控制項，但在主要區域中停用，您可以從主要區域查看控制項的合規狀態，但您無法從主要區域啟用或停用該控制項。例外狀況是，如果您使用中央組態。如果您使用中央組態，委派的 Security Hub 管理員可以設定主區域中的控制項，以及主區域中的連結區域。

如果您已設定主區域，則安全分數會考慮所有 中的控制狀態
 連結的區域。若要檢視跨區域安全分數和合規狀態，請將下列許可新增至使用 Security Hub 的 IAM 角色：

彙總的資料類型

使用一或多個連結區域啟用跨區域彙總時，Security Hub 會將下列資料從連結區域複寫至主要區域。這發生在每個已啟用跨區域彙總的帳戶。

除了上一個清單中的新資料之外，Security Hub 也會在連結的區域和主區域之間複寫此資料的更新。在連結區域中發生的更新會複寫至主要區域。主要區域中發生的更新會複寫回連結的區域。如果主要區域和連結區域有衝突的更新，則會使用最新的更新。

跨區域彙總不會新增至 Security Hub 的成本。當 Security Hub 複寫新資料或更新時，您不需要付費。

在主區域中，摘要頁面提供跨連結區域的作用中問題清單檢視。如需詳細資訊，請參閱依嚴重性檢視問題清單的跨區域摘要。其他分析調查結果的摘要頁面面板也會顯示來自連結區域的資訊。

主區域中的安全分數是透過比較傳遞的控制項數量與所有連結區域中啟用的控制項數量來計算。此外，如果在至少一個連結區域中啟用控制項，則會在主要區域的安全標準詳細資訊頁面上顯示。標準詳細資訊頁面上控制項的合規狀態反映了連結區域之間的調查結果。如果與控制項相關聯的安全檢查在一或多個連結區域中失敗，則該控制項的合規狀態會在主要區域的標準詳細資訊頁面上顯示為失敗。安全檢查的數量包含所有連結區域的調查結果。

Security Hub 只會從帳戶已啟用 Security Hub 的區域彙總資料。帳戶不會根據跨區域彙總組態自動啟用 Security Hub。

可以在未選取任何連結區域的情況下啟用跨區域彙總。在此情況下，不會發生資料複寫。

管理員和成員帳戶的彙總

獨立帳戶、成員帳戶和管理員帳戶可以設定跨區域彙總。如果由管理員設定，則管理員帳戶的存在對於跨區域彙總在受管帳戶中運作至關重要。如果管理員帳戶已從成員帳戶移除或取消關聯，則成員帳戶的跨區域彙總會停止。即使帳戶在管理員-成員關係開始之前已啟用跨區域彙總，也是如此。

當管理員帳戶啟用跨區域彙總時，Security Hub 會將管理員帳戶在所有連結區域中產生的資料複寫至主要區域。此外，Security Hub 會識別與該管理員相關聯的成員帳戶，而且每個成員帳戶都會繼承管理員的跨區域彙總設定。Security Hub 會將成員帳戶在所有連結區域中產生的資料複寫至主區域。

管理員可以存取和管理受管區域內所有成員帳戶的安全調查結果。不過，身為 Security Hub 管理員，您必須登入主區域，才能檢視來自所有成員帳戶和連結區域的彙總資料。

作為 Security Hub 成員帳戶，您必須登入主區域，才能從所有連結區域檢視您帳戶中的彙總資料。成員帳戶沒有從其他成員帳戶檢視資料的許可。

管理員帳戶可以手動邀請成員帳戶，或擔任與 整合之組織的委派管理員 AWS Organizations。對於手動邀請的成員帳戶，管理員必須邀請來自主區域和所有連結區域的帳戶，才能跨區域彙總運作。此外，成員帳戶必須在主區域和所有連結區域中啟用 Security Hub，讓管理員能夠檢視成員帳戶中的問題清單。如果您不將主區域用於其他用途，您可以停用該區域中的 Security Hub 標準和整合，以防止產生費用。

如果您計劃使用跨區域彙總，並擁有多個管理員帳戶，建議您遵循以下最佳實務：