本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 了解 Security Hub CSPM 中的跨區域彙總
<a name="finding-aggregation"></a>

**注意**  
*彙總區域*現在稱為*主區域*。有些 Security Hub CSPM API 操作仍會使用較舊的詞彙彙總區域。

透過在 AWS Security Hub CSPM 中使用跨區域彙總，您可以將調查結果、調查結果更新、洞見、控制合規狀態和安全分數從多個 彙總 AWS 區域 到單一主區域。然後，您可以從主要區域管理所有這些資料。

假設您將美國東部 （維吉尼亞北部） 設定為主要區域，並將美國西部 （奧勒岡） 和美國西部 （加利佛尼亞北部） 設定為連結區域。當您檢視美國東部 （維吉尼亞北部） **的調查結果**頁面時，您會看到所有三個區域的調查結果。這些調查結果的更新也會反映在所有三個區域中。

**注意**  
在 中 AWS GovCloud (US)，僅對問題清單、問題清單更新和洞見支援跨區域彙總 AWS GovCloud (US)。具體而言，您只能彙總問題清單、問題清單更新，以及 AWS GovCloud （美國東部） 和 AWS GovCloud （美國西部） 之間的洞見。在中國區域中，僅支援跨區域彙總中國區域的調查結果、調查結果更新和洞見。具體而言，您只能彙總中國 （北京） 和中國 （寧夏） 之間的問題清單、問題清單更新和洞見。

如果在連結的區域中啟用控制項，但在主要區域中停用，您可以從主要區域查看控制項的合規狀態，但您無法從主要區域啟用或停用該控制項。例外狀況是如果您使用[中央組態](central-configuration-intro.md)。如果您使用中央組態，委派的 Security Hub CSPM 管理員可以設定主區域中的控制項，以及主區域中的連結區域。

如果您已設定主區域，[則安全分數](standards-security-score.md)會考慮所有 中的控制狀態
 連結的區域。若要檢視跨區域安全分數和合規狀態，請將下列許可新增至使用 Security Hub CSPM 的 IAM 角色：
+ `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html)`
+ `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetStandardsControlAssociations.html)`
+ `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html)`

## 彙總的資料類型
<a name="finding-aggregation-overview"></a>

使用一或多個連結區域啟用跨區域彙總時，Security Hub CSPM 會將下列資料從連結區域複寫至主要區域。每個已啟用跨區域彙總的帳戶都會發生這種情況。
+ 調查結果
+ 洞見
+ 控制合規狀態
+ 安全性分數

除了先前清單中的新資料之外，Security Hub CSPM 也會在連結的區域和主要區域之間複寫此資料的更新。在連結區域中發生的更新會複寫至主要區域。主要區域中發生的更新會複寫回連結的區域。如果主要區域和連結區域有衝突的更新，則會使用最新的更新。

![\[啟用跨區域彙總時，Security Hub CSPM 會在連結的區域和主要區域之間複寫新的和更新的調查結果。\]](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/diagram-finding-aggregation.png)


跨區域彙總不會增加 Security Hub CSPM 的成本。當 Security Hub CSPM 複寫新資料或更新時，您不需要付費。

在主區域中，**摘要**頁面提供跨連結區域的作用中問題清單檢視。如需詳細資訊，請參閱[依嚴重性檢視問題清單的跨區域摘要](https://docs.aws.amazon.com/securityhub/latest/userguide/findings-view-summary.html)。其他分析調查結果的**摘要**頁面面板也會顯示來自連結區域的資訊。

主區域中的安全分數是透過比較傳遞的控制項數量與所有連結區域中啟用的控制項數量來計算。此外，如果在至少一個連結區域中啟用控制項，它會顯示在主要區域的**安全標準**詳細資訊頁面上。標準詳細資訊頁面上控制項的合規狀態會反映連結區域的調查結果。如果與控制項相關聯的安全檢查在一或多個連結區域中失敗，則該控制項的合規狀態會在主要區域的標準詳細資訊頁面上顯示為**失敗**。安全檢查的數量包含所有連結區域的調查結果。

Security Hub CSPM 只會從帳戶已啟用 Security Hub CSPM 的區域彙總資料。帳戶不會根據跨區域彙總組態自動啟用 Security Hub CSPM。

可以在未選取任何連結區域的情況下啟用跨區域彙總。在此情況下，不會發生資料複寫。

## 管理員和成員帳戶的彙總
<a name="finding-aggregation-admin-member"></a>

獨立帳戶、成員帳戶和管理員帳戶可以設定跨區域彙總。如果由管理員設定，則管理員帳戶的存在對於跨區域彙總在受管帳戶中運作至關重要。如果管理員帳戶已從成員帳戶移除或取消關聯，則成員帳戶的跨區域彙總會停止。即使帳戶在管理員成員關係開始之前已啟用跨區域彙總，也是如此。

當管理員帳戶啟用跨區域彙總時，Security Hub CSPM 會將管理員帳戶在所有連結區域中產生的資料複寫至主要區域。此外，Security Hub CSPM 會識別與該管理員相關聯的成員帳戶，而且每個成員帳戶都會繼承管理員的跨區域彙總設定。Security Hub CSPM 會將成員帳戶在所有連結區域中產生的資料複寫至主要區域。

管理員可以存取和管理受管區域內所有成員帳戶的安全調查結果。不過，身為 Security Hub CSPM 管理員，您必須登入主要區域，才能檢視來自所有成員帳戶和連結區域的彙總資料。

作為 Security Hub CSPM 成員帳戶，您必須登入主區域，以檢視來自所有連結區域的帳戶彙總資料。成員帳戶沒有檢視其他成員帳戶資料的權限。

管理員帳戶可以手動邀請成員帳戶，或擔任與 整合之組織的委派管理員 AWS Organizations。對於[手動邀請的成員帳戶](account-management-manual.md)，管理員必須邀請來自主區域和所有連結區域的帳戶，才能跨區域彙總運作。此外，成員帳戶必須在主區域和所有連結區域中啟用 Security Hub CSPM，讓管理員能夠檢視成員帳戶中的問題清單。如果您不將主區域用於其他用途，您可以停用該區域中的 Security Hub CSPM 標準和整合，以防止產生費用。

如果您計劃使用跨區域彙總，並擁有多個管理員帳戶，建議您遵循下列最佳實務：
+ 每個管理員帳戶都有不同的成員帳戶。
+ 每個管理員帳戶在各區域都有相同的成員帳戶。
+ 每個管理員帳戶使用不同的主區域。

**注意**  
若要了解跨區域彙總如何影響中央組態，請參閱 [中央組態對跨區域彙總的影響](aggregation-central-configuration.md)。

# 中央組態對跨區域彙總的影響
<a name="aggregation-central-configuration"></a>

中央組態是 AWS Security Hub CSPM 中的選擇加入功能，如果您與 整合，則可以使用此功能 AWS Organizations。如果您使用中央組態，委派的管理員帳戶可以為組織中的帳戶和組織單位 (OU) 設定 Security Hub CSPM 服務、標準和控制項。若要設定帳戶和 OUs，委派管理員會建立 Security Hub CSPM 組態政策。組態政策可用來定義 Security Hub CSPM 是否啟用或停用，以及啟用哪些標準和控制項。委派管理員會將組態政策與特定帳戶、OUs 或根 （整個組織） 建立關聯。

委派管理員只能從主要區域為組織建立和管理組態政策。此外，組態政策會在主要區域和所有連結區域中生效。您無法建立僅適用於某些連結區域而非其他區域的組態政策。如需跨區域彙總的資訊，請參閱[跨區域彙總](https://docs.aws.amazon.com/securityhub/latest/userguide/finding-aggregation.html)。

若要使用中央組態，您必須指定主要區域。或者，您可以選擇一或多個區域做為連結的區域。您也可以選擇指定不含任何連結區域的主區域。

變更跨區域彙總設定可能會影響您的組態政策。當您新增連結的區域時，您的組態政策會在該區域中生效。如果區域是[選擇加入區域](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html)，則必須啟用該區域，您的組態政策才能在那裡生效。相反地，當您移除連結的區域時，組態政策不會再在該區域中生效。在該區域中，帳戶會維護其在移除連結區域時所擁有的設定。您可以變更這些設定，但必須在每個帳戶和區域中個別變更。

如果您移除或變更主要區域，則會刪除您的組態政策和政策關聯。您無法再在任何區域中使用中央組態或建立組態政策。帳戶會維護在主區域變更或移除之前所擁有的設定。您可以隨時變更這些設定，但由於您不再使用中央組態，因此必須在每個帳戶和區域中分別修改設定。如果您指定新的主要區域，則可以使用中央組態並再次建立組態政策。

如需中央組態的詳細資訊，請參閱 [了解 Security Hub CSPM 中的中央組態](central-configuration-intro.md)。

# 啟用跨區域彙總
<a name="finding-aggregation-enable"></a>

**注意**  
*彙總區域*現在稱為*主區域*。有些 Security Hub CSPM API 操作仍會使用較舊的詞彙彙總區域。

您必須從 AWS 區域 要指定為主要區域的 啟用跨區域彙總。

若要啟用跨區域彙總，您可以建立稱為調查結果彙總工具的 Security Hub CSPM 資源。問題清單彙總工具資源會指定您的主要區域和連結的區域 （如果有的話）。

您無法使用預設為停用 AWS 區域 的 做為您的主要區域。如需預設停用的區域清單，請參閱《》中的[啟用區域](https://docs.aws.amazon.com/general/latest/gr/rande-manage.html#rande-manage-enable)*AWS 一般參考*。

當您啟用跨區域彙總時，您可以選擇視需要指定一或多個連結區域。您也可以選擇在 Security Hub CSPM 開始支援區域，且您已選擇加入區域時，是否自動連結新區域。

------
#### [ Security Hub CSPM console ]

**啟用跨區域彙總**

1. 在 https：//[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) 開啟 AWS Security Hub CSPM 主控台。

1. 使用 AWS 區域 選擇器，登入您要用作彙總區域的 區域。

1. 在 Security Hub CSPM 導覽功能表中，選擇**設定**，然後選擇**區域**。

1. 針對**問題清單彙總**，選擇**設定問題清單彙總**。

   根據預設，主區域設定為**無彙總區域**。

1. 在**彙總區域**下，選取 選項，將目前區域指定為主要區域。

1. 或者，對於**連結的區域**，選取要從中彙總資料的區域。

1. 若要自動彙總分割區中新區域的資料，因為 Security Hub CSPM 支援它們並選擇加入它們，請選取**連結未來區域**。

1. 選擇**儲存**。

------
#### [ Security Hub CSPM API ]

從您要用作主區域的區域中，使用 Security Hub CSPM API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateFindingAggregator.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateFindingAggregator.html)的操作。如果您使用 AWS CLI，請執行 [create-finding-aggregator](https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-finding-aggregator.html) 命令。

針對 `RegionLinkingMode`，請選擇下列其中一種選項：
+ `ALL_REGIONS` – Security Hub CSPM 彙總來自所有區域的資料。Security Hub CSPM 也會彙總來自新區域的資料，因為它們受到支援且您選擇加入它們。
+ `ALL_REGIONS_EXCEPT_SPECIFIED` – Security Hub CSPM 會彙總所有區域的資料，但您想要排除的區域除外。Security Hub CSPM 也會彙總來自新區域的資料，因為它們受到支援且您選擇加入它們。使用 `Regions`提供要從彙總中排除的區域清單。
+ `SPECIFIED_REGIONS` – Security Hub CSPM 會從選取的區域清單中彙總資料。Security Hub CSPM 不會自動彙總來自新區域的資料。使用 `Regions`提供要從中彙總的區域清單。
+ `NO_REGIONS` – Security Hub CSPM 不會彙總資料，因為您未選取任何連結的區域。

下列範例會設定跨區域彙總。主要區域是美國東部 （維吉尼亞北部）。連結的區域是美國西部 （加利佛尼亞北部） 和美國西部 （奧勒岡）。此範例已針對 Linux、macOS 或 Unix 格式化，並使用反斜線 (\$1) 行接續字元來改善可讀性。

```
$ aws securityhub create-finding-aggregator --region us-east-1 --region-linking-mode SPECIFIED_REGIONS --regions us-west-1 us-west-2
```

------

# 檢閱跨區域彙總設定
<a name="finding-aggregation-view-config"></a>

**注意**  
*彙總區域*現在稱為*主區域*。有些 Security Hub CSPM API 操作仍會使用較舊的詞彙彙總區域。

您可以從任何 中檢視 AWS Security Hub CSPM 中目前的跨區域彙總組態 AWS 區域。組態包含主區域、連結的區域 （如果有的話），以及是否要在 Security Hub CSPM 支援時自動連結新區域。

成員帳戶可以檢視管理員帳戶設定的跨區域彙總設定。

選擇您偏好的方法，然後依照步驟檢視您目前的跨區域彙總設定。

------
#### [ Security Hub CSPM console ]

**檢視跨區域彙總設定 （主控台）**

1. 在 https：//[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) 開啟 AWS Security Hub CSPM 主控台。

1. 在導覽窗格中，選擇**設定**，然後選擇**區域**索引標籤。

如果未啟用跨區域彙總，則**區域**索引標籤會顯示啟用跨區域彙總的選項。只有管理員帳戶和獨立帳戶可以啟用跨區域彙總。

如果啟用跨區域彙總，則**區域**索引標籤會顯示下列資訊：
+ 主要區域
+ 是否自動彙總 Security Hub CSPM 支援且您選擇加入之新區域的調查結果、洞見、控制狀態和安全分數
+ 連結區域清單 （如果有選取）

------
#### [ Security Hub CSPM API ]

**若要檢閱跨區域彙總設定 (Security Hub CSPM API)**

使用 Security Hub CSPM API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindingAggregator.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindingAggregator.html)的操作。如果您使用 AWS CLI，請執行 [get-finding-aggregator](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-finding-aggregator.html) 命令。

當您提出請求時，請提供調查結果彙總器 ARN。若要取得問題清單彙總工具 ARN，請使用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListFindingAggregators.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListFindingAggregators.html)操作或 [list-finding-aggregators](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-finding-aggregators.html) 命令。

下列範例顯示指定調查結果彙總器 ARN 的跨區域彙總設定。此範例已針對 Linux、macOS 或 Unix 格式化，並使用反斜線 (\$1) 換行字元來改善可讀性

```
$aws securityhub get-finding-aggregator --finding-aggregator-arn arn:aws:securityhub:us-east-1:222222222222:finding-aggregator/123e4567-e89b-12d3-a456-426652340000
```

------

# 更新跨區域彙總設定
<a name="finding-aggregation-update"></a>

**注意**  
*彙總區域*現在稱為*主區域*。有些 Security Hub CSPM API 操作仍會使用較舊的詞彙彙總區域。

您可以透過變更連結區域或目前的主區域，在 AWS Security Hub CSPM 中更新目前的跨區域彙總設定。您也可以變更是否要從 AWS 區域 Security Hub CSPM 支援的新 自動彙總資料。

除非您在 中啟用區域，否則不會針對選擇加入區域實作跨區域彙總的變更 AWS 帳戶。在 2019 年 3 月 20 日當天或之後 AWS 推出的區域為選擇加入區域。

當您停止從連結區域彙總資料時， AWS Security Hub CSPM 不會從主要區域中可存取的該區域移除任何現有的彙總資料。

您無法使用本節中的更新程序來變更主要區域。若要變更主要區域，您必須執行下列動作：

1. 停止跨區域彙總。如需說明，請參閱[停止跨區域彙總](finding-aggregation-stop.md)。

1. 變更為您希望成為新主區域的 區域。

1. 啟用跨區域彙總。如需說明，請參閱[啟用跨區域彙總](finding-aggregation-enable.md)。

您必須從目前的主區域更新跨區域彙總組態。

------
#### [ Security Hub CSPM console ]

**變更連結的區域**

1. 在 https：//[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) 開啟 AWS Security Hub CSPM 主控台。

   登入目前的彙總區域。

1. 在 Security Hub CSPM 導覽功能表中，選擇**設定**，然後選擇**區域**。

1. 針對**問題清單彙總**，選擇**編輯**。

1. 針對**連結區域**，更新選取的連結區域。

1. 如有需要，請變更是否選取**連結未來區域**。此設定會決定 Security Hub CSPM 在新增支援區域時是否自動連結新區域，而且您可以選擇加入這些區域。

1. 選擇**儲存**。

------
#### [ Security Hub CSPM API ]

使用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateFindingAggregator.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateFindingAggregator.html)操作。如果您使用 AWS CLI，請執行 [update-finding-aggregator](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-finding-aggregator.html) 命令。若要識別問題清單彙總工具，您必須提供問題清單彙總工具 ARN。若要取得問題清單彙總工具 ARN，請使用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListFindingAggregators.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListFindingAggregators.html)操作或 [list-finding-aggregators](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-finding-aggregators.html) 命令。

如果連結模式是 `ALL_REGIONS_EXCEPT_SPECIFIED`或 `SPECIFIED_REGIONS`，您可以變更排除或包含區域的清單。如果您想要將區域連結模式變更為 `NO_REGIONS`，則不應提供區域清單。

當您變更排除或包含區域的清單時，您必須提供更新的完整清單。例如，假設您目前彙總了美國東部 （俄亥俄） 的問題清單，也想要彙總美國西部 （奧勒岡） 的問題清單。您必須提供包含美國東部 （俄亥俄） 和美國西部 （奧勒岡） 的`Regions`清單。

下列範例會將跨區域彙總更新為選取的區域。命令是從目前的主區域執行，也就是美國東部 （維吉尼亞北部）。連結的區域為美國西部 （加利佛尼亞北部） 和美國西部 （奧勒岡）。此範例已針對 Linux、macOS 或 Unix 格式化，並使用反斜線 (\$1) 行接續字元來改善可讀性。

```
aws securityhub update-finding-aggregator --region us-east-1 --finding-aggregator-arn arn:aws:securityhub:us-east-1:222222222222:finding-aggregator/123e4567-e89b-12d3-a456-426652340000 --region-linking-mode SPECIFIED_REGIONS --regions us-west-1 us-west-2
```

------

# 停止跨區域彙總
<a name="finding-aggregation-stop"></a>

**注意**  
*彙總區域*現在稱為*主區域*。有些 Security Hub CSPM API 操作仍會使用較舊的詞彙彙總區域。

如果您不希望 AWS Security Hub CSPM 彙總資料，您可以刪除問題清單彙總工具。或者，您可以將現有的彙總工具更新 AWS 區域 為連結模式，以保留問題清單彙總工具，但不能將任何 `NO_REGIONS`連結到主要區域。

若要變更您的主要區域，您必須刪除目前的問題清單彙總工具，並建立新的問題清單彙總工具。

當您刪除問題清單彙總工具時，Security Hub CSPM 會停止彙總資料。它不會從主要區域移除任何現有的彙總資料。

## 刪除問題清單彙總工具 （主控台）
<a name="finding-aggregation-stop-console"></a>

您只能從目前的主區域刪除問題清單彙總器。

在主區域以外的區域中，Security Hub CSPM 主控台上的**問題清單彙總**面板會顯示訊息，您必須編輯主區域中的組態。選擇此訊息以顯示切換至主要區域的連結。

------
#### [ Security Hub CSPM console ]

**停止跨區域彙總 （主控台）**

1. 開啟位於 https：//[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) 的 AWS Security Hub CSPM 主控台。

1. 確保您已登入目前的主區域。

1. 在 Security Hub CSPM 導覽功能表中，選擇**設定**，然後選擇**區域**。

1. 在**問題清單彙總**下，選擇**編輯**。

1. 在**彙總區域**下，選擇**無彙總區域**。

1. 選擇**儲存**。

1. 在確認對話方塊的確認欄位中，輸入 **Confirm**。

1. 選擇**確認**。

------
#### [ Security Hub CSPM API ]

使用 Security Hub CSPM API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DeleteFindingAggregator.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DeleteFindingAggregator.html)的操作。如果您使用的是 AWS CLI，請執行 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/delete-finding-aggregator.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/delete-finding-aggregator.html)命令。

若要識別要刪除的問題清單彙總工具，請提供問題清單彙總工具 ARN。若要取得問題清單彙總工具 ARN，請使用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListFindingAggregators.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListFindingAggregators.html)操作或 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-finding-aggregators.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-finding-aggregators.html)命令。

下列範例會刪除問題清單彙總工具。命令是從目前的主區域執行，也就是美國東部 （維吉尼亞北部）。此範例已針對 Linux、macOS 或 Unix 格式化，並使用反斜線 (\$1) 行接續字元來改善可讀性。

```
$aws securityhub delete-finding-aggregator arn:aws:securityhub:us-east-1:222222222222:finding-aggregator/123e4567-e89b-12d3-a456-426652340000 --region us-east-1
```

------