本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# Security Hub CSPM 中管理員和成員帳戶允許的動作
管理員和成員帳戶可存取下表所述的 AWS Security Hub CSPM 動作。在表格中,這些值具有下列含義:
+ **任何 –** 帳戶可以對相同管理員下的任何成員帳戶執行 動作。
+ **目前 –** 帳戶只能為自己執行動作 (您目前登入的帳戶)。
+ **Dash –** 表示帳戶無法執行動作。
如表格中所述,允許的動作會根據您是否與 整合, AWS Organizations 以及組織使用的組態類型而有所不同。如需中央和本機組態之間差異的資訊,請參閱 [使用 管理帳戶 AWS Organizations](securityhub-accounts.md#securityhub-orgs-account-management-overview)。
Security Hub CSPM 不會將成員帳戶調查結果複製到管理員帳戶。在 Security Hub CSPM 中,所有調查結果都會擷取至特定帳戶的特定區域。在每個區域中,管理員帳戶可以檢視和管理該區域中成員帳戶的問題清單。
如果您設定彙總區域,管理員帳戶可以從複寫到彙總區域的連結區域中檢視和管理成員帳戶問題清單。如需跨區域彙總的詳細資訊,請參閱[跨區域彙總](https://docs.aws.amazon.com/securityhub/latest/userguide/finding-aggregation.html)。
下表指定管理員和成員帳戶的預設許可。您可以使用自訂 IAM 政策來進一步限制 Security Hub CSPM 功能和函數的存取。如需指引和範例,請參閱部落格文章將[ IAM 政策對齊 AWS Security Hub CSPM 的使用者角色](https://aws.amazon.com/blogs/security/aligning-iam-policies-to-user-personas-for-aws-security-hub/)。
## 如果您與 Organizations 整合並使用中央組態,則允許 動作
如果您與 Organizations 整合並使用中央組態,管理員和成員帳戶可以存取 Security Hub CSPM 動作,如下所示。
| Action | Security Hub CSPM 委派管理員帳戶 | 集中管理的成員帳戶 | 自我管理成員帳戶 |
| --- | --- | --- | --- |
| 建立和管理 Security Hub CSPM 組態政策 | 適用於自我和集中管理的帳戶 | – | – |
| 檢視組織帳戶 | 任何 | – | – |
| 取消關聯成員帳戶 | 任何 | – | – |
| 刪除成員帳戶 | 任何非組織帳戶 | – | – |
| 停用 Security Hub CSPM | 對於目前帳戶和集中管理帳戶 | – | 目前 (必須與管理員帳戶取消關聯) |
| 檢視問題清單和問題清單歷史記錄 | 任何 | Current | Current |
| 更新問題清單 | 任何 | Current | Current |
| 檢視洞見結果 | 任何 | Current | Current |
| 檢視控制項詳細資訊 | 任何 | Current | Current |
| 開啟或關閉合併控制問題清單 | 任何 | – | – |
| 啟用和停用標準 | 對於目前帳戶和集中管理帳戶 | – | Current |
| 啟用和停用控制項 | 對於目前帳戶和集中管理帳戶 | – | Current |
| 啟用和停用整合 | Current | Current | Current |
| 設定跨區域彙總 | 任何 | – | – |
| 選取主要區域和連結的區域 | 任何 (必須停止並重新啟動中央組態,才能變更主區域) | – | – |
| 設定自訂動作 | Current | Current | Current |
| 設定自動化規則 | 任何 | – | – |
| 設定自訂洞見 | Current | Current | Current |
## 如果您與 Organizations 整合並使用本機組態,則允許 動作
如果您與 Organizations 整合並使用本機組態,管理員和成員帳戶可以存取 Security Hub CSPM 動作,如下所示。
| Action | Security Hub CSPM 委派管理員帳戶 | 成員帳戶 |
| --- | --- | --- |
| 建立和管理 Security Hub CSPM 組態政策 | – | – |
| 檢視組織帳戶 | 任何 | – |
| 取消關聯成員帳戶 | 任何 | – |
| 刪除成員帳戶 | – | – |
| 停用 Security Hub CSPM | – | 目前 (如果帳戶與委派管理員取消關聯) |
| 檢視問題清單和問題清單歷史記錄 | 任何 | Current |
| 更新問題清單 | 任何 | Current |
| 檢視洞見結果 | 任何 | Current |
| 檢視控制項詳細資訊 | 任何 | Current |
| 開啟或關閉合併控制問題清單 | 任何 | – |
| 啟用和停用標準 | Current | Current |
| 在新的組織帳戶中自動啟用 Security Hub CSPM 和預設標準 | 對於目前帳戶和新組織帳戶 | – |
| 啟用和停用控制項 | Current | Current |
| 啟用和停用整合 | Current | Current |
| 設定跨區域彙總 | 任何 | – |
| 設定自訂動作 | Current | Current |
| 設定自動化規則 | 任何 | – |
| 設定自訂洞見 | Current | Current |
## 以邀請為基礎的帳戶的允許動作
如果您使用以邀請為基礎的方法來手動管理帳戶,而不是與 整合,管理員和成員帳戶可以存取 Security Hub CSPM 動作,如下所示 AWS Organizations。
| Action | Security Hub CSPM 管理員帳戶 | 成員帳戶 |
| --- | --- | --- |
| 建立和管理 Security Hub CSPM 組態政策 | – | – |
| 檢視組織帳戶 | 任何 | – |
| 取消關聯成員帳戶 | 任何 | Current |
| 刪除成員帳戶 | 任何 | – |
| 停用 Security Hub CSPM | 目前 (如果沒有啟用的成員帳戶) | 目前 (如果帳戶與管理員帳戶取消關聯) |
| 檢視問題清單和問題清單歷史記錄 | 任何 | Current |
| 更新問題清單 | 任何 | Current |
| 檢視洞見結果 | 任何 | Current |
| 檢視控制項詳細資訊 | 任何 | Current |
| 開啟或關閉合併控制問題清單 | 任何 | – |
| 啟用和停用標準 | Current | Current |
| 在新的組織帳戶中自動啟用 Security Hub CSPM 和預設標準 | – | – |
| 啟用和停用控制項 | Current | Current |
| 啟用和停用整合 | Current | Current |
| 設定跨區域彙總 | 任何 | – |
| 設定自訂動作 | Current | Current |
| 設定自動化規則 | 任何 | – |
| 設定自訂洞見 | Current | Current |