本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

在 Security Hub 管理系統管理員和成員帳戶

如果您的 AWS 環境有多個帳戶，您可以將使用 AWS Security Hub 的帳戶視為成員帳戶，並將其與單一系統管理員帳戶建立關聯。管理員可以監控您的整體安全狀況，並對成員帳戶採取允許的處理行動。管理員還可以大規模執行各種帳戶管理和管理任務，例如監控估計的使用成本和評估帳戶配額。

您可以通過兩種方式將成員帳戶與管理員建立關聯，方法是將 Security Hub 與 Security Hub 中的成員資格邀請整合 AWS Organizations 或手動傳送和接受成員資格邀請。

管理帳戶 AWS Organizations

AWS Organizations 是一項全球帳戶管理服務，可讓管理 AWS 員整合和管理多個帳戶 AWS 帳戶。它提供帳戶管理和合併帳單功能，旨在支援預算、安全性和合規性需求。它不收取額外費用，並且與多個集成 AWS 服務，包括 AWS Security Hub，Amazon Macie 和 Amazon GuardDuty。如需詳細資訊，請參閱《AWS Organizations 使用者指南》。

當您整合 Security Hub 和時 AWS Organizations，Organizations 管理帳戶會指定 Security Hub 委派的系統管理員。Security Hub 會自動在指定資訊安全中心的委派系統管理員帳戶 AWS 區域 中啟用。

指定委派的系統管理員之後，我們建議您使用中央設定來管理 Security Hub 中的帳戶。這是自訂 Security Hub 並確保組織適當安全性涵蓋範圍的最有效方法。

中央設定可讓委派的系統管理員跨多個組織帳戶和區域自訂 Security Hub，而不是依區域設定。您可以為整個組織建立組態策略，或為不同帳戶和建立不同的組態策略OUs。這些原則會指定在關聯帳戶中是否啟用或停用 Security Hub，以及啟用哪些安全性標準和控制項。

委派管理員可以將帳戶指定為集中管理或自我管理的帳戶。集中管理的帳戶只能由委派的系統管理員進行設定。自我管理帳戶可以指定自己的設定。

如果您未選擇加入中央設定，委派的系統管理員可以設定 Security Hub 的能力更有限，稱為本機組態。在本機組態下，委派的系統管理員可以在目前區域的新組織帳戶中，自動啟用 Security Hub 和預設安全性標準。但是，現有帳戶不會使用這些設定，因此在帳戶加入組織後可能會發生設定偏差。

除了這些新帳戶設定之外，本機組態是帳戶特定且特定於區域的設定。每個組織帳戶必須分別在每個區域中設定 Security Hub 服務、標準和控制項。本機設定也不支援使用設定原則。

透過邀請手動管理帳戶

如果您擁有獨立帳戶或未與 Organizations 整合，則必須在 Security Hub 中透過邀請手動管理成員帳戶。獨立帳戶無法與 Organizations 整合，因此必須以手動方式進行管理。如果您 future 新增其他帳戶，建議您整合 AWS Organizations 並使用中央設定。

當您使用手動帳戶管理時，您可以指定帳戶做為 Security Hub 管理員。管理員帳戶可以查看成員帳戶中的數據，並對成員帳戶發現項目採取某些操作。Security Hub 系統管理員邀請其他帳戶成為成員帳戶，而當潛在成員帳戶接受邀請時，就會建立系統管理員與成員關係。

手動帳號管理不支援使用設定原則。如果沒有組態原則，系統管理員就無法針對不同帳戶設定變數設定，以集中自訂 Security Hub。相反地，每個組織帳戶都必須在每個區域中個別啟用和設定 Security Hub。這可能會使您更加困難和耗時，以確保您使用 Security Hub 的所有帳戶和區域都有足夠的安全性涵蓋範圍。這也可能導致配置偏移，因為成員帳戶可以指定自己的設置，而無需管理員輸入。

若要透過邀請管理帳戶，請參閱在 Security Hub 中透過邀請管理帳戶。