本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 在 Security Hub CSPM 中管理管理員和成員帳戶
如果您的 AWS 環境有多個帳戶,您可以將使用 AWS Security Hub CSPM 的帳戶視為成員帳戶,並將其與單一管理員帳戶建立關聯。管理員可以監控您的整體安全狀態,並對成員帳戶採取[允許的動作](securityhub-accounts-allowed-actions.md)。管理員也可以大規模執行各種帳戶管理和管理任務,例如監控預估用量成本和評估帳戶配額。
您可以透過兩種方式將 Security Hub CSPM 與管理員建立關聯, AWS Organizations 或在 Security Hub CSPM 中手動傳送和接受成員邀請。
## 使用 管理帳戶 AWS Organizations
AWS Organizations 是一種全域帳戶管理服務,可讓 AWS 管理員合併和管理多個 AWS 帳戶。它提供帳戶管理和合併帳單功能,旨在支援預算、安全和合規需求。它免費提供,並與多個 整合 AWS 服務,包括 AWS Security Hub CSPM、Amazon Macie 和 Amazon GuardDuty。如需詳細資訊,請參閱[「*AWS Organizations 使用者指南」*](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)。
當您整合 Security Hub CSPM 和 時 AWS Organizations, Organizations 管理帳戶會指定 Security Hub CSPM 委派管理員。Security Hub CSPM 會在 AWS 區域 指定的 中的委派管理員帳戶中自動啟用。
指定委派管理員之後,建議您使用[中央組態](central-configuration-intro.md)來管理 Security Hub CSPM 中的帳戶。這是自訂 Security Hub CSPM 並確保為您的組織提供足夠安全涵蓋範圍的最有效方法。
中央組態可讓委派管理員跨多個組織帳戶和區域自訂 Security Hub CSPM,而不是Region-by-Region設定。您可以為整個組織建立組態政策,或為不同的帳戶和 OUs 建立不同的組態政策。這些政策指定在關聯帳戶中啟用或停用 Security Hub CSPM,以及啟用了哪些安全標準和控制項。
委派管理員可以將帳戶指定為集中管理或自我管理。集中受管帳戶只能由委派管理員設定。自我管理帳戶可以指定自己的設定。
如果您不選擇加入中央組態,委派管理員具有更有限的能力來設定 Security Hub CSPM,稱為*本機組態*。在本機組態下,委派管理員可以在目前區域中的新組織帳戶中自動啟用 Security Hub CSPM 和[預設安全標準](securityhub-auto-enabled-standards.md)。不過,現有帳戶不會使用這些設定,因此組態偏離可能會在帳戶加入組織之後發生。
除了這些新帳戶設定之外,本機組態是帳戶特定和區域特定。每個組織帳戶都必須在每個區域中分別設定 Security Hub CSPM 服務、標準和控制項。本機組態也不支援使用組態政策。
## 透過邀請手動管理帳戶
如果您有獨立帳戶或未與 Organizations 整合,則必須在 Security Hub CSPM 中透過邀請手動管理成員帳戶。獨立帳戶無法與 Organizations 整合,因此需要手動管理它。如果您未來新增其他帳戶,建議您與 整合 AWS Organizations 並使用中央組態。
當您使用手動帳戶管理時,您可以將帳戶指定為 Security Hub CSPM 管理員。管理員帳戶可以檢視成員帳戶中的資料,並對成員帳戶調查結果採取特定動作。Security Hub CSPM 管理員邀請其他帳戶成為成員帳戶,並在潛在成員帳戶接受邀請時建立管理員成員關係。
手動帳戶管理不支援使用組態政策。如果沒有組態政策,管理員就無法透過設定不同帳戶的變數設定來集中自訂 Security Hub CSPM。相反地,每個組織帳戶都必須在每個區域中分別啟用和設定 Security Hub CSPM。這可能會讓確保您在使用 Security Hub CSPM 的所有帳戶和區域擁有足夠的安全涵蓋範圍變得更加困難和耗時。它也可能導致組態偏離,因為成員帳戶可以指定自己的設定,而無需管理員輸入。
若要依邀請管理帳戶,請參閱 [在 Security Hub CSPM 中透過邀請管理帳戶](account-management-manual.md)。
# 在 Security Hub CSPM 中管理多個帳戶的建議
下一節摘要說明在 AWS Security Hub CSPM 中管理成員帳戶時應謹記的一些限制和建議。
## 成員帳戶的數目上限
如果您使用 整合 AWS Organizations,Security Hub CSPM 在每個 中支援每個委派管理員帳戶最多 10,000 個成員帳戶 AWS 區域。如果您手動啟用和管理 Security Hub CSPM,Security Hub CSPM 支援每個區域中每個管理員帳戶最多 1,000 個成員帳戶邀請。
## 建立管理員成員關係
**注意**
如果您使用 Security Hub CSPM 整合 AWS Organizations,且尚未手動邀請任何成員帳戶,則本節不適用於您。
帳戶不能同時是管理員帳戶和成員帳戶。
成員帳戶只能與一個管理員帳戶建立關聯。如果組織帳戶由 Security Hub CSPM 管理員帳戶啟用,則帳戶無法接受來自另一個帳戶的邀請。如果帳戶已接受邀請,則組織的 Security Hub CSPM 管理員帳戶無法啟用該帳戶。它也無法接收來自其他帳戶的邀請。
對於手動邀請程序,接受成員資格邀請是選用的。
### 透過 成為成員 AWS Organizations
如果您將 Security Hub CSPM 與 整合 AWS Organizations,則 Organizations 管理帳戶可以為 Security Hub CSPM 指定委派管理員 (DA) 帳戶。組織管理帳戶無法在 Organizations 中設定為 DA。雖然 Security Hub CSPM 允許這樣做,但我們建議 Organizations 管理帳戶*不應*是 DA。
建議您在所有區域中選擇相同的 DA 帳戶。如果您使用[中央組態](central-configuration-intro.md),則 Security Hub CSPM 會在您為組織設定 Security Hub CSPM 的所有區域中設定相同的 DA 帳戶。
我們也建議您跨 AWS 安全與合規服務選擇相同的 DA 帳戶,協助您在單一面板中管理安全相關問題。
### 邀請加入
對於透過邀請建立的成員帳戶,管理員-成員帳戶關聯只會在傳送邀請的區域中建立。管理員帳戶必須在您要使用它的每個區域中啟用 Security Hub CSPM。管理員帳戶接著會邀請每個帳戶成為該區域中的成員帳戶。
**注意**
我們建議您使用 AWS Organizations 而非 Security Hub CSPM 邀請來管理您的成員帳戶。
## 協調跨 服務的管理員帳戶
Security Hub CSPM 彙總各種 AWS 服務的問題清單,例如 Amazon GuardDuty、Amazon Inspector 和 Amazon Macie。Security Hub CSPM 也允許使用者從 GuardDuty 調查結果進行樞紐分析,以在 Amazon Detective 中開始調查。
不過,您在這些其他服務中設定的管理員成員關係不會自動套用至 Security Hub CSPM。Security Hub CSPM 建議您在所有這些服務中使用與管理員帳戶相同的帳戶。此管理員帳戶應該是負責安全工具的帳戶。相同的帳戶也應該是 的彙總工具帳戶 AWS Config。
例如,GuardDuty 管理員帳戶 A 的使用者可以在 GuardDuty 主控台上查看 GuardDuty 成員帳戶 B 和 C 的問題清單。如果帳戶 A 接著啟用 Security Hub CSPM,帳戶 A 的使用者*不會*在 Security Hub CSPM 中自動查看帳戶 B 和 C 的 GuardDuty 調查結果。這些帳戶也需要 Security Hub CSPM 管理員成員關係。
若要這樣做,請將帳戶 A 設為 Security Hub CSPM 管理員帳戶,並讓帳戶 B 和 C 成為 Security Hub CSPM 成員帳戶。
# 使用 管理多個帳戶的 Security Hub CSPM AWS Organizations
您可以將 AWS Security Hub CSPM 與 整合 AWS Organizations,然後管理組織中帳戶的 Security Hub CSPM。
若要將 Security Hub CSPM 與 整合 AWS Organizations,您可以在其中建立組織 AWS Organizations。Organizations 管理帳戶會將一個帳戶指定為組織的 Security Hub CSPM 委派管理員。委派管理員接著可以為組織中的其他帳戶啟用 Security Hub CSPM,將這些帳戶新增為 Security Hub CSPM 成員帳戶,並對成員帳戶採取允許的動作。Security Hub CSPM 委派管理員最多可為 10,000 個成員帳戶啟用和管理 Security Hub CSPM。
委派管理員的組態功能範圍取決於您是否使用[中央組態](central-configuration-intro.md)。啟用中央組態後,您不需要在每個成員帳戶和 中分別設定 Security Hub CSPM AWS 區域。委派管理員可以跨區域在指定的成員帳戶和組織單位 (OUs) 中強制執行特定 Security Hub CSPM 設定。
Security Hub CSPM 委派管理員帳戶可以對成員帳戶執行下列動作:
+ 如果使用中央組態,請透過建立 Security Hub CSPM 組態政策,集中設定成員帳戶和 OUs 的 Security Hub CSPM。組態政策可用來啟用和停用 Security Hub CSPM、啟用和停用標準,以及啟用和停用控制項。
+ 加入組織時,自動將*新*帳戶視為 Security Hub CSPM 成員帳戶。如果您使用中央組態,則與 OU 相關聯的組態政策會包含屬於 OU 一部分的現有和新帳戶。
+ 將*現有的*組織帳戶視為 Security Hub CSPM 成員帳戶。如果您使用中央組態,則會自動發生這種情況。
+ 取消關聯屬於組織的成員帳戶。如果您使用中央組態,只有在將成員帳戶指定為自我管理之後,才能取消其關聯。或者,您可以將停用 Security Hub CSPM 的組態政策與特定集中管理的成員帳戶建立關聯。
如果您不選擇加入中央組態,您的組織會使用稱為本機組態的預設組態類型。在本機組態下,委派管理員在成員帳戶中強制執行設定的能力更有限。如需詳細資訊,請參閱[了解 Security Hub CSPM 中的本機組態](local-configuration.md)。
如需委派管理員可在成員帳戶上執行之動作的完整清單,請參閱 [Security Hub CSPM 中管理員和成員帳戶允許的動作](securityhub-accounts-allowed-actions.md)。
本節中的主題說明如何將 Security Hub CSPM 與 整合, AWS Organizations 以及如何管理組織中帳戶的 Security Hub CSPM。在相關的情況下,每個區段都會識別集中組態使用者的管理優點和差異。
**Topics**
+ [將 Security Hub CSPM 與 整合 AWS Organizations](designate-orgs-admin-account.md)
+ [在新的組織帳戶中自動啟用 Security Hub CSPM](accounts-orgs-auto-enable.md)
+ [在新的組織帳戶中手動啟用 Security Hub CSPM](orgs-accounts-enable.md)
+ [取消 Security Hub CSPM 成員帳戶與組織的關聯](accounts-orgs-disassociate.md)
# 將 Security Hub CSPM 與 整合 AWS Organizations
若要整合 AWS Security Hub CSPM 和 AWS Organizations,您可以在 Organizations 中建立組織,並使用組織管理帳戶來指定委派的 Security Hub CSPM 管理員帳戶。這可讓 Security Hub CSPM 成為 Organizations 中信任的服務。它還在委派管理員帳戶的目前 AWS 區域 中啟用 Security Hub CSPM,並允許委派管理員為成員帳戶啟用 Security Hub CSPM、檢視成員帳戶中的資料,以及在成員帳戶上執行其他[允許的動作](securityhub-accounts-allowed-actions.md)。
如果您使用[中央組態](central-configuration-intro.md),則委派管理員也可以建立 Security Hub CSPM 組態政策,指定如何在組織帳戶中設定 Security Hub CSPM 服務、標準和控制項。
## 建立組織
組織是您建立來合併 的實體, AWS 帳戶 讓您可以以單一單位管理它們。
您可以使用 AWS Organizations 主控台或使用來自 AWS CLI 或其中一個 SDK APIs命令來建立組織。如需詳細說明,請參閱*AWS Organizations 《 使用者指南*》中的[建立組織](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_create.html)。
您可以使用 AWS Organizations 集中檢視和管理組織內的所有帳戶。組織具有一個管理帳戶,以及零個或多個成員帳戶。您可以在階層式樹狀結構中組織帳戶,其根位於根目錄頂端,而組織單位 (OUs) 巢狀在根目錄下。每個帳戶可以直接在根目錄下,或放置在階層中的其中一個 OUs 中。OU 是特定帳戶的容器。例如,您可以建立財務 OU,其中包含與財務操作相關的所有帳戶。
## 選擇委派 Security Hub CSPM 管理員的建議
如果您擁有來自手動邀請程序的管理員帳戶,並正使用 轉換至帳戶管理 AWS Organizations,我們建議您將該帳戶指定為委派的 Security Hub CSPM 管理員。
雖然 Security Hub CSPM APIs 和主控台允許組織管理帳戶成為委派的 Security Hub CSPM 管理員,但我們建議您選擇兩個不同的帳戶。這是因為有權存取組織管理帳戶來管理帳單的使用者,可能與需要存取 Security Hub CSPM 以進行安全管理的使用者不同。
我們建議跨區域使用相同的委派管理員。如果您選擇加入中央組態,Security Hub CSPM 會自動在您的主要區域和任何連結區域中指定相同的委派管理員。
## 驗證設定委派管理員的許可
若要指定和移除委派的 Security Hub CSPM 管理員帳戶,組織管理帳戶必須具有 Security Hub CSPM 中 `EnableOrganizationAdminAccount`和 `DisableOrganizationAdminAccount`動作的許可。Organizations 管理帳戶也必須具有 Organizations 的管理許可。
若要授予所有必要的許可,請將下列 Security Hub CSPM 受管政策連接至組織管理帳戶的 IAM 主體:
+ [https://docs.aws.amazon.com/securityhub/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-awssecurityhubfullaccess](https://docs.aws.amazon.com/securityhub/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-awssecurityhubfullaccess)
+ [https://docs.aws.amazon.com/securityhub/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-awssecurityhuborganizationsaccess](https://docs.aws.amazon.com/securityhub/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-awssecurityhuborganizationsaccess)
## 指定委派管理員
若要指定委派的 Security Hub CSPM 管理員帳戶,您可以使用 Security Hub CSPM 主控台、Security Hub CSPM API 或 AWS CLI。Security Hub CSPM AWS 區域 只會在目前的 中設定委派管理員,您必須在其他區域中重複 動作。如果您開始使用中央組態,Security Hub CSPM 會自動在主要區域和連結區域中設定相同的委派管理員。
組織管理帳戶不需要啟用 Security Hub CSPM,即可指定委派的 Security Hub CSPM 管理員帳戶。
我們建議組織管理帳戶不是委派的 Security Hub CSPM 管理員帳戶。不過,如果您選擇組織管理帳戶做為 Security Hub CSPM 委派管理員,則管理帳戶必須啟用 Security Hub CSPM。如果管理帳戶未啟用 Security Hub CSPM,您必須手動為其啟用 Security Hub CSPM。無法自動為組織管理帳戶啟用 Security Hub CSPM。
您必須使用下列其中一種方法來指定委派的 Security Hub CSPM 管理員。使用 Organizations APIs 指定委派的 Security Hub CSPM 管理員不會反映在 Security Hub CSPM 中。
選擇您偏好的方法,然後依照步驟指定委派的 Security Hub CSPM 管理員帳戶。
------
#### [ Security Hub CSPM console ]
**在加入時指定委派管理員**
1. 在 https://[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) 開啟 AWS Security Hub CSPM 主控台。
1. 選擇**移至 Security Hub CSPM**。系統會提示您登入組織管理帳戶。
1. 在**指定委派管理員**頁面上,於**委派管理員帳戶**區段中,指定委派管理員帳戶。我們建議您選擇已為其他 AWS 安全與合規服務設定的相同委派管理員。
1. 選擇**設定委派管理員**。系統會提示您登入委派管理員帳戶 (如果您尚未登入),以繼續加入中央組態。如果您不想啟動中央組態,請選擇**取消**。您的委派管理員已設定,但您尚未使用中央組態。
**從**設定**頁面指定委派管理員**
1. 在 https://[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) 開啟 AWS Security Hub CSPM 主控台。
1. 在 Security Hub CSPM 導覽窗格中,選擇**設定**。然後選擇**一般**。
1. 如果目前已指派 Security Hub CSPM 管理員帳戶,則您必須先移除目前的帳戶,才能指定新帳戶。
在**委派管理員**下,若要移除目前帳戶,請選擇**移除**。
1. 輸入您要指定為 **Security Hub CSPM **管理員帳戶的帳戶 ID。
您必須在所有區域中指定相同的 Security Hub CSPM 管理員帳戶。如果您指定的帳戶與其他 區域中指定的帳戶不同,主控台會傳回錯誤。
1. 選擇**委派**。
------
#### [ Security Hub CSPM API, AWS CLI ]
從組織管理帳戶,使用 Security Hub CSPM API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_EnableOrganizationAdminAccount.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_EnableOrganizationAdminAccount.html)的操作。如果您使用的是 AWS CLI,請執行 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-organization-admin-account.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-organization-admin-account.html)命令。提供委派 Security Hub CSPM 管理員的 AWS 帳戶 ID。
下列範例會指定委派的 Security Hub CSPM 管理員。此範例已針對 Linux、macOS 或 Unix 格式化,並使用反斜線 (\$1) 行接續字元來改善可讀性。
```
$ aws securityhub enable-organization-admin-account --admin-account-id 123456789012
```
------
# 移除或變更委派管理員
只有組織管理帳戶可以移除委派的 Security Hub CSPM 管理員帳戶。
若要變更委派的 Security Hub CSPM 管理員,您必須先移除目前的委派管理員帳戶,然後指定新的管理員帳戶。
**警告**
當您使用[中央組態](central-configuration-intro.md)時,無法使用 Security Hub CSPM 主控台或 Security Hub CSPM APIs 來變更或移除委派的管理員帳戶。如果組織管理帳戶使用 AWS Organizations 主控台或 AWS Organizations APIs來變更或移除委派的 Security Hub CSPM 管理員,Security Hub CSPM 會自動停止中央組態,並刪除您的組態政策和政策關聯。成員帳戶會保留在委派管理員變更或移除之前所擁有的組態。
如果您使用 Security Hub CSPM 主控台移除一個區域中的委派管理員,則會在所有區域中自動移除。
Security Hub CSPM API 只會從發出 API 呼叫或命令的區域移除委派的 Security Hub CSPM 管理員帳戶。您必須在其他區域中重複 動作。
如果您使用 Organizations API 移除委派的 Security Hub CSPM 管理員帳戶,則會在所有區域中自動移除。
## 移除委派管理員 (Organizations API AWS CLI)
您可以使用 Organizations 移除所有區域中的委派 Security Hub CSPM 管理員。
如果您使用中央組態來管理帳戶,移除委派的管理員帳戶會導致刪除您的組態政策和政策關聯。成員帳戶會保留他們在委派管理員變更或移除之前所擁有的組態。不過,這些帳戶無法再由已移除的委派管理員帳戶管理。它們成為自我管理帳戶,必須在每個區域中分別設定。
選擇您偏好的方法,並依照指示移除委派的 Security Hub CSPM 管理員帳戶 AWS Organizations。
------
#### [ Organizations API, AWS CLI ]
**移除委派的 Security Hub CSPM 管理員**
從組織管理帳戶,使用 Organizations API [https://docs.aws.amazon.com/organizations/latest/APIReference/API_DeregisterDelegatedAdministrator.html](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DeregisterDelegatedAdministrator.html)的操作。如果您使用的是 AWS CLI,請執行 [deregister-delegated-administrator](https://docs.aws.amazon.com/cli/latest/reference/organizations/deregister-delegated-administrator.html) 命令。提供委派管理員的帳戶 ID,以及 Security Hub CSPM 的服務主體,也就是 `securityhub.amazonaws.com`。
下列範例會移除委派的 Security Hub CSPM 管理員。此範例已針對 Linux、macOS 或 Unix 格式化,並使用反斜線 (\$1) 行接續字元來改善可讀性。
```
$ aws organizations deregister-delegated-administrator --account-id 123456789012 --service-principal securityhub.amazonaws.com
```
------
## 移除委派管理員 (Security Hub CSPM 主控台)
您可以使用 Security Hub CSPM 主控台移除所有區域中的委派 Security Hub CSPM 管理員。
移除委派的 Security Hub CSPM 管理員帳戶時,成員帳戶會與移除的委派 Security Hub CSPM 管理員帳戶取消關聯。
成員帳戶中仍然啟用 Security Hub CSPM。它們會成為獨立帳戶,直到新的 Security Hub CSPM 管理員將其啟用為成員帳戶為止。
如果組織管理帳戶不是 Security Hub CSPM 中已啟用的帳戶,請使用**歡迎使用 Security Hub CSPM **頁面上的 選項。
**從**歡迎使用 Security Hub CSPM 頁面移除委派的 Security Hub CSPM** 管理員帳戶**
1. 在 https://[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) 開啟 AWS Security Hub CSPM 主控台。
1. 選擇**移至 Security Hub**。
1. 在**委派管理員**下,選擇**移除**。
如果組織管理帳戶是 **Security Hub** 中已啟用的帳戶,請使用**設定**頁面**一般**索引標籤上的 選項。
**從**設定**頁面移除委派的 Security Hub CSPM 管理員帳戶**
1. 在 https://[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) 開啟 AWS Security Hub CSPM 主控台。
1. 在 Security Hub CSPM 導覽窗格中,選擇**設定**。然後選擇**一般**。
1. 在**委派管理員**下,選擇**移除**。
## 移除委派管理員 (Security Hub CSPM API AWS CLI)
您可以使用 Security Hub CSPM API 或 Security Hub CSPM 操作 AWS CLI 來移除委派的 Security Hub CSPM 管理員。當您使用其中一種方法移除委派管理員時,只會在發出 API 呼叫或命令的區域中將其移除。Security Hub CSPM 不會更新其他區域,也不會移除其中的委派管理員帳戶 AWS Organizations。
選擇您偏好的方法,然後依照下列步驟,使用 Security Hub CSPM 移除委派的 Security Hub CSPM 管理員帳戶。
------
#### [ Security Hub CSPM API, AWS CLI ]
**移除委派的 Security Hub CSPM 管理員**
從組織管理帳戶,使用 Security Hub CSPM API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisableOrganizationAdminAccount.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisableOrganizationAdminAccount.html)的操作。如果您使用的是 AWS CLI,請執行 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/disable-organization-admin-account.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/disable-organization-admin-account.html)命令。提供委派 Security Hub CSPM 管理員的帳戶 ID。
下列範例會移除委派的 Security Hub CSPM 管理員。此範例已針對 Linux、macOS 或 Unix 格式化,並使用反斜線 (\$1) 行接續字元來改善可讀性。
```
$ aws securityhub disable-organization-admin-account --admin-account-id 123456789012
```
------
# 停用 Security Hub CSPM 與 整合 AWS Organizations
AWS Organizations 組織與 AWS Security Hub CSPM 整合後, Organizations 管理帳戶隨後可以停用整合。身為 Organizations 管理帳戶的使用者,您可以停用 Security Hub CSPM 的受信任存取權來執行此操作 AWS Organizations。
當您停用 Security Hub CSPM 的受信任存取時,會發生下列情況:
+ Security Hub CSPM 失去其信任服務的狀態 AWS Organizations。
+ Security Hub CSPM 委派管理員帳戶會失去所有 Security Hub CSPM 成員帳戶對 Security Hub CSPM 設定、資料和資源的存取權 AWS 區域。
+ 如果您使用的是[中央組態](central-configuration-intro.md),Security Hub CSPM 會自動停止將其用於您的組織。您的組態政策和政策關聯會遭到刪除。帳戶會保留在您停用受信任存取之前所擁有的組態。
+ 所有 Security Hub CSPM 成員帳戶都會成為獨立帳戶,並保留其目前的設定。如果已在一或多個區域中為成員帳戶啟用 Security Hub CSPM,則會繼續為這些區域中的帳戶啟用 Security Hub CSPM。啟用的標準和控制項也保持不變。您可以在每個帳戶和區域中分別變更這些設定。不過,帳戶不會再與任何區域中的委派管理員建立關聯。
如需停用受信任服務存取結果的詳細資訊,請參閱*AWS Organizations 《 使用者指南*》中的[將 AWS Organizations 與其他 AWS 服務](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html) 搭配使用。
若要停用受信任存取,您可以使用 AWS Organizations 主控台、Organizations API 或 AWS CLI。只有 Organizations 管理帳戶的使用者可以停用 Security Hub CSPM 的受信任服務存取。如需所需許可的詳細資訊,請參閱*AWS Organizations 《 使用者指南*》中的[停用受信任存取所需的許可](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html#orgs_trusted_access_disable_perms)。
在您停用受信任存取之前,建議您與組織的委派管理員合作,以停用成員帳戶中的 Security Hub CSPM,並清除這些帳戶中的 Security Hub CSPM 資源。
選擇您偏好的方法,並依照步驟停用 Security Hub CSPM 的受信任存取。
------
#### [ Organizations console ]
**停用 Security Hub CSPM 的受信任存取**
1. AWS 管理主控台 使用 AWS Organizations 管理帳戶的登入資料登入 。
1. 在 https://[https://console.aws.amazon.com/organizations/](https://console.aws.amazon.com/organizations/) 開啟 Organizations 主控台。
1. 在導覽窗格中,選擇**服務**。
1. 在**整合式服務**下,選擇 **AWS Security Hub CSPM**。
1. 選擇**停用受信任的存取**。
1. 確認您要停用信任的存取。
------
#### [ Organizations API ]
**停用 Security Hub CSPM 的受信任存取**
叫用 AWS Organizations API 的 [DisableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html) 操作。針對 `ServicePrincipal` 參數,指定 Security Hub CSPM 服務主體 (`securityhub.amazonaws.com`)。
------
#### [ AWS CLI ]
**停用 Security Hub CSPM 的受信任存取**
執行 AWS Organizations API 的 [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html) 命令。針對 `service-principal` 參數,指定 Security Hub CSPM 服務主體 (`securityhub.amazonaws.com`)。
**範例**:
```
aws organizations disable-aws-service-access --service-principal securityhub.amazonaws.com
```
------
# 在新的組織帳戶中自動啟用 Security Hub CSPM
當新帳戶加入您的組織時,它們會新增至 AWS Security Hub CSPM 主控台**帳戶**頁面上的清單。針對組織帳戶,**類型**為**依組織**。根據預設,新帳戶在加入組織時不會成為 Security Hub CSPM 成員。他們的狀態為**非成員**。委派的管理員帳戶可以自動將新帳戶新增為成員,並在這些帳戶加入組織時啟用 Security Hub CSPM。
**注意**
雖然您的 預設為 AWS 區域 啟用許多 AWS 帳戶,但您必須手動啟用特定區域。這些區域在本文件中稱為選擇加入區域。若要在選擇加入區域中的新帳戶中自動啟用 Security Hub CSPM,帳戶必須先啟用該區域。只有帳戶擁有者可以啟用選擇加入區域。如需選擇加入區域的詳細資訊,請參閱[指定 AWS 區域 您的帳戶可以使用哪些](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html)區域。
此程序會根據您使用的是中央組態 (建議) 或本機組態而有所不同。
## 自動啟用新的組織帳戶 (中央組態)
如果您使用[中央組態](central-configuration-intro.md),您可以透過建立啟用 Security Hub CSPM 的組態政策,在新的和現有的組織帳戶中自動啟用 Security Hub CSPM。然後,您可以將政策與組織根或特定組織單位 (OUs建立關聯。
如果您將啟用 Security Hub CSPM 的組態政策與特定 OU 建立關聯,Security Hub CSPM 會在屬於該 OU 的所有帳戶 (現有和新的) 中自動啟用。不屬於 OU 的新帳戶是自我管理的,不會自動啟用 Security Hub CSPM。如果您將啟用 Security Hub CSPM 的組態政策與根建立關聯,則會在加入組織的所有帳戶 (現有和新的) 中自動啟用 Security Hub CSPM。例外狀況是帳戶透過應用程式或繼承使用不同的政策,或自我管理。
在您的組態政策中,您也可以定義應該在 OU 中啟用哪些安全標準和控制項。若要產生已啟用標準的控制調查結果,OU 中的帳戶必須 AWS Config 已啟用並設定 以記錄必要的資源。如需 AWS Config 錄製的詳細資訊,請參閱[啟用和設定 AWS Config](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-prereq-config.html)。
如需建立組態政策的說明,請參閱 [建立和關聯組態政策](create-associate-policy.md)。
## 自動啟用新的組織帳戶 (本機組態)
當您使用本機組態並開啟預設標準的自動啟用時,Security Hub CSPM 會將*新的*組織帳戶新增為成員,並在目前區域中啟用 Security Hub CSPM。其他區域不受影響。此外,開啟自動啟用不會在*現有*組織帳戶中啟用 Security Hub CSPM,除非它們已新增為成員帳戶。
開啟自動啟用後,當新成員帳戶加入組織時,會為目前區域中的新成員帳戶啟用預設安全標準。預設標準是 AWS 基礎安全最佳實務 (FSBP) 和網際網路安全中心 (CIS) AWS Foundations Benchmark 1.2.0 版。您無法變更預設標準。如果您想要在整個組織中啟用其他標準,或啟用特定帳戶和 OUs 的標準,我們建議您使用中央組態。
若要產生預設標準 (和其他啟用的標準) 的控制調查結果,組織中的帳戶必須 AWS Config 啟用並設定 ,以記錄所需的資源。如需 AWS Config 錄製的詳細資訊,請參閱[啟用和設定 AWS Config](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-prereq-config.html)。
選擇您偏好的方法,並依照步驟在新的組織帳戶中自動啟用 Security Hub CSPM。這些指示僅適用於您使用本機組態的情況。
------
#### [ Security Hub CSPM console ]
**以 Security Hub CSPM 成員身分自動啟用新的組織帳戶**
1. 在 https://[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) 開啟 AWS Security Hub CSPM 主控台。
Sign 使用委派管理員帳戶的登入資料。
1. 在 Security Hub CSPM 導覽窗格中的設定下****,選擇**組態**。
1. 在**帳戶**區段中,開啟**自動啟用帳戶**。
------
#### [ Security Hub CSPM API ]
**以 Security Hub CSPM 成員身分自動啟用新的組織帳戶**
從委派管理員帳戶叫用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html) API。將 `AutoEnable` 欄位設定為 `true`,以在新的組織帳戶中自動啟用 Security Hub CSPM。
------
#### [ AWS CLI ]
**以 Security Hub CSPM 成員身分自動啟用新的組織帳戶**
從委派管理員帳戶執行 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html)命令。包含 `auto-enable` 參數,以在新的組織帳戶中自動啟用 Security Hub CSPM。
```
aws securityhub update-organization-configuration --auto-enable
```
------
# 在新的組織帳戶中手動啟用 Security Hub CSPM
如果您在新組織帳戶中加入組織時未自動啟用 Security Hub CSPM,則可以將這些帳戶新增為成員,並在他們加入組織後手動啟用 Security Hub CSPM。您還必須在 AWS 帳戶 之前與組織取消關聯的 中手動啟用 Security Hub CSPM。
**注意**
如果您使用[中央組態](central-configuration-intro.md),則本節不適用於您。如果您使用中央組態,則可以建立在指定的成員帳戶和組織單位 (OUs組態政策。您也可以在這些帳戶和 OUs 中啟用特定標準和控制項。
如果 Security Hub CSPM 已經是不同組織中的成員帳戶,則您無法在帳戶中啟用該帳戶。
您也無法在目前暫停的帳戶中啟用 Security Hub CSPM。如果您嘗試在暫停的帳戶中啟用服務,帳戶狀態會變更為**帳戶暫停**。
+ 如果帳戶未啟用 Security Hub CSPM,則會在該帳戶中啟用 Security Hub CSPM。除非您關閉預設安全標準,否則帳戶中也會啟用 AWS 基礎安全最佳實務 (FSBP) 標準和 CIS AWS Foundations Benchmark 1.2.0 版。
例外情況是 Organizations 管理帳戶。無法在 Organizations 管理帳戶中自動啟用 Security Hub CSPM。您必須先在 Organizations 管理帳戶中手動啟用 Security Hub CSPM,才能將其新增為成員帳戶。
+ 如果帳戶已啟用 Security Hub CSPM,Security Hub CSPM 不會對帳戶進行任何其他變更。它只會啟用 成員資格。
為了讓 Security Hub CSPM 產生控制調查結果,成員帳戶必須 AWS Config 啟用並設定 以記錄必要的資源。如需詳細資訊,請參閱[啟用並設定 AWS Config](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-prereq-config.html)。
選擇您偏好的方法,並依照步驟將組織帳戶啟用為 Security Hub CSPM 成員帳戶。
------
#### [ Security Hub CSPM console ]
**以 Security Hub CSPM 成員身分手動啟用組織帳戶**
1. 在 https://[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) 開啟 AWS Security Hub CSPM 主控台。
使用委派管理員帳戶的登入資料登入。
1. 在 Security Hub CSPM 導覽窗格中的設定下****,選擇**組態**。
1. 在**帳戶**清單中,選取您要啟用的每個組織帳戶。
1. 選擇**動作**,然後選擇**新增成員**。
------
#### [ Security Hub CSPM API ]
**以 Security Hub CSPM 成員身分手動啟用組織帳戶**
從委派管理員帳戶叫用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateMembers.html) API。針對每個要啟用的帳戶,提供帳戶 ID。
與手動邀請程序不同,當您叫用 `CreateMembers` 以啟用組織帳戶時,您不需要傳送邀請。
------
#### [ AWS CLI ]
**以 Security Hub CSPM 成員身分手動啟用組織帳戶**
從委派管理員帳戶執行 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-members.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-members.html)命令。針對每個要啟用的帳戶,提供帳戶 ID。
與手動邀請程序不同,當您執行 `create-members` 以啟用組織帳戶時,您不需要傳送邀請。
```
aws securityhub create-members --account-details '[{"AccountId": ""}]'
```
**範例**
```
aws securityhub create-members --account-details '[{"AccountId": "123456789111"}, {"AccountId": "123456789222"}]'
```
------
# 取消 Security Hub CSPM 成員帳戶與組織的關聯
若要停止接收和檢視 Security AWS Hub CSPM 成員帳戶的問題清單,您可以取消成員帳戶與組織的關聯。
**注意**
如果您使用[中央組態](central-configuration-intro.md),取消關聯的運作方式會有所不同。您可以建立組態政策,在一或多個集中管理的成員帳戶中停用 Security Hub CSPM。之後,這些帳戶仍然是組織的一部分,但不會產生 Security Hub CSPM 調查結果。如果您使用中央組態,但也有手動邀請的成員帳戶,您可以取消一個或多個手動邀請帳戶的關聯。
使用 管理的成員帳戶 AWS Organizations 無法取消其帳戶與管理員帳戶的關聯。只有管理員帳戶可以取消成員帳戶的關聯。
取消成員帳戶的關聯不會關閉帳戶。相反地,它會從組織中移除成員帳戶。取消關聯的成員帳戶會成為獨立 AWS 帳戶 帳戶,不再由 Security Hub CSPM 整合管理 AWS Organizations。
選擇您偏好的方法,並依照步驟取消成員帳戶與組織的關聯。
------
#### [ Security Hub CSPM console ]
**取消成員帳戶與組織的關聯**
1. 在 https://[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) 開啟 AWS Security Hub CSPM 主控台。
使用委派管理員帳戶的登入資料登入。
1. 在導覽窗格中的設定下****,選擇**組態**。
1. 在**帳戶**區段中,選取您要取消關聯的帳戶。如果您使用中央組態,則可以選取要與`Invitation accounts`標籤取消關聯的手動邀請帳戶。只有在您使用中央組態時,才會顯示此標籤。
1. 選擇**動作**,然後選擇**取消關聯帳戶**。
------
#### [ Security Hub CSPM API ]
**取消成員帳戶與組織的關聯**
從委派的管理員帳戶叫用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisassociateMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisassociateMembers.html) API。您必須提供要取消關聯的成員帳戶的 AWS 帳戶 IDs。若要檢視成員帳戶清單,請叫用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListMembers.html) API。
------
#### [ AWS CLI ]
**取消成員帳戶與組織的關聯**
從委派的管理員帳戶執行 [ >`disassociate-members`](https://docs.aws.amazon.com/cli/latest/reference/securityhub/disassociate-members.html) 命令。您必須提供要取消關聯的成員帳戶的 AWS 帳戶 IDs。若要檢視成員帳戶清單,請執行 [ >`list-members`](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-members.html) 命令。
```
aws securityhub disassociate-members --account-ids ""
```
**範例**
```
aws securityhub disassociate-members --account-ids "123456789111" "123456789222"
```
------
您也可以使用 AWS Organizations 主控台 AWS CLI或 AWS SDKs取消成員帳戶與組織的關聯。如需詳細資訊,請參閱*AWS Organizations 《 使用者指南*》中的[從您的組織移除成員帳戶](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_remove.html)。
# 在 Security Hub CSPM 中透過邀請管理帳戶
您可以透過兩種方式集中管理多個 AWS Security Hub CSPM 帳戶,方法是將 Security Hub CSPM 與 整合, AWS Organizations 或手動傳送和接受成員資格邀請。如果您有獨立帳戶或未與 整合,則必須使用手動程序 AWS Organizations。在手動帳戶管理中,Security Hub CSPM 管理員會邀請帳戶成為成員。當潛在成員接受邀請時,會建立管理員成員關係。Security Hub CSPM 管理員帳戶可以為最多 1,000 個以邀請為基礎的成員帳戶管理 Security Hub CSPM。
**注意**
如果您在 Security Hub CSPM 中建立以邀請為基礎的組織,您之後可以改為[使用 。 AWS Organizations](accounts-transition-to-orgs.md)如果您有多個成員帳戶,我們建議您使用 AWS Organizations 而非 Security Hub CSPM 邀請來管理您的成員帳戶。如需相關資訊,請參閱[使用 管理多個帳戶的 Security Hub CSPM AWS Organizations](securityhub-accounts-orgs.md)。
跨區域彙總問題清單和其他資料可供您透過手動邀請程序邀請的帳戶使用。不過,管理員必須邀請成員帳戶來自彙總區域和所有連結區域,才能跨區域彙總運作。此外,成員帳戶必須在彙總區域和所有連結區域中啟用 Security Hub CSPM,讓管理員能夠檢視成員帳戶中的問題清單。
手動邀請的成員帳戶不支援組態政策。相反地,當您使用手動邀請程序 AWS 區域 時,您必須在每個成員帳戶中分別設定 Security Hub CSPM 設定。
對於不屬於您組織的帳戶,您還必須使用以邀請為基礎的手動程序。例如,您可能不會在組織中包含測試帳戶。或者,您可能想要將來自多個組織的帳戶合併到單一 Security Hub CSPM 管理員帳戶下。Security Hub CSPM 管理員帳戶必須將邀請傳送給屬於其他組織的帳戶。
在 Security Hub CSPM 主控台的**組態**頁面上,透過邀請新增的帳戶會列在**邀請帳戶**索引標籤中。如果您使用[中央組態](central-configuration-intro.md),但也邀請組織外部的帳戶,您可以在此索引標籤中檢視邀請型帳戶的問題清單。不過,Security Hub CSPM 管理員無法透過使用組態政策跨區域設定邀請型帳戶。
本節中的主題說明如何透過邀請管理成員帳戶。
**Topics**
+ [在 Security Hub CSPM 中新增和邀請成員帳戶](securityhub-accounts-add-invite.md)
+ [回應成為 Security Hub CSPM 成員帳戶的邀請](securityhub-invitation-respond.md)
+ [在 Security Hub CSPM 中取消關聯成員帳戶](securityhub-disassociate-members.md)
+ [在 Security Hub CSPM 中刪除成員帳戶](securityhub-delete-member-accounts.md)
+ [取消與 Security Hub CSPM 管理員帳戶的關聯](securityhub-disassociate-from-admin.md)
+ [轉移至 Organizations 以在 Security Hub CSPM 中管理帳戶](accounts-transition-to-orgs.md)
# 在 Security Hub CSPM 中新增和邀請成員帳戶
**注意**
我們建議您使用 AWS Organizations 而非 Security Hub CSPM 邀請來管理您的成員帳戶。如需相關資訊,請參閱[使用 管理多個帳戶的 Security Hub CSPM AWS Organizations](securityhub-accounts-orgs.md)。
您的帳戶會成為接受您邀請成為 AWS Security Hub CSPM 成員帳戶之帳戶的 Security Hub CSPM 管理員。
當您接受來自另一個帳戶的邀請時,您的帳戶會成為成員帳戶,而該帳戶會成為您的管理員。
如果您的帳戶是管理員帳戶,則無法接受成為成員帳戶的邀請。
新增成員帳戶包含下列步驟:
1. 管理員帳戶會將成員帳戶新增至其成員帳戶清單。
1. 管理員帳戶會傳送邀請給成員帳戶。
1. 成員帳戶接受邀請。
## 新增成員帳戶
從 Security Hub CSPM 主控台,您可以將帳戶新增至成員帳戶清單。在 Security Hub CSPM 主控台中,您可以個別選取帳戶,或上傳包含帳戶資訊`.csv`的檔案。
對於每個帳戶,您必須提供帳戶 ID 和電子郵件地址。電子郵件地址應該是帳戶安全性問題時要聯絡的電子郵件地址。它不會用來驗證帳戶。
選擇您偏好的方法,然後依照步驟新增成員帳戶。
------
#### [ Security Hub CSPM console ]
**將帳戶新增至成員帳戶清單**
1. 在 https://[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) 開啟 AWS Security Hub CSPM 主控台。
使用管理員帳戶的登入資料登入。
1. 在左側窗格中,選擇 **Settings (設定)**。
1. 在**設定**頁面上,選擇**帳戶**,然後選擇**新增帳戶**。然後,您可以個別新增帳戶或上傳包含帳戶清單`.csv`的檔案。
1. 若要選取帳戶,請執行下列其中一項操作:
+ 若要個別新增帳戶,**請在輸入帳戶**下,輸入要新增的帳戶 ID 和電子郵件地址,然後選擇**新增**。
為每個帳戶重複此程序。
+ 若要使用逗號分隔值 (.csv) 檔案來新增多個帳戶,請先建立 檔案。檔案必須包含要新增的每個帳戶的帳戶 ID 和電子郵件地址。
在您的`.csv`清單中,帳戶必須每行顯示一個。`.csv` 檔案的第一行必須包含 標頭。在 標頭中,第一欄是 **Account ID**,第二欄是 **Email**。
後續每行都必須包含要新增帳戶的有效帳戶 ID 和電子郵件地址。
以下是在文字編輯器中檢視時`.csv`的檔案範例。
```
Account ID,Email
111111111111,user@example.com
```
在試算表程式中,欄位會顯示在不同的欄中。基礎格式仍以逗號分隔。您必須將帳戶 IDs 格式化為非小數。例如,帳戶 ID 444455556666 無法格式化為 444455556666.0。此外,請確定數字格式不會從帳戶 ID 中移除任何前導零。
若要選取檔案,請在主控台上選擇**上傳清單 (.csv)**。然後選擇**瀏覽**。
選取檔案後,選擇**新增帳戶**。
1. 完成新增帳戶後,**在要新增的帳戶**下,選擇**下一步**。
------
#### [ Security Hub CSPM API ]
**將帳戶新增至成員帳戶清單**
從管理員帳戶叫用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateMembers.html) API。對於要新增的每個成員帳戶,您必須提供 AWS 帳戶 ID。
------
#### [ AWS CLI ]
**將帳戶新增至成員帳戶清單**
從管理員帳戶執行 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-members.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-members.html)命令。對於要新增的每個成員帳戶,您必須提供 AWS 帳戶 ID。
```
aws securityhub create-members --account-details '[{"AccountId": ""}]'
```
**範例**
```
aws securityhub create-members --account-details '[{"AccountId": "123456789111"}, {"AccountId": "123456789222"}]'
```
------
## 邀請成員帳戶
新增成員帳戶後,您會傳送邀請給成員帳戶。您也可以將邀請重新傳送至與管理員取消關聯的帳戶。
------
#### [ Security Hub CSPM console ]
**邀請潛在成員帳戶**
1. 在 https://[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) 開啟 AWS Security Hub CSPM 主控台。
使用管理員帳戶的登入資料登入。
1. 在導覽窗格中,選擇**設定**,然後選擇**帳戶**。
1. 對於要邀請的帳戶,請在**狀態**欄中選擇**邀請**。
1. 出現確認提示時,請選擇**邀請**。
**注意**
若要重新傳送取消關聯帳戶的邀請,請在**帳戶**頁面上選取每個取消關聯的帳戶。針對**動作**,選擇**重新傳送邀請**。
------
#### [ Security Hub CSPM API ]
**邀請潛在成員帳戶**
從管理員帳戶叫用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_InviteMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_InviteMembers.html) API。對於每個要邀請的帳戶,您必須提供 AWS 帳戶 ID。
------
#### [ AWS CLI ]
**邀請潛在成員帳戶**
從管理員帳戶執行 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/invite-members.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/invite-members.html)命令。對於每個要邀請的帳戶,您必須提供 AWS 帳戶 ID。
```
aws securityhub invite-members --account-ids
```
**範例**
```
aws securityhub invite-members --account-ids "123456789111" "123456789222"
```
------
# 回應成為 Security Hub CSPM 成員帳戶的邀請
**注意**
我們建議您使用 AWS Organizations 而非 Security Hub CSPM 邀請來管理您的成員帳戶。如需相關資訊,請參閱[使用 管理多個帳戶的 Security Hub CSPM AWS Organizations](securityhub-accounts-orgs.md)。
您可以接受或拒絕成為 AWS Security Hub CSPM 成員帳戶的邀請。
如果您接受邀請,您的帳戶會成為 Security Hub CSPM 成員帳戶。傳送邀請的帳戶會成為您的 Security Hub CSPM 管理員帳戶。管理員帳戶使用者可以在 Security Hub CSPM 中檢視成員帳戶的調查結果。
如果您拒絕邀請,則您的 帳戶會在管理員帳戶的成員帳戶清單中標記為**已撤銷**。
您只能接受一個成為成員帳戶的邀請。
您必須先啟用 Security Hub CSPM,才能接受或拒絕邀請。
請記住,所有 Security Hub CSPM 帳戶必須 AWS Config 已啟用並設定為記錄所有資源。如需 需求的詳細資訊 AWS Config,請參閱[啟用和設定 AWS Config](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-prereq-config.html)。
## 接受邀請
您可以從管理員帳戶傳送成為 Security Hub CSPM 成員帳戶的邀請。然後,您可以在登入成員帳戶後接受邀請。
選擇您偏好的方法,並依照步驟接受成為成員帳戶的邀請。
------
#### [ Security Hub CSPM console ]
**接受成員資格邀請**
1. 在 https://[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) 開啟 AWS Security Hub CSPM 主控台。
1. 在導覽窗格中,選擇**設定**,然後選擇**帳戶**。
1. 在**管理員帳戶**區段中,開啟**接受**,然後選擇**接受邀請**。
------
#### [ Security Hub CSPM API ]
**接受成員資格邀請**
叫用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AcceptAdministratortInvitation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AcceptAdministratortInvitation.html) API。您必須提供邀請識別符和管理員帳戶的 AWS 帳戶 ID。若要擷取邀請的詳細資訊,請使用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListInvitations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListInvitations.html)操作。
------
#### [ AWS CLI ]
**接受成員資格邀請**
執行 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/accept-administrator-invitation.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/accept-administrator-invitation.html) 命令。您必須提供邀請識別符和管理員帳戶的 AWS 帳戶 ID。若要擷取邀請的詳細資訊,請執行 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-invitations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-invitations.html)命令。
```
aws securityhub accept-administrator-invitation --administrator-id --invitation-id
```
**範例**
```
aws securityhub accept-administrator-invitation --administrator-id 123456789012 --invitation-id 7ab938c5d52d7904ad09f9e7c20cc4eb
```
------
**注意**
Security Hub CSPM 主控台會繼續使用 `AcceptInvitation`。它最終會變更為使用 `AcceptAdministratorInvitation`。任何專門控制此函數存取的 IAM 政策都必須繼續使用 `AcceptInvitation`。您也應該將 `AcceptAdministratorInvitation` 新增至政策,以確保在主控台開始使用 之後,具有正確的許可`AcceptAdministratorInvitation`。
## 拒絕邀請
您可以拒絕成為 Security Hub CSPM 成員帳戶的邀請。當您在 Security Hub CSPM 主控台拒絕邀請時,您的 帳戶會在管理員帳戶的成員帳戶清單中標示為**已簽署**。只有在您使用管理員帳戶登入 Security Hub CSPM 主控台時,才會顯示**已退出**狀態。不過,在您登入管理員帳戶並刪除邀請之前,成員帳戶的 主控台中的邀請保持不變。
若要拒絕邀請,您必須登入收到邀請的成員帳戶。
選擇您偏好的方法,並依照步驟拒絕成為成員帳戶的邀請。
------
#### [ Security Hub CSPM console ]
**拒絕成員資格邀請**
1. 在 https://[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) 開啟 AWS Security Hub CSPM 主控台。
1. 在導覽窗格中,選擇**設定**,然後選擇**帳戶**。
1. 在**管理員帳戶**區段中,選擇**拒絕邀請**。
------
#### [ Security Hub CSPM API ]
**拒絕成員資格邀請**
叫用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DeclineInvitations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DeclineInvitations.html) API。您必須提供發出邀請的管理員帳戶的 AWS 帳戶 ID。若要檢視邀請的相關資訊,請使用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListInvitations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListInvitations.html)操作。
------
#### [ AWS CLI ]
**拒絕成員資格邀請**
執行 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/decline-invitations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/decline-invitations.html) 命令。您必須提供發出邀請的管理員帳戶的 AWS 帳戶 ID。若要檢視邀請的相關資訊,請執行 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-invitations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-invitations.html)命令。
```
aws securityhub decline-invitations --account-ids ""
```
**範例**
```
aws securityhub decline-invitations --account-ids "123456789012"
```
------
# 在 Security Hub CSPM 中取消關聯成員帳戶
**注意**
我們建議您使用 AWS Organizations 而非 Security Hub CSPM 邀請來管理您的成員帳戶。如需相關資訊,請參閱[使用 管理多個帳戶的 Security Hub CSPM AWS Organizations](securityhub-accounts-orgs.md)。
AWS Security Hub CSPM 管理員帳戶可以取消成員帳戶的關聯,以停止從該帳戶接收和檢視問題清單。您必須先取消成員帳戶的關聯,才能將其刪除。
當您取消關聯成員帳戶時,其會保留在您的成員帳戶清單中,狀態為**已移除 (已取消關聯)**。您的帳戶已從成員帳戶的管理員帳戶資訊中移除。
若要繼續接收帳戶的調查結果,您可以重新傳送邀請。若要完全移除成員帳戶,您可以刪除成員帳戶。
選擇您偏好的方法,並依照步驟取消手動邀請的成員帳戶與管理員帳戶的關聯。
------
#### [ Security Hub CSPM console ]
**取消手動邀請成員帳戶的關聯**
1. 在 https://[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) 開啟 AWS Security Hub CSPM 主控台。
使用管理員帳戶的登入資料登入。
1. 在導覽窗格中的設定下****,選擇**組態**。
1. 在**帳戶**區段中,選取您要取消關聯的帳戶。
1. 選擇**動作**,然後選擇**取消關聯帳戶**。
------
#### [ Security Hub CSPM API ]
**取消手動邀請成員帳戶的關聯**
從管理員帳戶叫用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisassociateMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisassociateMembers.html) API。您必須提供您要取消關聯的成員帳戶的 AWS 帳戶 IDs。若要檢視成員帳戶清單,請使用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListMembers.html)操作。
------
#### [ AWS CLI ]
**取消手動邀請成員帳戶的關聯**
從管理員帳戶執行 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/disassociate-members.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/disassociate-members.html)命令。您必須提供您要取消關聯的成員帳戶的 AWS 帳戶 IDs。若要檢視成員帳戶清單,請執行 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-members.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-members.html)命令。
```
aws securityhub disassociate-members --account-ids
```
**範例**
```
aws securityhub disassociate-members --account-ids "123456789111" "123456789222"
```
------
# 在 Security Hub CSPM 中刪除成員帳戶
**注意**
我們建議您使用 AWS Organizations 而非 Security Hub CSPM 邀請來管理您的成員帳戶。如需相關資訊,請參閱[使用 管理多個帳戶的 Security Hub CSPM AWS Organizations](securityhub-accounts-orgs.md)。
作為 AWS Security Hub CSPM 管理員帳戶,您可以刪除透過邀請新增的成員帳戶。您必須先取消關聯,才能刪除已啟用的帳戶。
當您刪除成員帳戶時,該帳戶會從清單中完全移除。若要還原帳戶的成員資格,您必須新增並再次邀請該帳戶,就好像是全新的成員帳戶一樣。
您無法刪除屬於組織且使用 整合管理的帳戶 AWS Organizations。
選擇您偏好的方法,然後依照步驟刪除手動邀請的成員帳戶。
------
#### [ Security Hub CSPM console ]
**刪除手動邀請的成員帳戶**
1. 在 https://[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) 開啟 AWS Security Hub CSPM 主控台。
使用管理員帳戶登入。
1. 在導覽窗格中,選擇**設定**,然後選擇**組態**。
1. 選擇**邀請帳戶**索引標籤。然後,選取要刪除的帳戶。
1. 選擇**動作**,然後選擇**刪除**。只有在您取消關聯帳戶時,才能使用此選項。您必須先取消關聯成員帳戶,才能將其刪除。
------
#### [ Security Hub CSPM API ]
**刪除手動邀請的成員帳戶**
從管理員帳戶叫用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DeleteMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DeleteMembers.html) API。您必須提供要刪除之成員帳戶的 AWS 帳戶 IDs。若要擷取成員帳戶清單,請叫用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListMembers.html) API。
------
#### [ AWS CLI ]
**刪除手動邀請的成員帳戶**
從管理員帳戶執行 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/delete-members.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/delete-members.html)命令。您必須提供要刪除之成員帳戶的 AWS 帳戶 IDs。若要擷取成員帳戶的清單,請執行 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-members.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-members.html)命令。
```
aws securityhub delete-members --account-ids
```
**範例**
```
aws securityhub delete-members --account-ids "123456789111" "123456789222"
```
------
# 取消與 Security Hub CSPM 管理員帳戶的關聯
**注意**
我們建議您使用 AWS Organizations 而非 Security Hub CSPM 邀請來管理您的成員帳戶。如需相關資訊,請參閱[使用 管理多個帳戶的 Security Hub CSPM AWS Organizations](securityhub-accounts-orgs.md)。
如果您的帳戶透過邀請新增為 AWS Security Hub CSPM 成員帳戶,您可以取消成員帳戶與管理員帳戶的關聯。取消關聯成員帳戶之後,Security Hub CSPM 不會將問題清單從帳戶傳送到管理員帳戶。
使用 整合管理的成員帳戶 AWS Organizations 無法取消其帳戶與管理員帳戶的關聯。只有 Security Hub CSPM 委派管理員可以取消與 Organizations 管理的成員帳戶關聯。
當您取消與管理員帳戶的關聯時,您的帳戶會保留在管理員帳戶的成員清單中,狀態為**已撤銷**。不過,管理員帳戶不會收到您帳戶的任何調查結果。
在您將自己與管理員帳戶取消關聯之後,成為成員的邀請仍然存在。您可以在未來再次接受邀請。
------
#### [ Security Hub CSPM console ]
**取消與管理員帳戶的關聯**
1. 在 https://[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) 開啟 AWS Security Hub CSPM 主控台。
1. 在導覽窗格中,選擇**設定**,然後選擇**帳戶**。
1. 在**管理員帳戶**區段中,關閉**接受**,然後選擇**更新**。
------
#### [ Security Hub CSPM API ]
**取消與管理員帳戶的關聯**
叫用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisassociateFromAdministratorAccount.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisassociateFromAdministratorAccount.html) API。
------
#### [ AWS CLI ]
**取消與管理員帳戶的關聯**
執行 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/disassociate-from-administrator-account.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/disassociate-from-administrator-account.html) 命令。
```
aws securityhub disassociate-from-administrator-account
```
------
**注意**
Security Hub CSPM 主控台會繼續使用 `DisassociateFromMasterAccount`。它最終會變更為使用 `DisassociateFromAdministratorAccount`。任何專門控制此函數存取的 IAM 政策都必須繼續使用 `DisassociateFromMasterAccount`。您也應該`DisassociateFromAdministratorAccount`將 新增至政策,以確保在主控台開始使用 之後,具有正確的許可`DisassociateFromAdministratorAccount`。
# 轉移至 Organizations 以在 Security Hub CSPM 中管理帳戶
當您在 AWS Security Hub CSPM 中手動管理帳戶時,您必須邀請潛在成員帳戶,並在每個帳戶中分別設定每個成員帳戶 AWS 區域。
透過整合 Security Hub CSPM 和 AWS Organizations,您可以消除傳送邀請的需求,並進一步控制 Security Hub CSPM 在組織中的設定和自訂方式。因此,我們建議您使用 AWS Organizations 而非 Security Hub CSPM 邀請來管理您的成員帳戶。如需相關資訊,請參閱[使用 管理多個帳戶的 Security Hub CSPM AWS Organizations](securityhub-accounts-orgs.md)。
您可以使用使用 AWS Organizations 整合的合併方法,但也可以手動邀請組織外部的帳戶。不過,我們建議僅使用 Organizations 整合。[中央組態](central-configuration-intro.md)是一項可協助您跨多個帳戶和區域管理 Security Hub CSPM 的功能,只有在您與 Organizations 整合時才能使用。
本節說明如何從以邀請為基礎的手動帳戶管理轉換到使用 管理帳戶 AWS Organizations。
## 將 Security Hub CSPM 與 整合 AWS Organizations
首先,您必須整合 Security Hub CSPM 和 AWS Organizations。
您可以透過完成下列步驟來整合這些服務:
+ 在 中建立組織 AWS Organizations。如需說明,請參閱*AWS Organizations 《 使用者指南*》中的[建立組織](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_create.html#create-org)。
+ 從 Organizations 管理帳戶,指定 Security Hub CSPM 委派管理員帳戶。
**注意**
組織管理帳戶*無法*設定為 DA 帳戶。
如需詳細說明,請參閱 [將 Security Hub CSPM 與 整合 AWS Organizations](designate-orgs-admin-account.md)。
透過完成上述步驟,您授予 Security Hub CSPM 的[受信任存取權](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-securityhub.html#integrate-enable-ta-securityhub) AWS Organizations。這也 AWS 區域 會在委派管理員帳戶的目前 中啟用 Security Hub CSPM。
委派管理員可以在 Security Hub CSPM 中管理組織,主要是透過將組織的帳戶新增為 Security Hub CSPM 成員帳戶。管理員也可以存取這些帳戶的特定 Security Hub CSPM 設定、資料和資源。
當您使用 Organizations 轉換為帳戶管理時,邀請型帳戶不會自動成為 Security Hub CSPM 成員。只有您新增至新組織的帳戶才能成為 Security Hub CSPM 成員。
啟用整合之後,您可以使用 Organizations 管理帳戶。如需相關資訊,請參閱[使用 管理多個帳戶的 Security Hub CSPM AWS Organizations](securityhub-accounts-orgs.md)。帳戶管理會根據組織的組態類型而有所不同。
# Security Hub CSPM 中管理員和成員帳戶允許的動作
管理員和成員帳戶可存取下表所述的 AWS Security Hub CSPM 動作。在表格中,這些值具有下列含義:
+ **任何 –** 帳戶可以對相同管理員下的任何成員帳戶執行 動作。
+ **目前 –** 帳戶只能為自己執行動作 (您目前登入的帳戶)。
+ **Dash –** 表示帳戶無法執行動作。
如表格中所述,允許的動作會根據您是否與 整合, AWS Organizations 以及組織使用的組態類型而有所不同。如需中央和本機組態之間差異的資訊,請參閱 [使用 管理帳戶 AWS Organizations](securityhub-accounts.md#securityhub-orgs-account-management-overview)。
Security Hub CSPM 不會將成員帳戶調查結果複製到管理員帳戶。在 Security Hub CSPM 中,所有調查結果都會擷取至特定帳戶的特定區域。在每個區域中,管理員帳戶可以檢視和管理該區域中成員帳戶的問題清單。
如果您設定彙總區域,管理員帳戶可以從複寫到彙總區域的連結區域中檢視和管理成員帳戶問題清單。如需跨區域彙總的詳細資訊,請參閱[跨區域彙總](https://docs.aws.amazon.com/securityhub/latest/userguide/finding-aggregation.html)。
下表指定管理員和成員帳戶的預設許可。您可以使用自訂 IAM 政策來進一步限制 Security Hub CSPM 功能和函數的存取。如需指引和範例,請參閱部落格文章將[ IAM 政策對齊 AWS Security Hub CSPM 的使用者角色](https://aws.amazon.com/blogs/security/aligning-iam-policies-to-user-personas-for-aws-security-hub/)。
## 如果您與 Organizations 整合並使用中央組態,則允許 動作
如果您與 Organizations 整合並使用中央組態,管理員和成員帳戶可以存取 Security Hub CSPM 動作,如下所示。
| Action | Security Hub CSPM 委派管理員帳戶 | 集中管理的成員帳戶 | 自我管理成員帳戶 |
| --- | --- | --- | --- |
| 建立和管理 Security Hub CSPM 組態政策 | 適用於自我和集中管理的帳戶 | – | – |
| 檢視組織帳戶 | 任何 | – | – |
| 取消關聯成員帳戶 | 任何 | – | – |
| 刪除成員帳戶 | 任何非組織帳戶 | – | – |
| 停用 Security Hub CSPM | 對於目前帳戶和集中管理帳戶 | – | 目前 (必須與管理員帳戶取消關聯) |
| 檢視問題清單和問題清單歷史記錄 | 任何 | Current | Current |
| 更新問題清單 | 任何 | Current | Current |
| 檢視洞見結果 | 任何 | Current | Current |
| 檢視控制項詳細資訊 | 任何 | Current | Current |
| 開啟或關閉合併控制問題清單 | 任何 | – | – |
| 啟用和停用標準 | 對於目前帳戶和集中管理帳戶 | – | Current |
| 啟用和停用控制項 | 對於目前帳戶和集中管理帳戶 | – | Current |
| 啟用和停用整合 | Current | Current | Current |
| 設定跨區域彙總 | 任何 | – | – |
| 選取主要區域和連結的區域 | 任何 (必須停止並重新啟動中央組態,才能變更主區域) | – | – |
| 設定自訂動作 | Current | Current | Current |
| 設定自動化規則 | 任何 | – | – |
| 設定自訂洞見 | Current | Current | Current |
## 如果您與 Organizations 整合並使用本機組態,則允許 動作
如果您與 Organizations 整合並使用本機組態,管理員和成員帳戶可以存取 Security Hub CSPM 動作,如下所示。
| Action | Security Hub CSPM 委派管理員帳戶 | 成員帳戶 |
| --- | --- | --- |
| 建立和管理 Security Hub CSPM 組態政策 | – | – |
| 檢視組織帳戶 | 任何 | – |
| 取消關聯成員帳戶 | 任何 | – |
| 刪除成員帳戶 | – | – |
| 停用 Security Hub CSPM | – | 目前 (如果帳戶與委派管理員取消關聯) |
| 檢視問題清單和問題清單歷史記錄 | 任何 | Current |
| 更新問題清單 | 任何 | Current |
| 檢視洞見結果 | 任何 | Current |
| 檢視控制項詳細資訊 | 任何 | Current |
| 開啟或關閉合併控制問題清單 | 任何 | – |
| 啟用和停用標準 | Current | Current |
| 在新的組織帳戶中自動啟用 Security Hub CSPM 和預設標準 | 對於目前帳戶和新組織帳戶 | – |
| 啟用和停用控制項 | Current | Current |
| 啟用和停用整合 | Current | Current |
| 設定跨區域彙總 | 任何 | – |
| 設定自訂動作 | Current | Current |
| 設定自動化規則 | 任何 | – |
| 設定自訂洞見 | Current | Current |
## 以邀請為基礎的帳戶的允許動作
如果您使用以邀請為基礎的方法來手動管理帳戶,而不是與 整合,管理員和成員帳戶可以存取 Security Hub CSPM 動作,如下所示 AWS Organizations。
| Action | Security Hub CSPM 管理員帳戶 | 成員帳戶 |
| --- | --- | --- |
| 建立和管理 Security Hub CSPM 組態政策 | – | – |
| 檢視組織帳戶 | 任何 | – |
| 取消關聯成員帳戶 | 任何 | Current |
| 刪除成員帳戶 | 任何 | – |
| 停用 Security Hub CSPM | 目前 (如果沒有啟用的成員帳戶) | 目前 (如果帳戶與管理員帳戶取消關聯) |
| 檢視問題清單和問題清單歷史記錄 | 任何 | Current |
| 更新問題清單 | 任何 | Current |
| 檢視洞見結果 | 任何 | Current |
| 檢視控制項詳細資訊 | 任何 | Current |
| 開啟或關閉合併控制問題清單 | 任何 | – |
| 啟用和停用標準 | Current | Current |
| 在新的組織帳戶中自動啟用 Security Hub CSPM 和預設標準 | – | – |
| 啟用和停用控制項 | Current | Current |
| 啟用和停用整合 | Current | Current |
| 設定跨區域彙總 | 任何 | – |
| 設定自訂動作 | Current | Current |
| 設定自動化規則 | 任何 | – |
| 設定自訂洞見 | Current | Current |
# 帳戶動作對 Security Hub CSPM 資料的影響
這些帳戶動作對 AWS Security Hub CSPM 資料有下列影響。
## Security Hub CSPM 已停用
如果您使用[中央組態](central-configuration-intro.md),委派管理員 (DA) 可以建立 Security Hub CSPM 組態政策,在特定帳戶和組織單位 (OUs) 中停用 AWS Security Hub CSPM。在此情況下,Security Hub CSPM 會在您主要區域和任何連結區域中的指定帳戶和 OUs 中停用。如果您不使用中央組態,則必須在啟用它的每個帳戶和區域中分別停用 Security Hub CSPM。如果在 DA 帳戶中停用 Security Hub CSPM,則無法使用中央組態。
如果在管理員帳戶中停用 Security Hub CSPM,則不會為管理員帳戶產生或更新問題清單。現有的封存問題清單會在 30 天後刪除。現有的作用中問題清單會在 90 天後刪除。
AWS 服務 會移除與其他 的整合。
已啟用的安全標準和控制項已停用。
其他 Security Hub CSPM 資料和設定,包括第三方產品的自訂動作、洞見和訂閱會保留 90 天。
## 與管理員帳戶取消關聯的成員帳戶
當成員帳戶與管理員帳戶取消關聯時,管理員帳戶會失去檢視成員帳戶中問題清單的許可。不過,兩個帳戶中仍然啟用 Security Hub CSPM。
如果您使用中央組態,則 DA 無法為與 DA 帳戶取消關聯的成員帳戶設定 Security Hub CSPM。
為管理員帳戶定義的自訂設定或整合不會套用至前成員帳戶中的問題清單。例如,帳戶取消關聯後,您可能在管理員帳戶中有一個自訂動作,用作 Amazon EventBridge 規則中的事件模式。不過,此自訂動作無法在成員帳戶中使用。
在 Security Hub CSPM 管理員帳戶**的帳戶**清單中,移除的帳戶的狀態為**取消關聯**。
## 成員帳戶已從組織中移除
從組織移除成員帳戶時,Security Hub CSPM 管理員帳戶會失去檢視成員帳戶中問題清單的許可。不過,兩個帳戶中的 Security Hub CSPM 在移除前仍會啟用相同的設定。
如果您使用中央組態,則無法在從委派管理員所屬組織移除成員帳戶之後,為該帳戶設定 Security Hub CSPM。不過,除非您手動變更設定,否則帳戶會保留在移除之前擁有的設定。
在 Security Hub CSPM 管理員帳戶**的帳戶**清單中,移除的帳戶狀態為**已刪除**。
## 帳戶已暫停
AWS 帳戶 當 暫停時,帳戶會失去在 Security Hub CSPM 中檢視其問題清單的許可。不會產生或更新該帳戶的調查結果。暫停帳戶的管理員帳戶可以檢視帳戶的現有問題清單。
對於組織帳戶,成員帳戶狀態也可以變更為**帳戶已暫停**。如果帳戶在管理員帳戶嘗試啟用帳戶的同時遭到暫停,就會發生這種情況。**帳戶暫停**帳戶的管理員帳戶無法檢視該帳戶的調查結果。否則,暫停狀態不會影響成員帳戶狀態。
如果您使用中央組態,且委派管理員嘗試將組態政策與暫停的帳戶建立關聯,則政策關聯會失敗。
90 天後,帳戶將被終止或重新激活。重新啟用帳戶時,會還原其 Security Hub CSPM 許可。如果成員帳戶狀態為**帳戶已暫停**,則管理員帳戶必須手動啟用帳戶。
## 帳戶已關閉
AWS 帳戶 關閉 時,Security Hub CSPM 會回應關閉,如下所示。
如果帳戶是 Security Hub CSPM 管理員帳戶,則會將其移除為管理員帳戶,並移除所有成員帳戶。如果帳戶是成員帳戶,則會取消關聯並從 Security Hub CSPM 管理員帳戶移除成員身分。
Security Hub CSPM 會保留帳戶中現有的封存問題清單 30 天。對於控制項調查結果,30 天的計算是根據調查結果`UpdatedAt`欄位的值。對於其他類型的調查結果,計算是根據調查結果的 `UpdatedAt`或 `ProcessedAt` 欄位的值,以最晚的日期為準。在此 30 天期間結束時,Security Hub CSPM 會從帳戶永久刪除問題清單。
Security Hub CSPM 會保留帳戶中現有的作用中問題清單 90 天。對於控制項調查結果,90 天的計算是根據調查結果`UpdatedAt`欄位的值。對於其他類型的調查結果,計算是根據調查結果的 `UpdatedAt`或 `ProcessedAt` 欄位的值,以最晚的日期為準。在此 90 天期間結束時,Security Hub CSPM 會從帳戶永久刪除問題清單。
如需長期保留現有問題清單,您可以將問題清單匯出至 S3 儲存貯體。您可以搭配 Amazon EventBridge 規則使用自訂動作來執行此操作。如需詳細資訊,請參閱[使用 EventBridge 進行自動回應和修復](securityhub-cloudwatch-events.md)。
**重要**
對於 中的客戶 AWS GovCloud (US) Regions,請在關閉帳戶之前備份並刪除您的政策資料和其他帳戶資源。關閉帳戶後,您將無法存取資源和資料。
如需詳細資訊,請參閱《 *AWS 帳戶管理 參考指南*》中的[關閉 AWS 帳戶](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/close-account.html)。