账户操作对 Security Hub CSPM 数据的影响 - AWS Security Hub
Security Hub CSPM 已禁用会员账号与管理员账号解除关联成员账户从组织中移除账户已暂停账户已关闭

账户操作对 Security Hub CSPM 数据的影响

这些账户操作会对 AWS Security Hub CSPM 数据产生以下影响。

Security Hub CSPM 已禁用

如果您使用中心配置,委派管理员 (DA) 可以创建 Security Hub CSPM 配置策略,在特定账户和组织单元 (OU) 中禁用 AWS Security Hub CSPM。在这种情况下,您的主区域和任何关联区域中的指定账户和 OU 将禁用 Security Hub CSPM。如果不使用中心配置,则必须在启用了 Security Hub CSPM 的每个账户和区域中单独禁用。如果在 DA 账户中禁用了 Security Hub CSPM,则无法使用中心配置。

如果在管理员账户中禁用了 Security Hub CSPM,则不会为管理员账户生成或更新调查发现。现有存档的调查发现将在 30 天后删除。现有活跃调查发现将在 90 天后删除。

与其他 AWS 服务 的集成将被删除。

已启用的安全标准和控件将被禁用。

其他 Security Hub CSPM 数据和设置(包括自定义操作、见解和第三方产品订阅)将会保留 90 天。

会员账号与管理员账号解除关联

当成员账户与管理员账户解除关联时,管理员账户将失去查看成员账户中的调查发现的权限。但是,这两个账户仍会启用 Security Hub CSPM。

如果使用中心配置,则 DA 无法为与 DA 账户解除关联的成员账户配置 Security Hub CSPM。

为管理员账户定义的自定义设置或集成不会应用于前成员账户的调查发现。例如,取消关联账户后,您可能会在管理员账户中使用自定义操作作为 Amazon EventBridge 规则中的事件模式。但是,此自定义操作不能在成员账户中使用。

在 Security Hub CSPM 管理员账户的账户列表中,已删除账户的状态为已解除关联

成员账户从组织中移除

从组织中删除成员账户后,Security Hub CSPM 管理员账户将失去在成员账户中查看调查发现的权限。但两个账户仍启用了 Security Hub CSPM,其设置与删除之前的设置相同。

如果使用中心配置,则在将成员账户从委派管理员所属的组织中删除后,就将无法为其配置 Security Hub CSPM。但除非您手动更改,否则该账户将保留删除之前的设置。

在 Security Hub CSPM 管理员账户的账户列表中,已删除账户的状态为已删除

账户已暂停

当 AWS 账户被暂停时,该账户将失去在 Security Hub CSPM 中查看其调查发现的权限。没有为该账户生成或更新任何调查发现。已暂停账户的管理员账户可以查看账户的现有调查发现。

对于组织账户,成员账户状态也可以更改为账户已暂停。如果在管理员账户尝试启用账户的同时该账户被暂停,则会发生这种情况。已暂停账户的管理员账户无法查看该账户的调查发现。否则,暂停状态不会影响成员账户状态。

如果使用中心配置,则当委托管理员尝试将配置策略与已暂停的账户关联时,策略关联将会失败。

90 天后,该账户将被停用或重新激活。重新激活账户后,将恢复其 Security Hub CSPM 权限。如果成员账户状态为账户已暂停,则管理员账户必须手动启用该账户。

账户已关闭

AWS 账户 关闭后,Security Hub CSPM 会按如下方式对关闭做出响应。

如果该账户是 Security Hub CSPM 管理员账户,则会以管理员账户身份删除该账户,并删除所有成员账户。如果该账户是成员账户,则会解除关联并将其作为成员从 Security Hub CSPM 管理员账户中删除。

Security Hub CSPM 会将现有已存档的调查发现在账户中保留 30 天。对于控件调查发现,30 天的计算基于该调查发现的 UpdatedAt 字段的值。对于另一种类型的调查发现,则根据调查发现的 UpdatedAtProcessedAt 字段的值(以较晚者为准)进行计算。30 天期限结束后,Security Hub CSPM 会永久删除账户中的调查发现。

Security Hub CSPM 会将现有活跃调查发现在账户中保留 90 天。对于控件调查发现,90 天的计算基于该调查发现的 UpdatedAt 字段的值。对于另一种类型的调查发现,则根据调查发现的 UpdatedAtProcessedAt 字段的值(以较晚者为准)进行计算。90 天期限结束后,Security Hub CSPM 会永久删除账户中的调查发现。

为了长期保留现有调查发现,您可以将调查发现导出到 S3 存储桶。您可以使用带有 Amazon EventBridge 规则的自定义操作来实现此目的。有关更多信息,请参阅 使用 EventBridge 进行自动响应和补救

重要

对于 AWS GovCloud (US) Regions的客户,请在关闭账户之前备份并删除您的策略数据和其他账户资源。关闭账户后,您将无法访问这些资源和数据。

有关更多信息,请参阅《AWS 账户管理 参考指南》中的 Close an AWS 账户