本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 了解 Security Hub CSPM 中的跨區域彙總 **注意** *彙總區域*現在稱為*主區域*。有些 Security Hub CSPM API 操作仍會使用較舊的詞彙彙總區域。 透過在 AWS Security Hub CSPM 中使用跨區域彙總,您可以將調查結果、調查結果更新、洞見、控制合規狀態和安全分數從多個 彙總 AWS 區域 到單一主區域。然後,您可以從主要區域管理所有這些資料。 假設您將美國東部 (維吉尼亞北部) 設定為主要區域,並將美國西部 (奧勒岡) 和美國西部 (加利佛尼亞北部) 設定為連結區域。當您檢視美國東部 (維吉尼亞北部) **的調查結果**頁面時,您會看到所有三個區域的調查結果。這些調查結果的更新也會反映在所有三個區域中。 **注意** 在 中 AWS GovCloud (US),僅對問題清單、問題清單更新和洞見支援跨區域彙總 AWS GovCloud (US)。具體而言,您只能彙總問題清單、問題清單更新,以及 AWS GovCloud (美國東部) 和 AWS GovCloud (美國西部) 之間的洞見。在中國區域中,僅支援跨區域彙總中國區域的調查結果、調查結果更新和洞見。具體而言,您只能彙總中國 (北京) 和中國 (寧夏) 之間的問題清單、問題清單更新和洞見。 如果在連結的區域中啟用控制項,但在主要區域中停用,您可以從主要區域查看控制項的合規狀態,但您無法從主要區域啟用或停用該控制項。例外狀況是如果您使用[中央組態](central-configuration-intro.md)。如果您使用中央組態,委派的 Security Hub CSPM 管理員可以設定主區域中的控制項,以及主區域中的連結區域。 如果您已設定主區域,[則安全分數](standards-security-score.md)會考慮所有 中的控制狀態
 連結的區域。若要檢視跨區域安全分數和合規狀態,請將下列許可新增至使用 Security Hub CSPM 的 IAM 角色: + `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListSecurityControlDefinitions.html)` + `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetStandardsControlAssociations.html)` + `[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateStandardsControlAssociations.html)` ## 彙總的資料類型 使用一或多個連結區域啟用跨區域彙總時,Security Hub CSPM 會將下列資料從連結區域複寫至主要區域。每個已啟用跨區域彙總的帳戶都會發生這種情況。 + 調查結果 + 洞見 + 控制合規狀態 + 安全性分數 除了先前清單中的新資料之外,Security Hub CSPM 也會在連結的區域和主要區域之間複寫此資料的更新。在連結區域中發生的更新會複寫至主要區域。主要區域中發生的更新會複寫回連結的區域。如果主要區域和連結區域有衝突的更新,則會使用最新的更新。 ![啟用跨區域彙總時,Security Hub CSPM 會在連結的區域和主要區域之間複寫新的和更新的調查結果。](http://docs.aws.amazon.com/zh_tw/securityhub/latest/userguide/images/diagram-finding-aggregation.png) 跨區域彙總不會增加 Security Hub CSPM 的成本。當 Security Hub CSPM 複寫新資料或更新時,您不需要付費。 在主區域中,**摘要**頁面提供跨連結區域的作用中問題清單檢視。如需詳細資訊,請參閱[依嚴重性檢視問題清單的跨區域摘要](https://docs.aws.amazon.com/securityhub/latest/userguide/findings-view-summary.html)。其他分析調查結果的**摘要**頁面面板也會顯示來自連結區域的資訊。 主區域中的安全分數是透過比較傳遞的控制項數量與所有連結區域中啟用的控制項數量來計算。此外,如果在至少一個連結區域中啟用控制項,它會顯示在主要區域的**安全標準**詳細資訊頁面上。標準詳細資訊頁面上控制項的合規狀態會反映連結區域的調查結果。如果與控制項相關聯的安全檢查在一或多個連結區域中失敗,則該控制項的合規狀態會在主要區域的標準詳細資訊頁面上顯示為**失敗**。安全檢查的數量包含所有連結區域的調查結果。 Security Hub CSPM 只會從帳戶已啟用 Security Hub CSPM 的區域彙總資料。帳戶不會根據跨區域彙總組態自動啟用 Security Hub CSPM。 可以在未選取任何連結區域的情況下啟用跨區域彙總。在此情況下,不會發生資料複寫。 ## 管理員和成員帳戶的彙總 獨立帳戶、成員帳戶和管理員帳戶可以設定跨區域彙總。如果由管理員設定,則管理員帳戶的存在對於跨區域彙總在受管帳戶中運作至關重要。如果管理員帳戶已從成員帳戶移除或取消關聯,則成員帳戶的跨區域彙總會停止。即使帳戶在管理員成員關係開始之前已啟用跨區域彙總,也是如此。 當管理員帳戶啟用跨區域彙總時,Security Hub CSPM 會將管理員帳戶在所有連結區域中產生的資料複寫至主要區域。此外,Security Hub CSPM 會識別與該管理員相關聯的成員帳戶,而且每個成員帳戶都會繼承管理員的跨區域彙總設定。Security Hub CSPM 會將成員帳戶在所有連結區域中產生的資料複寫至主要區域。 管理員可以存取和管理受管區域內所有成員帳戶的安全調查結果。不過,身為 Security Hub CSPM 管理員,您必須登入主要區域,才能檢視來自所有成員帳戶和連結區域的彙總資料。 作為 Security Hub CSPM 成員帳戶,您必須登入主區域,以檢視來自所有連結區域的帳戶彙總資料。成員帳戶沒有檢視其他成員帳戶資料的權限。 管理員帳戶可以手動邀請成員帳戶,或擔任與 整合之組織的委派管理員 AWS Organizations。對於[手動邀請的成員帳戶](account-management-manual.md),管理員必須邀請來自主區域和所有連結區域的帳戶,才能跨區域彙總運作。此外,成員帳戶必須在主區域和所有連結區域中啟用 Security Hub CSPM,讓管理員能夠檢視成員帳戶中的問題清單。如果您不將主區域用於其他用途,您可以停用該區域中的 Security Hub CSPM 標準和整合,以防止產生費用。 如果您計劃使用跨區域彙總,並擁有多個管理員帳戶,建議您遵循下列最佳實務: + 每個管理員帳戶都有不同的成員帳戶。 + 每個管理員帳戶在各區域都有相同的成員帳戶。 + 每個管理員帳戶使用不同的主區域。 **注意** 若要了解跨區域彙總如何影響中央組態,請參閱 [中央組態對跨區域彙總的影響](aggregation-central-configuration.md)。