本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

了解 Security Hub 中的跨區域彙總

跨區域彙總可讓您將多個 AWS 區域的調查結果、資源和趨勢彙總到單一主區域。然後，您可以從主要區域管理所有這些資料。

假設您將美國東部 （維吉尼亞北部） 設定為主要區域，並將美國西部 （奧勒岡） 和美國西部 （加利佛尼亞北部） 設定為連結區域。當您檢視美國東部 （維吉尼亞北部） 的調查結果頁面時，您會看到所有三個區域的調查結果。這些調查結果的更新也會反映在所有三個區域中。

彙總的資料類型

使用一或多個連結區域啟用跨區域彙總時，Security Hub 會將下列資料從連結的區域複寫至主要區域。每個已啟用跨區域彙總的帳戶都會發生這種情況。

除了先前清單中的新資料之外，Security Hub 也會在連結的區域和主要區域之間複寫此資料的更新。在連結區域中發生的更新會複寫至主要區域。主要區域中發生的更新會複寫回連結的區域。如果主要區域和連結區域有衝突的更新，則會使用最新的更新。

除非問題清單有更新，否則在區域成為連結區域時已存在的任何問題清單都不會複寫至主要區域。區域連結至主要區域後，主要區域和連結區域之間的問題清單會有所不同，直到連結區域中的問題清單更新或過時為止。

區域成為連結區域時已存在的任何資源都會複寫至主要區域，通常在區域連結至主要區域後 24-48 小時內。

移除連結的區域時，該區域的任何問題清單或資源都會保留在主要區域，直到問題清單或資源過時為止。

趨勢資料是根據趨勢所在區域中存在的問題清單和資源。主要區域中的趨勢資料將反映已同步至主要區域的調查結果和資源的目前狀態。

跨區域彙總不會增加 Security Hub 的成本。當 Security Hub 複寫新資料或更新時，您不需要付費。

在主區域中，摘要頁面提供跨連結區域的作用中問題清單和資源的檢視。

Security Hub 只會從帳戶已啟用 Security Hub 的區域彙總資料。Security Hub 不會根據跨區域彙總組態自動為帳戶啟用。

可以在未選取任何連結區域的情況下啟用跨區域彙總。在此情況下，不會發生資料複寫。

管理員和成員帳戶的彙總

獨立帳戶和管理員帳戶可以設定跨區域彙總。如果由管理員設定，則管理員帳戶的存在對於跨區域彙總在受管帳戶中運作至關重要。如果管理員帳戶已從成員帳戶移除或取消關聯，成員帳戶的跨區域彙總將會停止，或者如果成員帳戶在與管理員建立關聯之前具有跨區域彙總組態，則該彙總組態將再次對該帳戶生效。

當管理員帳戶啟用跨區域彙總時，Security Hub 會將管理員帳戶在所有連結區域中產生的資料複寫至主要區域。此外，Security Hub 會識別與該管理員相關聯的成員帳戶，而且每個成員帳戶都會繼承管理員的跨區域彙總設定。Security Hub 會將成員帳戶在所有連結區域中產生的資料複寫至主要區域。

管理員可以存取和管理受管區域內所有成員帳戶的安全調查結果。此外，管理員可以檢視受管區域內所有成員帳戶的資源庫存。

作為 Security Hub 成員帳戶，您必須登入主區域，以檢視來自所有連結區域的帳戶彙總資料。成員帳戶沒有檢視其他成員帳戶資料的權限DeleteAggregatorV2，也不允許呼叫 CreateAggregatorV2、 和 GetAggregatorV2 APIs。

自動化規則和跨區域彙總

啟用跨區域彙總時，只能在定義的主區域中建立自動化規則。您定義的任何規則都會套用至所有連結的區域，除非您的規則條件適用於特定區域。您必須為任何非連結區域的區域建立個別的自動化規則。

在啟用跨區域彙總之前，在主區域中建立的任何規則都會自動套用至連結的區域。建立彙總工具後，先前在連結區域中建立的規則將不再適用。一旦彙總工具刪除或區域不再連結，連結區域中定義的規則將繼續套用。