帳戶動作對 Security Hub CSPM 資料的影響 - AWS Security Hub
Security Hub CSPM 已停用與管理員帳戶取消關聯的成員帳戶成員帳戶已從組織中移除帳戶已暫停帳戶已關閉

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

帳戶動作對 Security Hub CSPM 資料的影響

這些帳戶動作對 AWS Security Hub Cloud Security Posture Management (CSPM) 資料有下列影響。

Security Hub CSPM 已停用

如果您使用中央組態,委派管理員 (DA) 可以建立 Security Hub CSPM 組態政策,在特定帳戶和組織單位 (OUs) 中停用 AWS Security Hub Cloud Security Posture Management (CSPM)。在此情況下,Security Hub CSPM 會在您主要區域和任何連結區域中的指定帳戶和 OUs 中停用。如果您不使用中央組態,則必須在啟用它的每個帳戶和區域中分別停用 Security Hub CSPM。如果在 DA 帳戶中停用 Security Hub CSPM,則無法使用中央組態。

如果在管理員帳戶中停用 Security Hub CSPM,則不會為管理員帳戶產生或更新問題清單。現有的封存問題清單會在 30 天後刪除。現有的作用中問題清單會在 90 天後刪除。

AWS 服務 會移除與其他 的整合。

已啟用的安全標準和控制項已停用。

其他 Security Hub CSPM 資料和設定,包括第三方產品的自訂動作、洞見和訂閱會保留 90 天。

與管理員帳戶取消關聯的成員帳戶

當成員帳戶與管理員帳戶取消關聯時,管理員帳戶會失去檢視成員帳戶中問題清單的許可。不過,兩個帳戶中仍然啟用 Security Hub CSPM。

如果您使用中央組態,則 DA 無法為與 DA 帳戶取消關聯的成員帳戶設定 Security Hub CSPM。

為管理員帳戶定義的自訂設定或整合不會套用至前成員帳戶中的問題清單。例如,帳戶取消關聯後,您可能在管理員帳戶中有一個自訂動作,用作 Amazon EventBridge 規則中的事件模式。不過,此自訂動作無法在成員帳戶中使用。

在 Security Hub CSPM 管理員帳戶的帳戶清單中,移除的帳戶的狀態為取消關聯

成員帳戶已從組織中移除

從組織移除成員帳戶時,Security Hub CSPM 管理員帳戶會失去檢視成員帳戶中問題清單的許可。不過,兩個帳戶中的 Security Hub CSPM 在移除前仍會啟用相同的設定。

如果您使用中央組態,則無法在從委派管理員所屬組織移除成員帳戶之後,為該帳戶設定 Security Hub CSPM。不過,除非您手動變更設定,否則帳戶會保留在移除之前擁有的設定。

在 Security Hub CSPM 管理員帳戶的帳戶清單中,移除的帳戶狀態為已刪除

帳戶已暫停

AWS 帳戶 當 暫停時,帳戶會失去在 Security Hub CSPM 中檢視其問題清單的許可。不會產生或更新該帳戶的調查結果。暫停帳戶的管理員帳戶可以檢視帳戶的現有問題清單。

對於組織帳戶,成員帳戶狀態也可以變更為帳戶已暫停。如果帳戶在管理員帳戶嘗試啟用帳戶的同時遭到暫停,就會發生這種情況。帳戶暫停帳戶的管理員帳戶無法檢視該帳戶的調查結果。否則,暫停狀態不會影響成員帳戶狀態。

如果您使用中央組態,且委派管理員嘗試將組態政策與暫停的帳戶建立關聯,則政策關聯會失敗。

90 天後,帳戶將被終止或重新激活。重新啟用帳戶時,會還原其 Security Hub CSPM 許可。如果成員帳戶狀態為帳戶已暫停,則管理員帳戶必須手動啟用帳戶。

帳戶已關閉

AWS 帳戶 關閉 時,Security Hub CSPM 會回應關閉,如下所示。

如果帳戶是 Security Hub CSPM 管理員帳戶,則會將其移除為管理員帳戶,並移除所有成員帳戶。如果帳戶是成員帳戶,則會取消關聯並從 Security Hub CSPM 管理員帳戶移除成員身分。

Security Hub CSPM 會保留帳戶中現有的封存問題清單 30 天。對於控制項調查結果,30 天的計算是根據調查結果UpdatedAt欄位的值。對於其他類型的調查結果,計算是根據調查結果的 UpdatedAtProcessedAt 欄位的值,以最晚的日期為準。在此 30 天期間結束時,Security Hub CSPM 會從帳戶永久刪除問題清單。

Security Hub CSPM 會保留帳戶中現有的作用中問題清單 90 天。對於控制項調查結果,90 天的計算是根據調查結果UpdatedAt欄位的值。對於其他類型的調查結果,計算是根據調查結果的 UpdatedAtProcessedAt 欄位的值,以最晚的日期為準。在此 90 天期間結束時,Security Hub CSPM 會從帳戶永久刪除問題清單。

如需長期保留現有問題清單,您可以將問題清單匯出至 S3 儲存貯體。您可以搭配 Amazon EventBridge 規則使用自訂動作來執行此操作。如需詳細資訊,請參閱使用 EventBridge 進行自動回應和修復

重要

對於 中的客戶 AWS GovCloud (US) Regions,請在關閉帳戶之前備份並刪除您的政策資料和其他帳戶資源。關閉帳戶後,您將無法存取資源和資料。

如需詳細資訊,請參閱《 AWS 帳戶管理 參考指南》中的關閉 AWS 帳戶