本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

決定部署每個堆疊的位置

這三個範本將由下列名稱參考，並包含下列資源：

管理員堆疊必須部署在單一帳戶和單一區域中一次。它必須部署到您已設定為組織 Security Hub 調查結果彙總目的地的帳戶和區域中。如果您想要使用動作日誌功能來監控管理事件，您必須在組織的管理帳戶或委派管理員帳戶中部署管理員堆疊。

解決方案會在 Security Hub 問題清單上運作，因此如果該帳戶或區域尚未設定為彙總 Security Hub 管理員帳戶和區域中的問題清單，將無法在特定帳戶和區域中的問題清單上運作。

例如，組織擁有在區域 us-east-1和 中操作的帳戶us-west-2，其帳戶111111111111為區域 中的 Security Hub 委派管理員us-east-1。帳戶 222222222222和 333333333333 必須是委派管理員帳戶 的 Security Hub 成員帳戶111111111111。所有三個帳戶必須設定為將問題清單從 彙總us-west-2到 us-east-1。管理員堆疊必須部署到 111111111111中的帳戶us-east-1。

如需尋找彙總的詳細資訊，請參閱 Security Hub 委派管理員帳戶和跨區域彙總的文件。

管理員堆疊必須先完成部署，才能部署成員堆疊，以便從成員帳戶到中樞帳戶建立信任關係。

成員堆疊必須部署到您要修復問題清單的每個帳戶和區域。這可能包括您先前部署 ASR Admin 堆疊的 Security Hub 委派管理員帳戶。自動化文件必須在成員帳戶中執行，才能使用 SSM Automation 的免費方案。

使用上述範例，如果您想要修復所有帳戶和區域的調查結果，成員堆疊必須部署到所有三個帳戶 (111111111111、 222222222222和 333333333333) 和兩個區域 (us-east-1 和 us-west-2)。

成員角色堆疊必須部署到每個帳戶，但它包含每個帳戶只能部署一次的全域資源 (IAM 角色）。您部署成員角色堆疊的區域並不重要，因此為了簡單起見，我們建議部署到部署管理員堆疊的相同區域。

使用上述範例，我們建議將成員角色堆疊部署到 中的所有三個帳戶 (111111111111、 222222222222和 333333333333)us-east-1。

決定如何部署每個堆疊

部署堆疊的選項為

具有服務管理許可的 StackSets 是最方便的，因為它們不需要部署您自己的角色，並且可以自動部署到組織中的新帳戶。很抱歉，此方法不支援巢狀堆疊，我們在 Admin 堆疊和成員堆疊中使用。以這種方式部署的唯一堆疊是成員角色堆疊。

請注意，部署到整個組織時，組織管理帳戶不包含在內，因此，如果您想要修復組織管理帳戶中的問題清單，您必須單獨部署到此帳戶。

成員堆疊必須部署到每個帳戶和區域，但無法使用具有服務受管許可的 StackSets 部署，因為它包含巢狀堆疊。因此，我們建議您使用具有自我管理許可的 StackSets 部署此堆疊。

管理員堆疊只會部署一次，因此可以部署為純 CloudFormation 堆疊，或在單一帳戶和區域中部署為具有自我管理許可的 StackSet。

合併的控制問題清單

您可以在 Security Hub 的合併控制調查結果功能開啟或關閉的情況下設定組織中的帳戶。請參閱《AWS Security Hub 使用者指南》中的合併控制問題清單。

中國部署

解決方案確實支援在中國區域部署，但您必須使用下列啟動按鈕在中國區域進行一鍵式部署，而不是本指南其他章節中提供的啟動按鈕。如果您在中國區域部署 ，則使用本指南中後續章節提供的「啟動解決方案」按鈕將無法運作。您仍然可以從任何 S3 儲存貯體連結下載範本，並透過上傳範本檔案來部署堆疊。

GovCloud (US) 部署

解決方案確實支援在 GovCloud (US) 區域中部署，但您必須在 GovCloud (US) 區域中的一鍵式部署使用下列啟動按鈕，而不是本指南其他章節中提供的啟動按鈕。如果您在 GovCloud (US) 區域中部署 ，則使用本指南中後續章節提供的「啟動解決方案」按鈕將無法運作。您仍然可以從任何 S3 儲存貯體連結下載範本，並透過上傳範本檔案來部署堆疊。