如何彙總來自多個 AWS 區域的 Security Hub 調查結果與安全分數？

簡短說明

Security Hub CSPM 會提供您安全狀態的詳細檢視，並協助根據安全標準和最佳實務檢查您的環境。您可以使用跨區域彙總，將來自多個 AWS 區域的調查結果、洞察、控制項合規狀態和安全分數彙總至單一彙總區域。

解決方法

**注意：**如果您在執行 AWS Command Line Interface (AWS CLI) 命令時收到錯誤訊息，請參閱對 AWS CLI 錯誤進行疑難排解。此外，請確定您使用的是最新的 AWS CLI 版本。

準備您的環境

請完成以下步驟：

1. 在您要啟用 Security Hub CSPM 的所有區域中，啟動 AWS Config 組態記錄器。
2. 在與彙總區域和連結區域相同的 AWS 區域中，啟用 Security Hub CSPM。

如果您使用 AWS Organizations，請注意以下事項：

• 若要彙總 AWS Organization 會員帳戶的調查結果，必須在與會員帳戶相同的連結區域中啟用 AWS Config 和 Security Hub CSPM。
• 您可以為每個 AWS 區域委派一個會員帳戶作為您的 Security Hub CSPM 管理員。

啟用跨區域彙總

您可以使用 AWS 管理主控台或 AWS CLI 啟用跨區域彙總。

若要使用 AWS 主控台，請完成以下步驟：

1. 在您的彙總區域中，使用 Security Hub CSPM 管理員帳戶開啟 Security Hub CSPM 主控台。
   **注意：**如果區域已停用，請務必啟用區域。
2. 在導覽窗格中，選擇 Settings (設定)，然後選擇 Regions (區域)。
3. 選擇 Configure finding aggregation (設定調查結果彙總)，然後選擇您的彙總區域。
4. 在 Available Regions (可用區域) 中，選擇您要彙總調查結果的 AWS 區域。
5. 選擇 Link future Regions (連結未來區域)，以自動連結來自新 AWS 區域的彙總資料。
6. 選擇 Save (儲存)。

若要使用 AWS CLI 啟用跨區域彙總，請執行以下 create-finding-aggregator AWS CLI 命令：

aws securityhub create-finding-aggregator --region your-aggregation-region --region-linking-mode ALL_REGIONS

**注意：**將 your-aggregation-region 替換為您的彙總區域。在 --region-linking-mode，選擇以下其中一個選項： ALL_REGIONS、ALL_REGIONS_EXCEPT_SPECIFIED 或 SPECIFIED_REGIONS。如果您選擇 SPECIFIED_REGIONS，請使用 --regions 參數指定區域清單。

啟用跨區域彙總後，Security Hub CSPM 會開始彙總來自連結區域的調查結果和安全分數。

您可以使用 Security Hub CSPM 管理員帳戶，從任何區域檢視跨區域組態。不過，您只能從彙總區域更新組態。如需更多資訊，請參閱啟用跨區域彙總。

相關資訊

帳戶動作對 Security Hub CSPM 資料的影響

將 Security Hub CSPM 與 AWS Organizations 整合