Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Target yang dikelola secara terpusat versus yang dikelola sendiri
<a name="central-configuration-management-type"></a>

*Saat Anda mengaktifkan konfigurasi pusat, administrator CSPM AWS Security Hub yang didelegasikan dapat menetapkan setiap akun organisasi, unit organisasi (OU), dan root sebagai dikelola secara *terpusat* atau dikelola sendiri.* Jenis manajemen target menentukan bagaimana Anda dapat menentukan pengaturan CSPM Security Hub.

Untuk informasi latar belakang tentang manfaat konfigurasi pusat dan cara kerjanya, lihat[Memahami konfigurasi pusat di Security Hub CSPM](central-configuration-intro.md).

Bagian ini menjelaskan perbedaan antara penunjukan yang dikelola secara terpusat dan dikelola sendiri dan bagaimana memilih jenis manajemen akun, OU, atau root.

**Dikelola sendiri**  
Pemilik akun yang dikelola sendiri, OU, atau root harus mengonfigurasi pengaturannya secara terpisah di masing-masing Wilayah AWS akun. Administrator yang didelegasikan tidak dapat membuat kebijakan konfigurasi untuk target yang dikelola sendiri.

**Dikelola secara terpusat**  
Hanya administrator CSPM Security Hub yang didelegasikan yang dapat mengonfigurasi pengaturan untuk akun yang dikelola secara terpusat OUs, atau root di seluruh Wilayah beranda dan Wilayah yang ditautkan. Kebijakan konfigurasi dapat dikaitkan dengan akun yang dikelola secara terpusat dan OUs.

Administrator yang didelegasikan dapat mengubah status target antara dikelola sendiri dan dikelola secara terpusat. Secara default, semua akun dan OU dikelola sendiri saat Anda memulai konfigurasi pusat melalui Security Hub CSPM API. Di konsol, jenis manajemen bergantung pada kebijakan konfigurasi pertama Anda. Akun dan OUs yang Anda kaitkan dengan kebijakan pertama Anda dikelola secara terpusat. Akun lain dan OUs dikelola sendiri secara default.

Jika Anda mengaitkan kebijakan konfigurasi dengan akun yang dikelola sendiri sebelumnya, setelan kebijakan akan mengganti penunjukan yang dikelola sendiri. Akun menjadi dikelola secara terpusat dan mengadopsi pengaturan yang tercermin dalam kebijakan konfigurasi.

Jika Anda mengubah akun yang dikelola secara terpusat menjadi akun yang dikelola sendiri, pengaturan yang sebelumnya diterapkan ke akun melalui kebijakan konfigurasi tetap berlaku. Misalnya, akun yang dikelola secara terpusat pada awalnya dapat dikaitkan dengan kebijakan yang mengaktifkan CSPM Security Hub, mengaktifkan Praktik Terbaik Keamanan AWS Dasar, dan dinonaktifkan .1. CloudTrail Jika Anda kemudian menetapkan akun sebagai dikelola sendiri, semua pengaturan tetap tidak berubah. Namun, pemilik akun dapat secara mandiri mengubah pengaturan untuk akun ke depan.

Akun anak dan OUs dapat mewarisi perilaku yang dikelola sendiri dari induk yang dikelola sendiri, dengan cara yang sama seperti akun anak dan OUs dapat mewarisi kebijakan konfigurasi dari induk yang dikelola secara terpusat. Untuk informasi selengkapnya, lihat [Asosiasi kebijakan melalui aplikasi dan warisan](configuration-policies-overview.md#policy-association).

Akun yang dikelola sendiri atau OU tidak dapat mewarisi kebijakan konfigurasi dari node induk atau dari root. Misalnya, jika Anda ingin semua akun dan OUs organisasi Anda mewarisi kebijakan konfigurasi dari root, Anda harus mengubah jenis manajemen node yang dikelola sendiri menjadi dikelola secara terpusat.

## Opsi untuk mengonfigurasi pengaturan di akun yang dikelola sendiri
<a name="self-managed-settings"></a>

Akun yang dikelola sendiri harus mengonfigurasi pengaturannya sendiri secara terpisah di setiap Wilayah.

Pemilik akun yang dikelola sendiri dapat menjalankan operasi API CSPM Security Hub berikut di setiap Wilayah untuk mengonfigurasi pengaturan mereka:
+ `EnableSecurityHub`dan `DisableSecurityHub` untuk mengaktifkan atau menonaktifkan layanan CSPM Security Hub (jika akun yang dikelola sendiri memiliki administrator CSPM Security Hub yang didelegasikan, administrator [harus memisahkan](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisassociateMembers.html) akun sebelum pemilik akun dapat menonaktifkan CSPM Security Hub).
+ `BatchEnableStandards`dan `BatchDisableStandards` untuk mengaktifkan atau menonaktifkan standar
+ `BatchUpdateStandardsControlAssociations`atau `UpdateStandardsControl` untuk mengaktifkan atau menonaktifkan kontrol

Akun yang dikelola sendiri juga dapat digunakan `*Invitations` dan `*Members` dioperasikan. Namun, kami menyarankan agar akun yang dikelola sendiri tidak menggunakan operasi ini. Asosiasi kebijakan dapat gagal jika akun anggota memiliki anggotanya sendiri yang merupakan bagian dari organisasi yang berbeda dari administrator yang didelegasikan.

Untuk deskripsi tindakan API CSPM Security Hub, lihat Referensi API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/Welcome.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/Welcome.html).

Akun yang dikelola sendiri juga dapat menggunakan konsol CSPM Security Hub atau AWS CLI untuk mengonfigurasi pengaturannya di setiap Wilayah.

Akun yang dikelola sendiri tidak dapat memanggil kebijakan konfigurasi dan APIs asosiasi kebijakan CSPM Security Hub. Hanya administrator yang didelegasikan yang dapat memanggil konfigurasi pusat APIs dan menggunakan kebijakan konfigurasi untuk mengonfigurasi akun yang dikelola secara terpusat.

## Memilih jenis manajemen target
<a name="choose-management-type"></a>

Pilih metode pilihan Anda, dan ikuti langkah-langkah untuk menetapkan akun atau OU sebagai dikelola secara terpusat atau dikelola sendiri di AWS Security Hub CSPM.

------
#### [ Security Hub CSPM console ]

**Untuk memilih jenis manajemen akun atau OU**

1. Buka konsol CSPM AWS Security Hub di. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Masuk menggunakan kredensional akun administrator CSPM Security Hub yang didelegasikan di Wilayah asal.

1. Pilih **Konfigurasi**.

1. Pada tab **Organisasi**, pilih akun target atau OU. Pilih **Edit**.

1. Pada halaman **Tentukan konfigurasi**, untuk **tipe Manajemen**, pilih **Dikelola secara terpusat** jika Anda ingin administrator yang didelegasikan mengonfigurasi akun target atau OU. Kemudian, pilih **Terapkan kebijakan tertentu** jika Anda ingin mengaitkan kebijakan konfigurasi yang ada dengan target. Pilih **Mewarisi dari organisasi saya** jika Anda ingin target mewarisi konfigurasi induk terdekatnya. Pilih **Self-managed** jika Anda ingin akun atau OU untuk mengkonfigurasi pengaturan sendiri.

1. Pilih **Berikutnya**. Tinjau perubahan Anda, dan pilih **Simpan**.

------
#### [ Security Hub CSPM API ]

**Untuk memilih jenis manajemen akun atau OU**

1. Memanggil [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html)API dari akun administrator yang didelegasikan CSPM Security Hub di Wilayah asal.

1. Untuk `ConfigurationPolicyIdentifier` bidang, berikan `SELF_MANAGED_SECURITY_HUB` jika Anda ingin akun atau OU mengontrol pengaturannya sendiri. Berikan Nama Sumber Daya Amazon (ARN) atau ID kebijakan konfigurasi yang relevan jika Anda ingin administrator yang didelegasikan mengontrol pengaturan untuk akun atau OU.

1. Untuk `Target` bidang, berikan Akun AWS ID, ID OU, atau ID root target yang tipe manajemennya ingin Anda ubah. Ini mengaitkan perilaku yang dikelola sendiri atau kebijakan konfigurasi tertentu dengan target. Akun anak dari target dapat mewarisi kebijakan perilaku atau konfigurasi yang dikelola sendiri.

**Contoh permintaan API untuk menunjuk akun yang dikelola sendiri:**

```
{
    "ConfigurationPolicyIdentifier": "SELF_MANAGED_SECURITY_HUB",
    "Target": {"AccountId": "123456789012"}
}
```

------
#### [ AWS CLI ]

**Untuk memilih jenis manajemen akun atau OU**

1. Jalankan [https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html)perintah dari akun administrator yang didelegasikan CSPM Security Hub di wilayah rumah.

1. Untuk `configuration-policy-identifier` bidang, berikan `SELF_MANAGED_SECURITY_HUB` jika Anda ingin akun atau OU mengontrol pengaturannya sendiri. Berikan Nama Sumber Daya Amazon (ARN) atau ID kebijakan konfigurasi yang relevan jika Anda ingin administrator yang didelegasikan untuk mengontrol pengaturan untuk akun atau OU..

1. Untuk `target` bidang, berikan Akun AWS ID, ID OU, atau ID root target yang tipe manajemennya ingin Anda ubah. Ini mengaitkan perilaku yang dikelola sendiri atau kebijakan konfigurasi tertentu dengan target. Akun anak dari target dapat mewarisi kebijakan perilaku atau konfigurasi yang dikelola sendiri.

**Contoh perintah untuk menunjuk akun yang dikelola sendiri:**

```
aws securityhub --region us-east-1 start-configuration-policy-association \
--configuration-policy-identifier "SELF_MANAGED_SECURITY_HUB" \
--target '{"AccountId": "123456789012"}'
```

------