Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Memutuskan di mana untuk menyebarkan setiap tumpukan
<a name="deciding-where-to-deploy-each-stack"></a>

Tiga templat akan dirujuk dengan nama-nama berikut dan berisi sumber daya berikut:
+ Tumpukan admin: fungsi langkah orkestrator, aturan acara, dan tindakan kustom Security Hub.
+ Tumpukan anggota: remediasi dokumen Otomasi SSM.
+ Tumpukan peran anggota: peran IAM untuk remediasi.

Tumpukan Admin harus digunakan sekali, dalam satu akun dan satu Wilayah. Ini harus diterapkan ke akun dan Wilayah yang telah Anda konfigurasikan sebagai tujuan agregasi untuk temuan Security Hub untuk organisasi Anda. Jika Anda ingin menggunakan fitur Log Tindakan untuk memantau peristiwa manajemen, Anda harus menerapkan tumpukan Admin di akun manajemen organisasi Anda atau akun administrator yang didelegasikan.

Solusi ini beroperasi pada temuan Security Hub, sehingga tidak akan dapat beroperasi pada temuan dari akun dan Wilayah tertentu jika akun atau Wilayah tersebut belum dikonfigurasi untuk mengumpulkan temuan di akun administrator Security Hub dan Wilayah.

**penting**  
Jika Anda menggunakan [AWS Security Hub (non-CSPM)](https://aws.amazon.com/security-hub/) maka Anda bertanggung jawab untuk memastikan akun anggota Anda yang terhubung dengan AWS Security Hub CSPM juga terhubung dengan [AWS Security Hub (non-CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)). Wilayah yang digabungkan dalam AWS Security Hub CSPM juga harus cocok dengan wilayah yang dikumpulkan di AWS Security Hub (non-CSPM).

Misalnya, organisasi memiliki akun yang beroperasi di Wilayah `us-east-1` dan`us-west-2`, dengan akun `111111111111` sebagai administrator yang didelegasikan oleh Security Hub di Region`us-east-1`. Akun `222222222222` dan `333333333333` harus merupakan akun anggota Security Hub untuk akun `111111111111` administrator yang didelegasikan. Ketiga akun harus dikonfigurasi untuk mengumpulkan temuan dari `us-west-2` ke`us-east-1`. Tumpukan Admin harus disebarkan ke akun`111111111111`. `us-east-1`

Untuk detail selengkapnya tentang menemukan agregasi, lihat dokumentasi untuk [akun administrator yang didelegasikan](https://docs.aws.amazon.com/securityhub/latest/userguide/designate-orgs-admin-account.html) Security Hub dan agregasi [lintas](https://docs.aws.amazon.com/securityhub/latest/userguide/finding-aggregation.html) wilayah.

Tumpukan Admin harus menyelesaikan penerapan terlebih dahulu sebelum menerapkan tumpukan anggota sehingga hubungan kepercayaan dapat dibuat dari akun anggota ke akun hub.

Tumpukan anggota harus disebarkan ke setiap akun dan Wilayah tempat Anda ingin memulihkan temuan. Ini dapat mencakup akun administrator yang didelegasikan Security Hub tempat Anda sebelumnya menggunakan tumpukan Admin ASR. Dokumen otomatisasi harus dijalankan di akun anggota untuk menggunakan tingkat gratis untuk Otomasi SSM.

Menggunakan contoh sebelumnya, jika Anda ingin memulihkan temuan dari semua akun dan Wilayah, tumpukan anggota harus disebarkan ke ketiga akun (`111111111111`,`222222222222`, dan`333333333333`) dan kedua Wilayah (`us-east-1`dan`us-west-2`).

Tumpukan peran anggota harus disebarkan ke setiap akun, tetapi berisi sumber daya global (peran IAM) yang hanya dapat digunakan sekali per akun. Tidak masalah di Wilayah mana Anda menerapkan tumpukan peran anggota, jadi untuk kesederhanaan, kami sarankan untuk menerapkan ke Wilayah yang sama di mana tumpukan Admin diterapkan.

Menggunakan contoh sebelumnya, kami sarankan untuk menerapkan tumpukan peran anggota ke ketiga akun (`111111111111`,`222222222222`, dan`333333333333`) di`us-east-1`.

## Memutuskan cara menerapkan setiap tumpukan
<a name="deciding-how-to-deploy-each-stack"></a>

Opsi untuk menerapkan tumpukan adalah
+ CloudFormation StackSet (izin yang dikelola sendiri)
+ CloudFormation StackSet (izin yang dikelola layanan)
+ CloudFormation Tumpukan

StackSets dengan izin yang dikelola layanan adalah yang paling nyaman karena mereka tidak memerlukan penerapan peran Anda sendiri dan dapat secara otomatis menyebarkan ke akun baru di organisasi. Sayangnya, metode ini tidak mendukung tumpukan bersarang, yang kami gunakan di tumpukan Admin dan tumpukan anggota. Satu-satunya tumpukan yang dapat digunakan dengan cara ini adalah tumpukan peran anggota.

Ketahuilah bahwa saat menyebarkan ke seluruh organisasi, akun manajemen organisasi tidak disertakan, jadi jika Anda ingin memulihkan temuan di akun manajemen organisasi, Anda harus menyebarkan ke akun ini secara terpisah.

Tumpukan anggota harus diterapkan ke setiap akun dan Wilayah tetapi tidak dapat digunakan menggunakan izin yang dikelola layanan karena StackSets berisi tumpukan bersarang. Jadi kami sarankan untuk menerapkan tumpukan ini StackSets dengan izin yang dikelola sendiri.

Tumpukan Admin hanya digunakan sekali, sehingga dapat digunakan sebagai CloudFormation tumpukan biasa atau sebagai StackSet dengan izin yang dikelola sendiri dalam satu akun dan Wilayah.

## Temuan kontrol konsolidasi
<a name="consolidated-controls-findings"></a>

Akun di organisasi Anda dapat dikonfigurasi dengan fitur temuan kontrol konsolidasi dari Security Hub diaktifkan atau dinonaktifkan. Lihat [Temuan kontrol konsolidasi](https://docs.aws.amazon.com/securityhub/latest/userguide/controls-findings-create-update.html#consolidated-control-findings) di *Panduan Pengguna AWS Security Hub*.

**penting**  
Ketika fitur ini diaktifkan, Anda harus menggunakan solusi versi 2.0.0 atau yang lebih baru dan mengaktifkan playbook “SC” (Kontrol Keamanan) di tumpukan Admin dan Anggota. Tumpukan ini menyebarkan dokumen otomatisasi yang diperlukan untuk bekerja dengan kontrol terkonsolidasi. IDs Anda tidak perlu menerapkan tumpukan untuk standar individual (seperti AWS FSBP) saat menggunakan temuan kontrol konsolidasi.

## Penyebaran Tiongkok
<a name="china-deployment"></a>

Solusi ini mendukung penerapan di wilayah Tiongkok, namun **Anda harus menggunakan tombol Peluncuran berikut untuk penerapan satu klik di wilayah Tiongkok, daripada tombol Peluncuran yang disediakan di bagian lain** dari panduan ini. Menggunakan tombol “Luncurkan Solusi” yang disediakan di bagian mendatang dalam panduan ini tidak akan berfungsi jika Anda menerapkan di wilayah Tiongkok. Anda masih dapat mengunduh template dari tautan bucket S3 mana pun dan menerapkan tumpukan dengan mengunggah file templat.
+  **automated-security-response-admin.template**:

 [https://cn-north-1.console.amazonaws.cn/cloudformation/home?region=cn-north-1#/stacks/new?stackName=automated-security-response-on-aws-admin&templateURL=https:%2F%2Fs3---cn-north-1.amazonaws.com.rproxy.govskope.us.cn%2Fsolutions-reference-cn%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-admin.template&redirectId=ImplementationGuide](https://cn-north-1.console.amazonaws.cn/cloudformation/home?region=cn-north-1#/stacks/new?stackName=automated-security-response-on-aws-admin&templateURL=https:%2F%2Fs3---cn-north-1.amazonaws.com.rproxy.govskope.us.cn%2Fsolutions-reference-cn%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-admin.template&redirectId=ImplementationGuide) 
+  **automated-security-response-member-roles.template**:

 [https://cn-north-1.console.amazonaws.cn/cloudformation/home?region=cn-north-1#/stacks/new?stackName=automated-security-response-on-aws-member-roles&templateURL=https:%2F%2Fs3---cn-north-1.amazonaws.com.rproxy.govskope.us.cn%2Fsolutions-reference-cn%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member-roles.template&redirectId=ImplementationGuide](https://cn-north-1.console.amazonaws.cn/cloudformation/home?region=cn-north-1#/stacks/new?stackName=automated-security-response-on-aws-member-roles&templateURL=https:%2F%2Fs3---cn-north-1.amazonaws.com.rproxy.govskope.us.cn%2Fsolutions-reference-cn%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member-roles.template&redirectId=ImplementationGuide) 
+  **automated-security-response-member.template**:

 [https://cn-north-1.console.amazonaws.cn/cloudformation/home?region=cn-north-1#/stacks/new?stackName=automated-security-response-on-aws-member&templateURL=https:%2F%2Fs3---cn-north-1.amazonaws.com.rproxy.govskope.us.cn%2Fsolutions-reference-cn%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member.template&redirectId=ImplementationGuide](https://cn-north-1.console.amazonaws.cn/cloudformation/home?region=cn-north-1#/stacks/new?stackName=automated-security-response-on-aws-member&templateURL=https:%2F%2Fs3---cn-north-1.amazonaws.com.rproxy.govskope.us.cn%2Fsolutions-reference-cn%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member.template&redirectId=ImplementationGuide) 

## GovCloud (AS) Penyebaran
<a name="govcloud-deployment"></a>

Solusinya mendukung penerapan di wilayah GovCloud (AS), namun **Anda harus menggunakan tombol Luncurkan berikut untuk penerapan satu klik di wilayah GovCloud (AS), bukan tombol Peluncuran yang disediakan di bagian lain dari panduan ini**. Menggunakan tombol “Luncurkan Solusi” yang disediakan di bagian mendatang dalam panduan ini tidak akan berfungsi jika Anda menerapkan di wilayah GovCloud (AS). Anda masih dapat mengunduh template dari tautan bucket S3 mana pun dan menerapkan tumpukan dengan mengunggah file templat.
+  **automated-security-response-admin.template**:

 [https://console.amazonaws-us-gov.com/cloudformation/home?region=us-gov-west-1#/stacks/new?stackName=automated-security-response-on-aws-admin&templateURL=https:%2F%2Fs3.us-gov-west-1.amazonaws.com%2Fsolutions-reference-us-gov%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-admin.template&redirectId=ImplementationGuide](https://console.amazonaws-us-gov.com/cloudformation/home?region=us-gov-west-1#/stacks/new?stackName=automated-security-response-on-aws-admin&templateURL=https:%2F%2Fs3.us-gov-west-1.amazonaws.com%2Fsolutions-reference-us-gov%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-admin.template&redirectId=ImplementationGuide) 
+  **automated-security-response-member-roles.template**:

 [https://console.amazonaws-us-gov.com/cloudformation/home?region=us-gov-west-1#/stacks/new?stackName=automated-security-response-on-aws-member-roles&templateURL=https:%2F%2Fs3.us-gov-west-1.amazonaws.com%2Fsolutions-reference-us-gov%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member-roles.template&redirectId=ImplementationGuide](https://console.amazonaws-us-gov.com/cloudformation/home?region=us-gov-west-1#/stacks/new?stackName=automated-security-response-on-aws-member-roles&templateURL=https:%2F%2Fs3.us-gov-west-1.amazonaws.com%2Fsolutions-reference-us-gov%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member-roles.template&redirectId=ImplementationGuide) 
+  **automated-security-response-member.template**:

 [https://console.amazonaws-us-gov.com/cloudformation/home?region=us-gov-west-1#/stacks/new?stackName=automated-security-response-on-aws-member&templateURL=https:%2F%2Fs3.us-gov-west-1.amazonaws.com%2Fsolutions-reference-us-gov%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member.template&redirectId=ImplementationGuide](https://console.amazonaws-us-gov.com/cloudformation/home?region=us-gov-west-1#/stacks/new?stackName=automated-security-response-on-aws-member&templateURL=https:%2F%2Fs3.us-gov-west-1.amazonaws.com%2Fsolutions-reference-us-gov%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member.template&redirectId=ImplementationGuide)