本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 集中管理目标和自行管理目标
<a name="central-configuration-management-type"></a>

*启用中央配置后，委派的 Sec AWS urity Hub CSPM 管理员可以将每个组织帐户、组织单位 (OU) 和根目录指定为*集中管理或自我管理*。*目标的管理类型决定了如何指定其 Security Hub CSPM 设置。

有关中心配置的好处及其工作原理的背景信息，请参阅[了解 Security Hub CSPM 中的中心配置](central-configuration-intro.md)。

本节说明了集中管理和自行管理的指定之间的区别，以及如何选择账户、OU 或根的管理类型。

**自行管理**  
自我管理账户的所有者、OU 或 root 用户必须在每个 AWS 区域账户中分别配置其设置。委派管理员无法为自行管理目标创建配置策略。

**集中管理**  
只有授权的 Security Hub CSPM 管理员才能为集中管理的账户配置设置 OUs，或者为主区域和关联区域的根账户配置设置。配置策略可以与集中管理的账户相关联，以及 OUs。

委派管理员可以在自行管理和集中管理之间切换目标的状态。默认情况下，当您通过 Security Hub CSPM API 启动中心配置时，所有账户和 OU 都是自行管理的。在控制台中，管理类型取决于您的第一个配置策略。您与 OUs 第一份保单关联的账户将进行集中管理。默认情况下，其他账户和账户 OUs 是自行管理的。

如果您将配置策略与以前自行管理的账户相关联，则策略设置将覆盖自行管理指定。账户将变成集中管理，并采用配置策略中反映的设置。

如果您将集中管理账户更改为自行管理账户，则之前通过配置策略应用于账户的设置将保持不变。例如，集中管理的账户最初可能与启用 Security Hub CSPM、启用 AWS 基础安全最佳实践和禁用 .1 的策略相关联。 CloudTrail如果您随后将账户指定为自行管理，则所有设置均保持不变。但是，账户所有者可以独立更改账户的设置。

子账号， OUs 可以继承自我管理的家长的自我管理行为，就像子女账户一样， OUs 可以继承集中管理的家长的配置策略。有关更多信息，请参阅 [通过应用和继承进行策略关联](configuration-policies-overview.md#policy-association)。

自行管理账户或 OU 不能从父节点或根继承配置策略。例如，如果您希望组织 OUs 中的所有账户都从根目录继承配置策略，则必须将自我管理节点的管理类型更改为集中管理。

## 配置自行管理账户中的设置的选项
<a name="self-managed-settings"></a>

自行管理账户必须在每个区域单独配置自己的设置。

自行管理账户的所有者可以在每个区域调用以下 Security Hub CSPM API 操作，以配置其设置：
+ `EnableSecurityHub` 和 `DisableSecurityHub`，以启用或禁用 Security Hub CSPM 服务（如果自行管理账户具有 Security Hub CSPM 委派管理员，则该管理员必须先[解除关联账户](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisassociateMembers.html)，然后账户所有者才能禁用 Security Hub CSPM）。
+ `BatchEnableStandards` 和 `BatchDisableStandards`，启用或禁用标准
+ `BatchUpdateStandardsControlAssociations` 或 `UpdateStandardsControl`，启用或禁用控件

自行管理账户也可以使用 `*Invitations` 和 `*Members` 操作。但是，我们不建议自行管理账户使用这些操作。如果成员账户的成员与委派管理员属于不同的组织，则策略关联可能会失败。

有关 Security Hub CSPM API 操作的说明，请参阅 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/Welcome.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/Welcome.html)。

自行管理的账户也可以使用 Security Hub CSPM 控制台或在 AWS CLI 每个区域配置其设置。

自管理账户无法调用任何 APIs 与 Security Hub CSPM 配置策略和策略关联相关的账户。只有授权的管理员才能调用中央配置 APIs 并使用配置策略来配置集中管理的帐户。

## 选择目标的管理类型
<a name="choose-management-type"></a>

选择您的首选方法，然后按照步骤在 Sec AWS urity Hub CSPM 中将账户或 OU 指定为集中管理或自行管理。

------
#### [ Security Hub CSPM console ]

**要选择账户和 OU 的管理类型**

1. 打开 S AWS ecurity Hub CSPM 控制台，网址为。[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   使用主区域中的 Security Hub CSPM 委派管理员账户的凭证登录。

1. 选择**配置**。

1. 在**组织**选项卡上，选择目标账户或 OU。选择**编辑**。

1. 在**定义配置**页面上，对于**管理类型**，如果您希望委派管理员配置目标账户或 OU，请选择**集中管理**。然后，如果要将现有配置策略与目标关联，请选择**应用特定策略**。如果希望目标继承最接近父级的配置，请选择**从我的组织继承**。如果希望账户或 OU 配置自己的设置，请选择**自行管理**。

1. 选择**下一步**。检查更改，然后选择**保存**。

------
#### [ Security Hub CSPM API ]

**要选择账户和 OU 的管理类型**

1. 从主区域的 Security Hub CSPM 委派管理员账户调用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html) API。

1. 对于 `ConfigurationPolicyIdentifier` 字段，如果希望账户或 OU 控制其自己的设置，请提供 `SELF_MANAGED_SECURITY_HUB`。如果希望委派管理员控制账户或 OU 的设置，请提供相关配置策略的 Amazon 资源名称（ARN）或 ID。

1. 在该`Target`字段中，提供要更改其管理类型的目标的 ID、OU ID 或根 ID。 AWS 账户 这会将自行管理行为或指定的配置策略与目标关联。目标的子账户可继承自行管理行为或配置策略。

**指定自行管理账户的 API 请求示例：**

```
{
    "ConfigurationPolicyIdentifier": "SELF_MANAGED_SECURITY_HUB",
    "Target": {"AccountId": "123456789012"}
}
```

------
#### [ AWS CLI ]

**要选择账户和 OU 的管理类型**

1. 从主区域的 Security Hub CSPM 委派管理员账户运行 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html) 命令。

1. 对于 `configuration-policy-identifier` 字段，如果希望账户或 OU 控制其自己的设置，请提供 `SELF_MANAGED_SECURITY_HUB`。如果希望委派管理员控制账户或 OU 的设置，请提供相关配置策略的 Amazon 资源名称（ARN）或 ID。

1. 在该`target`字段中，提供要更改其管理类型的目标的 ID、OU ID 或根 ID。 AWS 账户 这会将自行管理行为或指定的配置策略与目标关联。目标的子账户可继承自行管理行为或配置策略。

**指定自行管理账户的命令示例：**

```
aws securityhub --region us-east-1 start-configuration-policy-association \
--configuration-policy-identifier "SELF_MANAGED_SECURITY_HUB" \
--target '{"AccountId": "123456789012"}'
```

------