本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# Security Hub CSPM 中管理员和成员账户可以执行的操作
<a name="securityhub-accounts-allowed-actions"></a>

管理员和成员账户可以访问下表中提到的 Sec AWS urity Hub CSPM 操作。表中的值具有以下含义：
+ **Any**：该账户可为同一管理员下的任何成员账户执行操作。
+ **Current**：该账户只能为其本身执行操作（当前登录的账户）。
+ **Dash**：表示该账户无法执行操作。

如表中所述，允许的操作会根据您是否集成 AWS Organizations 以及您的组织使用的配置类型而有所不同。有关集中配置和本地配置之间的差异的信息，请参阅[使用管理账户 AWS Organizations](securityhub-accounts.md#securityhub-orgs-account-management-overview)。

Security Hub CSPM 不会将成员账户的调查发现复制到管理员账户。在 Security Hub CSPM 中，所有调查发现都会被提取到特定账户的特定区域。在每个区域，管理员账户均可以查看和管理其在该区域的成员账户的调查发现。

如果设置了聚合区域，管理员账户可以查看和管理复制到聚合区域的关联区域的成员账户调查发现。有关跨区域聚合的更多信息，请参阅[跨区域聚合](https://docs.aws.amazon.com/securityhub/latest/userguide/finding-aggregation.html)。

下表指定了管理员账户和成员账户的默认权限。您可以使用自定义 IAM 策略进一步限制对 Security Hub CSPM 特性和功能的访问。有关指导和示例，请参阅博客文章 Sec [AWS urity Hub CSPM 的 IAM 策略与 Security Hub CSPM 的用户角色保持一致](https://aws.amazon.com/blogs/security/aligning-iam-policies-to-user-personas-for-aws-security-hub/)。

## 与 Organizations 集成并使用中心配置时允许执行的操作
<a name="central-configuration-allowed-actions"></a>

与 Organizations 集成并使用中心配置时，管理员账户和成员账户可以按如下方式访问 Security Hub CSPM 操作。


|  Action  |  Security Hub CSPM 委派管理员账户  |  集中管理的成员账户  |  自行管理的成员账户  | 
| --- | --- | --- | --- | 
| 创建和管理 Security Hub CSPM 配置策略 | 对于自我管理和集中管理的账户 | – | – | 
| 查看组织账户 | 任何 | – | – | 
| 取消成员账户的关联 | 任何 | – | – | 
| 删除成员账户 | 任何非组织账户 | – | – | 
| 禁用 Security Hub CSPM | 对于当前账户和集中管理的账户 | – | 当前（必须与管理员账户取消关联） | 
| 查看调查发现和调查发现历史 | 任何 | Current | Current | 
| 更新调查发现 | 任何 | Current | Current | 
| 查看见解结果 | 任何 | Current | Current | 
| 查看控件详细信息 | 任何 | Current | Current | 
| 开启或关闭整合控件调查发现 | 任何 | – | – | 
| 启用和禁用标准 | 对于当前账户和集中管理的账户 | – | Current | 
| 启用和禁用控件 | 对于当前账户和集中管理的账户 | – | Current | 
| 启用和禁用集成 | Current | Current | Current | 
| 配置跨区域聚合 | 任何 | – | – | 
| 选择主区域和关联区域 | Any（必须停止并重新启动中心配置才能更改主区域） | – | – | 
| 配置自定义操作 | Current | Current | Current | 
| 配置自动化规则 | 任何 | – | – | 
| 配置自定义见解 | Current | Current | Current | 

## 与 Organizations 集成并使用本地配置时允许执行的操作
<a name="orgs-allowed-actions"></a>

与 Organizations 集成并使用本地配置时，管理员账户和成员账户可以按如下方式访问 Security Hub CSPM 操作。


|  Action  |  Security Hub CSPM 委派管理员账户  |  成员帐户  | 
| --- | --- | --- | 
| 创建和管理 Security Hub CSPM 配置策略 | – | – | 
| 查看组织账户 | 任何 | – | 
| 取消成员账户的关联 | 任何 | – | 
| 删除成员账户 | – | – | 
| 禁用 Security Hub CSPM | – | Current（如果账户与委派管理员解除关联） | 
| 查看调查发现和调查发现历史 | 任何 | Current | 
| 更新调查发现 | 任何 | Current | 
| 查看见解结果 | 任何 | Current | 
| 查看控件详细信息 | 任何 | Current | 
| 开启或关闭整合控件调查发现 | 任何 | – | 
| 启用和禁用标准 | Current | Current | 
| 在新组织账户中自动启用 Security Hub CSPM 和默认标准 | 对于当前账户和新组织账户 | – | 
| 启用和禁用控件 | Current | Current | 
| 启用和禁用集成 | Current | Current | 
| 配置跨区域聚合 | 任何 | – | 
| 配置自定义操作 | Current | Current | 
| 配置自动化规则 | 任何 | – | 
| 配置自定义见解 | Current | Current | 

## 允许对基于邀请的账户执行的操作
<a name="manual-allowed-actions"></a>

如果您使用基于邀请的方法手动管理帐户，而不是与集成，则管理员和成员帐户可以按如下方式访问 Security Hub CSPM 操作。 AWS Organizations


|  Action  |  Security Hub CSPM 管理员账户  |  成员帐户  | 
| --- | --- | --- | 
| 创建和管理 Security Hub CSPM 配置策略 | – | – | 
| 查看组织账户 | 任何 | – | 
| 取消成员账户的关联 | 任何 | Current | 
| 删除成员账户 | 任何 | – | 
| 禁用 Security Hub CSPM | Current（如果没有启用的成员账户） | Current（如果账户与管理员账户解除关联） | 
| 查看调查发现和调查发现历史 | 任何 | Current | 
| 更新调查发现 | 任何 | Current | 
| 查看见解结果 | 任何 | Current | 
| 查看控件详细信息 | 任何 | Current | 
| 开启或关闭整合控件调查发现 | 任何 | – | 
| 启用和禁用标准 | Current | Current | 
| 在新组织账户中自动启用 Security Hub CSPM 和默认标准 | – | – | 
| 启用和禁用控件 | Current | Current | 
| 启用和禁用集成 | Current | Current | 
| 配置跨区域聚合 | 任何 | – | 
| 配置自定义操作 | Current | Current | 
| 配置自动化规则 | 任何 | – | 
| 配置自定义见解 | Current | Current |