本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 在 Security Hub CSPM 中启用中心配置
<a name="start-central-configuration"></a>

委派的 Sec AWS urity Hub CSPM 管理员帐户可以使用中央配置为多个账户和组织单位 () 配置 Security Hub CSPM、标准和控制。OUs AWS 区域

有关中心配置的好处及其工作原理的背景信息，请参阅[了解 Security Hub CSPM 中的中心配置](central-configuration-intro.md)。

本节介绍中心配置的先决条件以及如何开始使用。

## 中心配置的先决条件
<a name="prerequisites-central-configuration"></a>

在开始使用中央配置之前，必须将 Security Hub CSPM 与主区域集成， AWS Organizations 并指定主区域。如果您使用 Security Hub CSPM 控制台，则这些先决条件包含在中心配置的选择加入工作流中。

### 与 Organizations 集成
<a name="orgs-integration-prereq"></a>

您必须集成 Security Hub CSPM 和 Organizations 才能使用中心配置。

要集成这些服务，首先要在 Organizations 中创建一个组织。在 Organizations 管理账户中，指定一个 Security Hub CSPM 委派管理员账户。有关说明，请参阅[将 Security Hub CSPM 与 AWS Organizations](designate-orgs-admin-account.md)。

确保您在**预期主区域**指定您的委派管理员。当您开始使用中心配置时，还会在所有关联区域中自动设置相同的委派管理员。组织管理账户*不能*设置为委派管理员账户。

**重要**  
当你使用集中配置时，你无法使用 Security Hub CSPM 控制台或 Security Hub CSPM APIs 来更改或删除委派的管理员帐户。如果 Organizations 管理帐户使用 AWS Organizations APIs 更改或删除 Security Hub CSPM 授权的管理员，则 Security Hub CSPM 会自动停止中央配置。您的配置策略也将被取消关联和删除。成员账户保留其在更改或删除委派管理员之前的配置。

### 指定主区域
<a name="home-region-prereq"></a>

您必须指定主区域才能使用中心配置。主区域是委派管理员从中配置组织的区域。

**注意**  
主区域不能是 AWS 已指定为可选区域的区域。默认情况下，选择加入区域处于禁用状态。有关选择加入区域的列表，请参阅《AWS 账户管理参考指南》**中的[启用和禁用区域之前的注意事项](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#manage-acct-regions-considerations)。

或者，您可以指定一个或多个可从主区域进行配置的关联区域。

委派管理员只能从主区域创建和管理配置策略。配置策略在主区域和所有关联区域生效。您无法创建仅适用于某些区域而不适用于其他区域的配置策略。唯一的例外是涉及全球资源的控制。如果您使用中心配置，Security Hub CSPM 会自动禁用涉及除主区域之外的所有区域中全局资源的控件。有关更多信息，请参阅 [使用全局资源的控件](controls-to-disable.md#controls-to-disable-global-resources)。

主区域也是您的 Security Hub CSPM 聚合区域，用于接收来自关联区域的调查发现、见解和其他数据。

如果您已经为跨区域聚合设置了聚合区域，那么这就是中心配置的默认主区域。在开始使用中心配置之前，您可以通过删除当前的调查发现聚合器并在所需的主区域中创建一个新的聚合器来更改主区域。调查发现聚合器是一种 Security Hub CSPM 资源，用于指定主区域和关联区域。

要指定主区域，请参阅[设置聚合区域的步骤](finding-aggregation-enable.md)。如果您已经有主区域，则可以调用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindingAggregator.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindingAggregator.html) API 来查看有关它的详细信息，包括当前与其关联的区域。

## 启用中心配置的说明
<a name="central-configuration-get-started"></a>

选择您的首选方法，然后按照步骤为组织启用中心配置。

------
#### [ Security Hub CSPM console ]

**启用中心配置（控制台）**

1. 打开 S AWS ecurity Hub CSPM 控制台，网址为。[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. 在导航窗格中，选择**设置**和**配置**。然后，选择**启用中心配置**。

   如果要加入 Security Hub CSPM，请选择**前往 Security Hub CSPM**。

1. 在**指定委派管理员**页面上，选择您的委派管理员账户或输入其账户 ID。如果适用，我们建议选择您为其他 AWS 安全与合规服务设置的相同委派管理员。选择**设置委派管理员**。

1. 在**集中组织**页面的**区域**部分，选择您的主区域。您必须登录到主区域才能继续。如果您已经为跨区域聚合设置了聚合区域，则该聚合区域将显示为主区域。要更改主区域，请选择**编辑区域设置**。然后，您可以选择首选的主区域并返回到此工作流程。

1. 至少选择一个区域以链接到主区域。或者选择是否要自动将未来受支持的区域链接到主区域。您在此处选择的区域可由委派管理员从主区域进行配置。配置策略将在主区域和所有关联区域生效。

1. 选择**确认并继续**。

1.  现在可以使用中心配置了。继续按照控制台提示创建您的第一个配置策略。如果您尚未准备好创建配置策略，请选择**我还没准备好配置**。您可以稍后通过在导航窗格中选择**设置**和**配置**来创建策略。有关创建配置策略的说明，请参阅[创建和关联配置策略](create-associate-policy.md)。

------
#### [ Security Hub CSPM API ]

**启用中心配置（API）**

1. 使用委派管理员账户的凭证，从主区域调用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html) API。

1. 将 `AutoEnable` 字段设置为 `false`。

1. 将 `OrganizationConfiguration` 对象中的 `ConfigurationType` 字段设置为 `CENTRAL`。此操作会产生以下影响：
   + 在所有关联区域中将调用账户指定为 Security Hub CSPM 委派管理员。
   + 在所有关联区域的委派管理员账户中启用 Security Hub CSPM。
   + 将调用账户指定为使用 Security Hub CSPM 且属于该组织的新账户和现有账户的 Security Hub CSPM 委派管理员。在主区域和所有关联区域均如此。只有当新组织账户与启用了 Security Hub CSPM 的配置策略关联时，才会将调用账户设置为该新账户的委派管理员。只有当现有组织账户已启用 Security Hub CSPM 时，才会将调用账户设置为该现有账户的委派管理员。
   + 在所有关联区域中将 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html#securityhub-UpdateOrganizationConfiguration-request-AutoEnable](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html#securityhub-UpdateOrganizationConfiguration-request-AutoEnable) 设置为 `false`，并在主区域和所有关联区域中将 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html#securityhub-UpdateOrganizationConfiguration-request-AutoEnableStandards](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html#securityhub-UpdateOrganizationConfiguration-request-AutoEnableStandards) 设置为 `NONE`。如果您使用中心配置，则这些参数在主区域和关联区域中无关，但您可以通过使用配置策略在组织账户中自动启用 Security Hub CSPM 和默认安全标准。

1. 现在可以使用中心配置了。委派管理员可以通过创建配置策略来在您的组织中配置 Security Hub CSPM。有关创建配置策略的说明，请参阅[创建和关联配置策略](create-associate-policy.md)。

**API 请求示例**：

```
{
    "AutoEnable": false,
    "OrganizationConfiguration": {
        "ConfigurationType": "CENTRAL"
    }
}
```

------
#### [ AWS CLI ]

**启用中心配置（AWS CLI）**

1. 使用委派管理员账户的凭证，从主区域运行 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html) 命令。

1. 包含 `no-auto-enable` 参数。

1. 将 `organization-configuration` 对象中的 `ConfigurationType` 字段设置为 `CENTRAL`。此操作会产生以下影响：
   + 在所有关联区域中将调用账户指定为 Security Hub CSPM 委派管理员。
   + 在所有关联区域的委派管理员账户中启用 Security Hub CSPM。
   + 将调用账户指定为使用 Security Hub CSPM 且属于该组织的新账户和现有账户的 Security Hub CSPM 委派管理员。在主区域和所有关联区域均如此。只有当新组织账户与启用了 Security Hub 的配置策略关联时，才会将调用账户设置为该新账户的委派管理员。只有当现有组织账户已启用 Security Hub CSPM 时，才会将调用账户设置为该现有账户的委派管理员。
   + 在所有关联区域中将自动启用选项设置为 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html#options](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html#options)，并在主区域和所有关联区域中将 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html#options](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html#options) 设置为 `NONE`。如果您使用中心配置，则这些参数在主区域和关联区域中无关，但您可以通过使用配置策略在组织账户中自动启用 Security Hub CSPM 和默认安全标准。

1. 现在可以使用中心配置了。委派管理员可以通过创建配置策略来在您的组织中配置 Security Hub CSPM。有关创建配置策略的说明，请参阅[创建和关联配置策略](create-associate-policy.md)。

**命令示例：**

```
aws securityhub --region us-east-1 update-organization-configuration \
--no-auto-enable \
--organization-configuration '{"ConfigurationType": "CENTRAL"}'
```

------