本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 决定将每个堆栈部署到何处
<a name="deciding-where-to-deploy-each-stack"></a>

这三个模板将使用以下名称来引用，并包含以下资源：
+ 管理堆栈：协调器步骤函数、事件规则和 Security Hub 自定义操作。
+ 成员堆栈：补救 SSM 自动化文档。
+ 成员角色堆栈：用于补救的 IAM 角色。

管理员堆栈必须在单个账户和单个区域中部署一次。它必须部署到您已配置为组织的 Security Hub 结果聚合目标的账户和区域中。如果您希望使用操作日志功能来监控管理事件，则必须在组织的管理帐户或委派的管理员帐户中部署管理员堆栈。

该解决方案对 Security Hub 的发现进行操作，因此，如果未将特定账户和区域配置为聚合 Security Hub 管理员账户和区域中的调查结果，则该解决方案将无法对来自该账户和地区的发现进行操作。

**重要**  
如果您使用的是 [AWS Security Hub（非 CSPM）](https://aws.amazon.com/security-hub/)，则您有责任确保您注册了 AWS Security Hub CSPM 的成员账户也已加入 [AWS Security Hub（非 CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)）。AWS Security Hub CSPM 中聚合的区域也应与 AWS Security Hub（非 CSPM）中汇总的区域相匹配。

例如，一个组织拥有在区域运营的账户`us-west-2`，在区域`us-east-1`中拥有`111111111111`作为 Security Hub 委托管理员的账户`us-east-1`。账户`222222222222`和`333333333333`必须是委托管理员账户的 Security Hub 成员账户`111111111111`。必须将所有三个帐户配置为汇总`us-west-2`到的结果`us-east-1`。必须将管理堆栈部署到`111111111111`中的账户`us-east-1`。

有关查找聚合的更多详细信息，请参阅有关 Security Hub [委托管理员帐户](https://docs.aws.amazon.com/securityhub/latest/userguide/designate-orgs-admin-account.html)和[跨区域聚合](https://docs.aws.amazon.com/securityhub/latest/userguide/finding-aggregation.html)的文档。

管理员堆栈必须先完成部署，然后才能部署成员堆栈，这样才能创建从成员账户到中心账户的信任关系。

成员堆栈必须部署到您要修复发现的每个账户和区域。这可能包括您之前部署了 ASR 管理堆栈的 Security Hub 委托管理员帐户。自动化文档必须在成员账户中执行，才能使用 SSM 自动化的免费套餐。

使用前面的示例，如果您要修复所有账户和区域的调查结果，则必须将成员堆栈部署到所有三个账户（`111111111111``222222222222`、和`333333333333`）以及两个区域（`us-east-1`和`us-west-2`）。

成员角色堆栈必须部署到每个账户，但它包含每个账户只能部署一次的全球资源（IAM 角色）。在哪个区域部署成员角色堆栈并不重要，因此为简单起见，我们建议部署到部署管理堆栈的同一区域。

使用前面的示例，我们建议将成员角色堆栈部署到中的所有三个账户（`111111111111``222222222222`、和`333333333333`）`us-east-1`。

## 决定如何部署每个堆栈
<a name="deciding-how-to-deploy-each-stack"></a>

部署堆栈的选项有
+ CloudFormation StackSet （自行管理权限）
+ CloudFormation StackSet （服务管理权限）
+ CloudFormation 堆栈

StackSets 使用服务管理权限最为方便，因为它们不需要部署您自己的角色，并且可以自动部署到组织中的新帐户。不幸的是，此方法不支持嵌套堆栈，我们在管理堆栈和成员堆栈中都使用嵌套堆栈。唯一可以通过这种方式部署的堆栈是成员角色堆栈。

请注意，在部署到整个组织时，不包括组织管理帐户，因此，如果您要修复组织管理帐户中的调查结果，则必须单独部署到该帐户。

成员堆栈必须部署到每个账户和区域，但不能使用服务管理权限 StackSets 进行部署，因为它包含嵌套堆栈。因此，我们建议使用 StackSets 自我管理权限部署此堆栈。

管理员堆栈仅部署一次，因此可以将其部署为普通 CloudFormation 堆栈，也可以在单个账户和区域中部署为 StackSet 具有自我管理权限的堆栈。

## 整合的控件调查发现
<a name="consolidated-controls-findings"></a>

可以在开启或关闭 Security Hub 的合并控制结果功能的情况下对组织中的账户进行配置。请参阅 *AWS Security Hub 用户指南*中的[整合控制结果](https://docs.aws.amazon.com/securityhub/latest/userguide/controls-findings-create-update.html#consolidated-control-findings)。

**重要**  
启用此功能后，您必须使用解决方案版本 2.0.0 或更高版本，并在管理员和成员堆栈中启用 “SC”（安全控制）手册。这些堆栈部署了使用整合控制 IDs所需的自动化文档。使用整合控制结果时，您无需为单个标准（例如 AWS FSBP）部署堆栈。

## 中国部署
<a name="china-deployment"></a>

该解决方案确实支持在中国区域部署，**但是您必须使用以下 Launch 按钮在中国地区进行一键部署，而不是使用本指南其他部分中提供的启动按钮**。如果您在中国地区部署，则无法使用本指南后续章节中提供的 “启动解决方案” 按钮。您仍然可以从任何 S3 存储桶链接下载模板并通过上传模板文件来部署堆栈。
+  **automated-security-response-admin。模板**：

 [https://cn-north-1.console.amazonaws.cn/cloudformation/home?region=cn-north-1#/stacks/new?stackName=automated-security-response-on-aws-admin&templateURL=https:%2F%2Fs3---cn-north-1.amazonaws.com.rproxy.govskope.us.cn%2Fsolutions-reference-cn%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-admin.template&redirectId=ImplementationGuide](https://cn-north-1.console.amazonaws.cn/cloudformation/home?region=cn-north-1#/stacks/new?stackName=automated-security-response-on-aws-admin&templateURL=https:%2F%2Fs3---cn-north-1.amazonaws.com.rproxy.govskope.us.cn%2Fsolutions-reference-cn%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-admin.template&redirectId=ImplementationGuide) 
+  **automated-security-response-member-roles**。模板：

 [https://cn-north-1.console.amazonaws.cn/cloudformation/home?region=cn-north-1#/stacks/new?stackName=automated-security-response-on-aws-member-roles&templateURL=https:%2F%2Fs3---cn-north-1.amazonaws.com.rproxy.govskope.us.cn%2Fsolutions-reference-cn%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member-roles.template&redirectId=ImplementationGuide](https://cn-north-1.console.amazonaws.cn/cloudformation/home?region=cn-north-1#/stacks/new?stackName=automated-security-response-on-aws-member-roles&templateURL=https:%2F%2Fs3---cn-north-1.amazonaws.com.rproxy.govskope.us.cn%2Fsolutions-reference-cn%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member-roles.template&redirectId=ImplementationGuide) 
+  **automated-security-response-member。模板**：

 [https://cn-north-1.console.amazonaws.cn/cloudformation/home?region=cn-north-1#/stacks/new?stackName=automated-security-response-on-aws-member&templateURL=https:%2F%2Fs3---cn-north-1.amazonaws.com.rproxy.govskope.us.cn%2Fsolutions-reference-cn%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member.template&redirectId=ImplementationGuide](https://cn-north-1.console.amazonaws.cn/cloudformation/home?region=cn-north-1#/stacks/new?stackName=automated-security-response-on-aws-member&templateURL=https:%2F%2Fs3---cn-north-1.amazonaws.com.rproxy.govskope.us.cn%2Fsolutions-reference-cn%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member.template&redirectId=ImplementationGuide) 

## GovCloud （美国）部署
<a name="govcloud-deployment"></a>

该解决方案确实支持在 GovCloud （美国）地区进行部署，但是**您必须使用以下 Launch 按钮在 GovCloud （美国）地区进行一键部署，而不是使用本指南其他部分中提供的启动按钮**。如果您在 GovCloud （美国）地区进行部署，则无法使用本指南后续章节中提供的 “启动解决方案” 按钮。您仍然可以从任何 S3 存储桶链接下载模板并通过上传模板文件来部署堆栈。
+  **automated-security-response-admin。模板**：

 [https://console.amazonaws-us-gov.com/cloudformation/home?region=us-gov-west-1#/stacks/new?stackName=automated-security-response-on-aws-admin&templateURL=https:%2F%2Fs3.us-gov-west-1.amazonaws.com%2Fsolutions-reference-us-gov%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-admin.template&redirectId=ImplementationGuide](https://console.amazonaws-us-gov.com/cloudformation/home?region=us-gov-west-1#/stacks/new?stackName=automated-security-response-on-aws-admin&templateURL=https:%2F%2Fs3.us-gov-west-1.amazonaws.com%2Fsolutions-reference-us-gov%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-admin.template&redirectId=ImplementationGuide) 
+  **automated-security-response-member-roles**。模板：

 [https://console.amazonaws-us-gov.com/cloudformation/home?region=us-gov-west-1#/stacks/new?stackName=automated-security-response-on-aws-member-roles&templateURL=https:%2F%2Fs3.us-gov-west-1.amazonaws.com%2Fsolutions-reference-us-gov%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member-roles.template&redirectId=ImplementationGuide](https://console.amazonaws-us-gov.com/cloudformation/home?region=us-gov-west-1#/stacks/new?stackName=automated-security-response-on-aws-member-roles&templateURL=https:%2F%2Fs3.us-gov-west-1.amazonaws.com%2Fsolutions-reference-us-gov%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member-roles.template&redirectId=ImplementationGuide) 
+  **automated-security-response-member。模板**：

 [https://console.amazonaws-us-gov.com/cloudformation/home?region=us-gov-west-1#/stacks/new?stackName=automated-security-response-on-aws-member&templateURL=https:%2F%2Fs3.us-gov-west-1.amazonaws.com%2Fsolutions-reference-us-gov%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member.template&redirectId=ImplementationGuide](https://console.amazonaws-us-gov.com/cloudformation/home?region=us-gov-west-1#/stacks/new?stackName=automated-security-response-on-aws-member&templateURL=https:%2F%2Fs3.us-gov-west-1.amazonaws.com%2Fsolutions-reference-us-gov%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member.template&redirectId=ImplementationGuide)