本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 集中管理與自我管理的目標
<a name="central-configuration-management-type"></a>

當您啟用中央組態時，委派的 AWS Security Hub CSPM 管理員可以將每個組織帳戶、組織單位 (OU) 和根指定為*集中管理*或*自我管理*。目標的管理類型決定如何指定其 Security Hub CSPM 設定。

如需中央組態優點及其運作方式的背景資訊，請參閱 [了解 Security Hub CSPM 中的中央組態](central-configuration-intro.md)。

本節說明集中管理和自我管理指定之間的差異，以及如何選擇帳戶、OU 或根的管理類型。

**自我管理**  
自我管理帳戶、OU 或根的擁有者必須在每個帳戶中分別設定其設定 AWS 區域。委派管理員無法建立自我管理目標的組態政策。

**集中管理**  
只有委派的 Security Hub CSPM 管理員可以設定集中受管帳戶、OUs 或主要區域和連結區域的根目錄的設定。組態政策可以與集中管理的帳戶和 OUs 建立關聯。

委派管理員可以在自我管理和集中管理之間切換目標的狀態。根據預設，當您透過 Security Hub CSPM API 啟動中央組態時，所有帳戶和 OU 都會自我管理。在 主控台中，管理類型取決於您的第一個組態政策。與您第一個政策相關聯的帳戶和 OUs會集中管理。根據預設，其他帳戶和 OUs會自我管理。

如果您將組態政策與先前自我管理的帳戶建立關聯，政策設定會覆寫自我管理的指定。帳戶會成為集中管理，並採用組態政策中反映的設定。

如果您將集中受管帳戶變更為自我管理帳戶，則先前透過組態政策套用至帳戶的設定會保持不變。例如，中央受管帳戶最初可以與啟用 Security Hub CSPM、啟用 AWS 基礎安全最佳實務和停用 CloudTrail.1. 如果您接著將帳戶指定為自我管理，則所有設定保持不變。不過，帳戶擁有者可以獨立變更未來帳戶的設定。

子帳戶和 OUs 可以從自我管理的父系繼承自我管理行為，就像子帳戶和 OUs 可以從集中管理的父系繼承組態政策一樣。如需詳細資訊，請參閱[透過應用程式和繼承的政策關聯](configuration-policies-overview.md#policy-association)。

自我管理帳戶或 OU 無法從父節點或根繼承組態政策。例如，如果您希望組織中的所有帳戶和 OUs 從根繼承組態政策，您必須將自我管理節點的管理類型變更為集中管理。

## 在自我管理帳戶中設定設定的選項
<a name="self-managed-settings"></a>

自我管理帳戶必須在每個區域中分別設定自己的設定。

自我管理帳戶的擁有者可以在每個區域中調用 Security Hub CSPM API 的下列操作來設定其設定：
+ `EnableSecurityHub` 和 `DisableSecurityHub` 啟用或停用 Security Hub CSPM 服務 （如果自我管理帳戶具有委派的 Security Hub CSPM 管理員，則管理員必須先[取消帳戶關聯](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisassociateMembers.html)，帳戶擁有者才能停用 Security Hub CSPM)。
+ `BatchEnableStandards` 和 `BatchDisableStandards`來啟用或停用標準
+ `BatchUpdateStandardsControlAssociations` 或 `UpdateStandardsControl`以啟用或停用控制項

自我管理帳戶也可以使用 `*Invitations`和 `*Members`操作。不過，我們建議自我管理帳戶不要使用這些操作。如果成員帳戶自己的成員與委派管理員屬於不同的組織，則政策關聯可能會失敗。

如需 Security Hub CSPM API 動作的說明，請參閱 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/Welcome.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/Welcome.html)。

自我管理帳戶也可以使用 Security Hub CSPM 主控台或 AWS CLI 在每個區域中設定其設定。

自我管理帳戶無法叫用與 Security Hub CSPM 組態政策和政策關聯相關的任何 APIs。只有委派管理員可以叫用中央組態 APIs並使用組態政策來設定集中受管帳戶。

## 選擇目標的管理類型
<a name="choose-management-type"></a>

選擇您偏好的方法，並依照步驟在 AWS Security Hub CSPM 中將帳戶或 OU 指定為集中管理或自我管理。

------
#### [ Security Hub CSPM console ]

**選擇帳戶或 OU 的管理類型**

1. 在 https：//[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) 開啟 AWS Security Hub CSPM 主控台。

   使用主要區域中委派 Security Hub CSPM 管理員帳戶的登入資料登入。

1. 選擇 **Configuration (組態)**。

1. 在**組織**索引標籤上，選取目標帳戶或 OU。選擇**編輯**。

1. 在**定義組態**頁面上，針對**管理類型**，如果您希望委派管理員設定目標帳戶或 OU，請選擇**集中管理**。然後，如果您想要將現有的組態政策與目標建立關聯，請選擇**套用特定**政策。如果您希望目標繼承其最近父系的組態，請選擇**從我的組織**繼承。如果您希望帳戶或 OU 設定自己的設定，請選擇**自我管理**。

1. 選擇**下一步**。檢閱您的變更，然後選擇**儲存**。

------
#### [ Security Hub CSPM API ]

**選擇帳戶或 OU 的管理類型**

1. 從主區域中的 Security Hub CSPM 委派管理員帳戶叫用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html) API。

1. 對於 `ConfigurationPolicyIdentifier` 欄位，`SELF_MANAGED_SECURITY_HUB`如果您希望帳戶或 OU 控制自己的設定，請提供 。如果您希望委派管理員控制帳戶或 OU 的設定，請提供相關組態政策的 Amazon Resource Name (ARN) 或 ID。

1. 針對 `Target` 欄位，提供您要變更其管理類型之目標的 AWS 帳戶 ID、OU ID 或根 ID。這會將自我管理行為或指定的組態政策與目標建立關聯。目標的子帳戶可能會繼承自我管理的行為或組態政策。

**指定自我管理帳戶的範例 API 請求：**

```
{
    "ConfigurationPolicyIdentifier": "SELF_MANAGED_SECURITY_HUB",
    "Target": {"AccountId": "123456789012"}
}
```

------
#### [ AWS CLI ]

**選擇帳戶或 OU 的管理類型**

1. 從主區域中的 Security Hub CSPM 委派管理員帳戶執行 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html)命令。

1. 對於 `configuration-policy-identifier` 欄位，`SELF_MANAGED_SECURITY_HUB`如果您希望帳戶或 OU 控制自己的設定，請提供 。如果您希望委派管理員控制帳戶或 OU 的設定，請提供相關組態政策的 Amazon Resource Name (ARN) 或 ID。

1. 針對 `target` 欄位，提供您要變更其管理類型之目標的 AWS 帳戶 ID、OU ID 或根 ID。這會將自我管理行為或指定的組態政策與目標建立關聯。目標的子帳戶可能會繼承自我管理的行為或組態政策。

**指定自我管理帳戶的範例命令：**

```
aws securityhub --region us-east-1 start-configuration-policy-association \
--configuration-policy-identifier "SELF_MANAGED_SECURITY_HUB" \
--target '{"AccountId": "123456789012"}'
```

------