本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 在 Security Hub CSPM 中啟用中央組態
<a name="start-central-configuration"></a>

委派的 AWS Security Hub CSPM 管理員帳戶可以使用中央組態，為多個帳戶和組織單位 (OUs) 設定 Security Hub CSPM、標準和控制 AWS 區域。

如需中央組態優點及其運作方式的背景資訊，請參閱 [了解 Security Hub CSPM 中的中央組態](central-configuration-intro.md)。

本節說明中央組態的先決條件，以及如何開始使用它。

## 中央組態的先決條件
<a name="prerequisites-central-configuration"></a>

您必須先將 Security Hub CSPM 與 整合 AWS Organizations 並指定主要區域，才能開始使用中央組態。如果您使用 Security Hub CSPM 主控台，這些先決條件會包含在中央組態的選擇加入工作流程中。

### 與 Organizations 整合
<a name="orgs-integration-prereq"></a>

您必須整合 Security Hub CSPM 和 Organizations，才能使用中央組態。

若要整合這些服務，請先在 Organizations 中建立組織。然後，從 Organizations 管理帳戶指定 Security Hub CSPM 委派管理員帳戶。如需說明，請參閱[將 Security Hub CSPM 與 整合 AWS Organizations](designate-orgs-admin-account.md)。

請確定您在**預定的主**區域中指定委派管理員。當您開始使用中央組態時，也會在所有連結區域中自動設定相同的委派管理員。Organizations 管理帳戶*無法*設定為委派管理員帳戶。

**重要**  
當您使用中央組態時，無法使用 Security Hub CSPM 主控台或 Security Hub CSPM APIs 來變更或移除委派的管理員帳戶。如果 Organizations 管理帳戶使用 AWS Organizations APIs來變更或移除 Security Hub CSPM 委派管理員，Security Hub CSPM 會自動停止中央組態。您的組態政策也會取消關聯並刪除。成員帳戶會保留他們在委派管理員變更或移除之前所擁有的組態。

### 指定主要區域
<a name="home-region-prereq"></a>

您必須指定主要區域才能使用中央組態。主要區域是委派管理員從中設定組織的區域。

**注意**  
主要區域不能是 AWS 已指定為選擇加入區域的區域。預設會停用選擇加入區域。如需選擇加入區域的清單，請參閱《*AWS 帳戶管理參考指南*》中的[啟用和停用區域的考量](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#manage-acct-regions-considerations)事項。

或者，您可以指定一個或多個可從主要區域設定的連結區域。

委派管理員只能從主要區域建立和管理組態政策。組態政策會在主要區域和所有連結區域中生效。您無法建立僅適用於這些區域子集的組態政策，而不是其他區域。例外情況是涉及全域資源的控制項。如果您使用中央組態，Security Hub CSPM 會自動停用涉及主要區域以外所有區域中全域資源的控制項。如需詳細資訊，請參閱[使用全域資源的控制項](controls-to-disable.md#controls-to-disable-global-resources)。

主要區域也是您的 Security Hub CSPM 彙總區域，可接收來自連結區域的調查結果、洞見和其他資料。

如果您已設定跨區域彙總的彙總區域，則這是中央組態的預設主區域。您可以在開始使用中央組態之前變更主要區域，方法是刪除目前的問題清單彙總工具，並在所需的主要區域中建立新的問題清單彙總工具。問題清單彙整工具是一種 Security Hub CSPM 資源，可指定主要區域和連結的區域。

若要指定主要區域，請參閱[設定彙總區域的步驟](finding-aggregation-enable.md)。如果您已有主要區域，您可以叫用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindingAggregator.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindingAggregator.html) API 以查看其詳細資訊，包括目前與其連結的區域。

## 啟用中央組態的說明
<a name="central-configuration-get-started"></a>

選擇您偏好的方法，然後依照步驟為您的組織啟用中央組態。

------
#### [ Security Hub CSPM console ]

**啟用中央組態 （主控台）**

1. 開啟位於 https：//[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) 的 AWS Security Hub CSPM 主控台。

1. 在導覽窗格中，選擇**設定**和**組態**。然後，選擇**開始中央組態**。

   如果您要加入 Security Hub CSPM，請選擇**移至 Security Hub CSPM**。

1. 在**指定委派管理員**頁面上，選取委派管理員帳戶或輸入其帳戶 ID。如果適用，我們建議您選擇已為其他 AWS 安全與合規服務設定的相同委派管理員。選擇**設定委派管理員**。

1. 在**集中組織**頁面上的區域****區段中，選取您的主要區域。您必須登入主區域才能繼續。如果您已設定跨區域彙總的彙總區域，則會顯示為主要區域。若要變更主要區域，請選擇**編輯區域設定**。然後，您可以選取您偏好的主區域並返回此工作流程。

1. 選取至少一個區域以連結至主要區域。或者，選擇是否要將未來的支援區域自動連結至主要區域。您在此處選取的區域將由委派管理員從主要區域設定。組態政策會在您的主要區域和所有連結區域中生效。

1. 選擇**確認並繼續**。

1.  您現在可以使用中央組態。繼續遵循主控台提示建立您的第一個組態政策。如果您尚未準備好建立組態政策，請選擇**我尚未準備好進行設定**。您可以稍後在導覽窗格中選擇**設定**和**組態**來建立政策。如需建立組態政策的說明，請參閱 [建立和關聯組態政策](create-associate-policy.md)。

------
#### [ Security Hub CSPM API ]

**啟用中央組態 (API)**

1. 使用委派管理員帳戶的登入資料，從主要區域叫用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html) API。

1. 將 `AutoEnable` 欄位設定為 `false`。

1. 將 `OrganizationConfiguration` 物件中的 `ConfigurationType` 欄位設定為 `CENTRAL`。此動作具有下列影響：
   + 在所有連結區域中，將呼叫帳戶指定為 Security Hub CSPM 委派管理員。
   + 在所有連結區域的委派管理員帳戶中啟用 Security Hub CSPM。
   + 針對使用 Security Hub CSPM 且屬於組織的新帳戶和現有帳戶，將呼叫帳戶指定為 Security Hub CSPM 委派管理員。這發生在主要區域和所有連結的區域。呼叫帳戶只有在與已啟用 Security Hub CSPM 的組態政策相關聯時，才會設定為新組織帳戶的委派管理員。呼叫帳戶只有在已啟用 Security Hub CSPM 時，才會設定為現有組織帳戶的委派管理員。
   + 在所有連結`false`的區域中[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html#securityhub-UpdateOrganizationConfiguration-request-AutoEnable](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html#securityhub-UpdateOrganizationConfiguration-request-AutoEnable)設定為 ，並在主要區域和所有連結的區域中[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html#securityhub-UpdateOrganizationConfiguration-request-AutoEnableStandards](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html#securityhub-UpdateOrganizationConfiguration-request-AutoEnableStandards)設定為 `NONE` 。當您使用中央組態時，這些參數與主區域和連結區域無關，但您可以透過使用組態政策，在組織帳戶中自動啟用 Security Hub CSPM 和預設安全標準。

1. 您現在可以使用中央組態。委派管理員可以建立組態政策，在您的組織中設定 Security Hub CSPM。如需建立組態政策的說明，請參閱 [建立和關聯組態政策](create-associate-policy.md)。

**範例 API 請求：**

```
{
    "AutoEnable": false,
    "OrganizationConfiguration": {
        "ConfigurationType": "CENTRAL"
    }
}
```

------
#### [ AWS CLI ]

**啟用中央組態 (AWS CLI)**

1. 使用委派管理員帳戶的登入資料，從主要區域執行 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html)命令。

1. 納入 `no-auto-enable` 參數。

1. 將 `organization-configuration` 物件中的 `ConfigurationType` 欄位設定為 `CENTRAL`。此動作具有下列影響：
   + 在所有連結區域中，將呼叫帳戶指定為 Security Hub CSPM 委派管理員。
   + 在所有連結區域的委派管理員帳戶中啟用 Security Hub CSPM。
   + 針對使用 Security Hub CSPM 且屬於組織的新帳戶和現有帳戶，將呼叫帳戶指定為 Security Hub CSPM 委派管理員。這發生在主要區域和所有連結的區域。呼叫帳戶只有在與已啟用 Security Hub 的組態政策相關聯時，才會設定為新組織帳戶的委派管理員。呼叫帳戶只有在已啟用 Security Hub CSPM 時，才會設定為現有組織帳戶的委派管理員。
   + 在所有連結[https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html#options](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html#options)區域中將自動啟用選項設定為 ，並在主要區域和所有連結`NONE`區域中[https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html#options](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html#options)將 設定為 。當您使用中央組態時，這些參數與主區域和連結區域無關，但您可以透過使用組態政策，在組織帳戶中自動啟用 Security Hub CSPM 和預設安全標準。

1. 您現在可以使用中央組態。委派管理員可以建立組態政策，在您的組織中設定 Security Hub CSPM。如需建立組態政策的說明，請參閱 [建立和關聯組態政策](create-associate-policy.md)。

**範例命令：**

```
aws securityhub --region us-east-1 update-organization-configuration \
--no-auto-enable \
--organization-configuration '{"ConfigurationType": "CENTRAL"}'
```

------