本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 決定部署每個堆疊的位置
<a name="deciding-where-to-deploy-each-stack"></a>

這三個範本將由下列名稱參考，並包含下列資源：
+ 管理員堆疊：協調器步驟函數、事件規則和 Security Hub 自訂動作。
+ 成員堆疊：修復 SSM 自動化文件。
+ 成員角色堆疊：用於修復的 IAM 角色。

管理員堆疊必須部署在單一帳戶和單一區域中一次。它必須部署到您已設定為組織 Security Hub 調查結果彙總目的地的帳戶和區域中。如果您想要使用動作日誌功能來監控管理事件，您必須在組織的管理帳戶或委派管理員帳戶中部署管理員堆疊。

解決方案會在 Security Hub 問題清單上運作，因此如果該帳戶或區域尚未設定為彙總 Security Hub 管理員帳戶和區域中的問題清單，該解決方案將無法在特定帳戶和區域中的問題清單上運作。

**重要**  
如果您使用的是 [AWS Security Hub （非 CSPM)](https://aws.amazon.com/security-hub/)，則您有責任確保加入 [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html) 的成員帳戶也加入 AWS Security Hub （非 CSPM)。AWS Security Hub CSPM 中彙總的區域也應符合 AWS Security Hub （非 CSPM) 中彙總的區域。

例如，組織擁有在區域 `us-east-1`和 中操作的帳戶`us-west-2`，其帳戶`111111111111`為區域 中的 Security Hub 委派管理員`us-east-1`。帳戶 `222222222222`和 `333333333333` 必須是委派管理員帳戶 的 Security Hub 成員帳戶`111111111111`。所有三個帳戶都必須設定為將問題清單從 彙總`us-west-2`到 `us-east-1`。管理員堆疊必須部署到 `111111111111`中的帳戶`us-east-1`。

如需尋找彙總的詳細資訊，請參閱 Security Hub [委派管理員帳戶](https://docs.aws.amazon.com/securityhub/latest/userguide/designate-orgs-admin-account.html)和[跨區域彙總](https://docs.aws.amazon.com/securityhub/latest/userguide/finding-aggregation.html)的文件。

管理員堆疊必須先完成部署，才能部署成員堆疊，以便從成員帳戶到中樞帳戶建立信任關係。

成員堆疊必須部署到您想要修復問題清單的每個帳戶和區域。這可能包括您先前部署 ASR Admin 堆疊的 Security Hub 委派管理員帳戶。自動化文件必須在成員帳戶中執行，才能使用 SSM Automation 的免費方案。

使用上述範例，如果您想要修復所有帳戶和區域的調查結果，成員堆疊必須部署到所有三個帳戶 (`111111111111`、 `222222222222`和 `333333333333`) 和兩個區域 (`us-east-1` 和 `us-west-2`)。

成員角色堆疊必須部署到每個帳戶，但它包含每個帳戶只能部署一次的全域資源 (IAM 角色）。您部署成員角色堆疊的區域並不重要，因此為了簡單起見，我們建議部署到部署管理員堆疊的相同區域。

使用上述範例，我們建議將成員角色堆疊部署到 中的所有三個帳戶 (`111111111111`、 `222222222222`和 `333333333333`)`us-east-1`。

## 決定如何部署每個堆疊
<a name="deciding-how-to-deploy-each-stack"></a>

部署堆疊的選項為
+ CloudFormation StackSet （自我管理許可）
+ CloudFormation StackSet （服務受管許可）
+ CloudFormation 堆疊

具有服務管理許可的 StackSets 是最方便的，因為它們不需要部署您自己的角色，並且可以自動部署到組織中的新帳戶。很抱歉，此方法不支援巢狀堆疊，我們在 Admin 堆疊和成員堆疊中使用。以這種方式部署的唯一堆疊是成員角色堆疊。

請注意，部署到整個組織時，組織管理帳戶不會包含在內，因此如果您想要修復組織管理帳戶中的問題清單，您必須分別部署到此帳戶。

成員堆疊必須部署到每個帳戶和區域，但無法使用具有服務受管許可的 StackSets 部署，因為它包含巢狀堆疊。因此，我們建議您使用具有自我管理許可的 StackSets 部署此堆疊。

管理員堆疊只會部署一次，因此可以部署為純 CloudFormation 堆疊，或在單一帳戶和區域中部署為具有自我管理許可的 StackSet。

## 合併的控制問題清單
<a name="consolidated-controls-findings"></a>

您可以在 Security Hub 的合併控制調查結果功能開啟或關閉的情況下設定組織中的帳戶。請參閱《*AWS Security Hub 使用者指南*》中的[合併控制問題](https://docs.aws.amazon.com/securityhub/latest/userguide/controls-findings-create-update.html#consolidated-control-findings)清單。

**重要**  
啟用此功能時，您必須使用解決方案 2.0.0 版或更新版本，並在管理員和成員堆疊中啟用「SC」（安全控制） 手冊。這些堆疊會部署使用合併控制 IDs 所需的自動化文件。使用合併控制調查結果時，您不需要為個別標準 （例如 AWS FSBP) 部署堆疊。

## 中國部署
<a name="china-deployment"></a>

解決方案確實支援在中國區域部署，但**您必須使用下列啟動按鈕在中國區域進行一鍵式部署，而不是本指南其他章節中提供的啟動按鈕。**如果您在中國區域部署 ，則使用本指南中後續章節提供的「啟動解決方案」按鈕將無法運作。您仍然可以從任何 S3 儲存貯體連結下載範本，並透過上傳範本檔案來部署堆疊。
+  **automated-security-response-admin.template**：

 [https://cn-north-1.console.amazonaws.cn/cloudformation/home?region=cn-north-1#/stacks/new?stackName=automated-security-response-on-aws-admin&templateURL=https:%2F%2Fs3---cn-north-1.amazonaws.com.rproxy.govskope.us.cn%2Fsolutions-reference-cn%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-admin.template&redirectId=ImplementationGuide](https://cn-north-1.console.amazonaws.cn/cloudformation/home?region=cn-north-1#/stacks/new?stackName=automated-security-response-on-aws-admin&templateURL=https:%2F%2Fs3---cn-north-1.amazonaws.com.rproxy.govskope.us.cn%2Fsolutions-reference-cn%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-admin.template&redirectId=ImplementationGuide) 
+  **automated-security-response-member-roles.template**：

 [https://cn-north-1.console.amazonaws.cn/cloudformation/home?region=cn-north-1#/stacks/new?stackName=automated-security-response-on-aws-member-roles&templateURL=https:%2F%2Fs3---cn-north-1.amazonaws.com.rproxy.govskope.us.cn%2Fsolutions-reference-cn%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member-roles.template&redirectId=ImplementationGuide](https://cn-north-1.console.amazonaws.cn/cloudformation/home?region=cn-north-1#/stacks/new?stackName=automated-security-response-on-aws-member-roles&templateURL=https:%2F%2Fs3---cn-north-1.amazonaws.com.rproxy.govskope.us.cn%2Fsolutions-reference-cn%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member-roles.template&redirectId=ImplementationGuide) 
+  **automated-security-response-member.template**：

 [https://cn-north-1.console.amazonaws.cn/cloudformation/home?region=cn-north-1#/stacks/new?stackName=automated-security-response-on-aws-member&templateURL=https:%2F%2Fs3---cn-north-1.amazonaws.com.rproxy.govskope.us.cn%2Fsolutions-reference-cn%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member.template&redirectId=ImplementationGuide](https://cn-north-1.console.amazonaws.cn/cloudformation/home?region=cn-north-1#/stacks/new?stackName=automated-security-response-on-aws-member&templateURL=https:%2F%2Fs3---cn-north-1.amazonaws.com.rproxy.govskope.us.cn%2Fsolutions-reference-cn%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member.template&redirectId=ImplementationGuide) 

## GovCloud (US) 部署
<a name="govcloud-deployment"></a>

解決方案確實支援在 GovCloud (US) 區域中部署，但**您必須在 GovCloud (US) 區域中的一鍵式部署使用下列啟動按鈕，而不是本指南其他章節中提供的啟動按鈕。**如果您在 GovCloud (US) 區域中部署 ，則使用本指南中後續章節提供的「啟動解決方案」按鈕將無法運作。您仍然可以從任何 S3 儲存貯體連結下載範本，並透過上傳範本檔案來部署堆疊。
+  **automated-security-response-admin.template**：

 [https://console.amazonaws-us-gov.com/cloudformation/home?region=us-gov-west-1#/stacks/new?stackName=automated-security-response-on-aws-admin&templateURL=https:%2F%2Fs3.us-gov-west-1.amazonaws.com%2Fsolutions-reference-us-gov%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-admin.template&redirectId=ImplementationGuide](https://console.amazonaws-us-gov.com/cloudformation/home?region=us-gov-west-1#/stacks/new?stackName=automated-security-response-on-aws-admin&templateURL=https:%2F%2Fs3.us-gov-west-1.amazonaws.com%2Fsolutions-reference-us-gov%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-admin.template&redirectId=ImplementationGuide) 
+  **automated-security-response-member-roles.template**：

 [https://console.amazonaws-us-gov.com/cloudformation/home?region=us-gov-west-1#/stacks/new?stackName=automated-security-response-on-aws-member-roles&templateURL=https:%2F%2Fs3.us-gov-west-1.amazonaws.com%2Fsolutions-reference-us-gov%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member-roles.template&redirectId=ImplementationGuide](https://console.amazonaws-us-gov.com/cloudformation/home?region=us-gov-west-1#/stacks/new?stackName=automated-security-response-on-aws-member-roles&templateURL=https:%2F%2Fs3.us-gov-west-1.amazonaws.com%2Fsolutions-reference-us-gov%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member-roles.template&redirectId=ImplementationGuide) 
+  **automated-security-response-member.template**：

 [https://console.amazonaws-us-gov.com/cloudformation/home?region=us-gov-west-1#/stacks/new?stackName=automated-security-response-on-aws-member&templateURL=https:%2F%2Fs3.us-gov-west-1.amazonaws.com%2Fsolutions-reference-us-gov%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member.template&redirectId=ImplementationGuide](https://console.amazonaws-us-gov.com/cloudformation/home?region=us-gov-west-1#/stacks/new?stackName=automated-security-response-on-aws-member&templateURL=https:%2F%2Fs3.us-gov-west-1.amazonaws.com%2Fsolutions-reference-us-gov%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member.template&redirectId=ImplementationGuide)