Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Comprendre l'agrégation entre régions dans Security Hub CSPM

En utilisant l'agrégation entre régions dans AWS Security Hub Cloud Security Posture Management (CSPM), vous pouvez agréger les résultats, trouver des mises à jour, des informations, contrôler les états de conformité et les scores de sécurité de plusieurs régions d'origine ou d'une seule région d' Régions AWS origine. Vous pouvez ensuite gérer toutes ces données depuis votre région d'origine.

Supposons que vous définissiez USA Est (Virginie du Nord) comme région d'origine, et USA Ouest (Oregon) et USA Ouest (Californie du Nord) comme régions liées. Lorsque vous consultez la page des résultats dans l'est des États-Unis (Virginie du Nord), vous voyez les résultats des trois régions. Les mises à jour de ces résultats sont également prises en compte dans les trois régions.

Si un contrôle est activé dans une région liée mais désactivé dans la région d'origine, vous pouvez voir l'état de conformité du contrôle depuis la région d'origine, mais vous ne pouvez pas activer ou désactiver ce contrôle depuis la région d'origine. L'exception est si vous utilisez la configuration centralisée. Si vous utilisez la configuration centralisée, l'administrateur délégué du Security Hub CSPM peut configurer les contrôles dans la région d'origine et dans les régions associées à partir de la région d'origine.

Si vous avez défini une région d'origine, les scores de sécurité tiennent compte des statuts de contrôle dans tous Régions liées. Pour consulter les scores de sécurité et les états de conformité entre régions, ajoutez les autorisations suivantes à votre rôle IAM qui utilise Security Hub CSPM :

Types de données agrégées

Lorsque l'agrégation entre régions est activée avec une ou plusieurs régions liées, Security Hub CSPM réplique les données suivantes des régions liées vers la région d'origine. Cela se produit dans tous les comptes pour lesquels l'agrégation entre régions est activée.

Outre les nouvelles données de la liste précédente, Security Hub CSPM réplique également les mises à jour de ces données entre les régions liées et la région d'origine. Les mises à jour effectuées dans une région liée sont répliquées dans la région d'origine. Les mises à jour effectuées dans la région d'origine sont répliquées dans la région associée. En cas de conflit entre les mises à jour de la région d'origine et de la région associée, la mise à jour la plus récente est utilisée.

L'agrégation entre régions n'augmente pas le coût du Security Hub CSPM. Vous n'êtes pas débité lorsque Security Hub CSPM réplique de nouvelles données ou des mises à jour.

Dans la région d'origine, la page Résumé fournit une vue de vos résultats actifs dans les régions liées. Pour plus d'informations, voir Affichage d'un résumé interrégional des résultats par gravité. Les autres panneaux de la page de résumé qui analysent les résultats affichent également des informations provenant des régions liées.

Vos scores de sécurité dans la région d'origine sont calculés en comparant le nombre de contrôles passés au nombre de contrôles activés dans toutes les régions associées. En outre, si un contrôle est activé dans au moins une région liée, il est visible sur les pages de détails des normes de sécurité de la région d'origine. L'état de conformité des contrôles sur les pages détaillées des normes reflète les résultats obtenus dans les régions liées. Si un contrôle de sécurité associé à un contrôle échoue dans une ou plusieurs régions liées, le statut de conformité de ce contrôle s'affiche comme Échec sur les pages de détails des normes de la région d'origine. Le nombre de contrôles de sécurité inclut les résultats de toutes les régions liées.

Security Hub CSPM agrège uniquement les données des régions où Security Hub CSPM est activé sur un compte. Security Hub CSPM n'est pas automatiquement activé pour un compte en fonction de la configuration d'agrégation entre régions.

Il est possible d'activer l'agrégation entre régions sans qu'aucune région liée ne soit sélectionnée. Dans ce cas, aucune réplication de données n'a lieu.

Agrégation pour les comptes d'administrateur et de membre

Les comptes autonomes, les comptes membres et les comptes administrateurs peuvent configurer l'agrégation entre régions. Si elle est configurée par un administrateur, la présence du compte administrateur est essentielle pour que l'agrégation entre régions fonctionne dans les comptes administrés. Si le compte administrateur est supprimé ou dissocié d'un compte membre, l'agrégation entre régions pour le compte membre cesse. Cela est vrai même si l'agrégation entre régions était activée sur le compte avant le début de la relation administrateur-membre.

Lorsqu'un compte administrateur active l'agrégation entre régions, Security Hub CSPM réplique les données générées par le compte administrateur dans toutes les régions associées à la région d'origine. En outre, Security Hub CSPM identifie les comptes membres associés à cet administrateur, et chaque compte de membre hérite des paramètres d'agrégation entre régions de l'administrateur. Security Hub CSPM reproduit les données générées par un compte membre dans toutes les régions associées à la région d'origine.

L'administrateur peut accéder aux résultats de sécurité de tous les comptes membres des régions administrées et les gérer. Toutefois, en tant qu'administrateur Security Hub CSPM, vous devez être connecté à la région d'origine pour consulter les données agrégées de tous les comptes membres et des régions associées.

En tant que compte membre du Security Hub CSPM, vous devez être connecté à la région d'origine pour consulter les données agrégées de votre compte provenant de toutes les régions associées. Les comptes membres ne sont pas autorisés à consulter les données des autres comptes membres.

Un compte administrateur peut inviter manuellement des comptes de membres ou servir d'administrateur délégué d'une organisation intégrée à AWS Organizations. Pour un compte de membre invité manuellement, l'administrateur doit inviter le compte depuis la région d'origine et toutes les régions associées pour que l'agrégation entre régions fonctionne. En outre, Security Hub CSPM doit être activé dans la région d'origine et dans toutes les régions associées pour permettre à l'administrateur de consulter les résultats du compte membre. Si vous n'utilisez pas la région d'origine à d'autres fins, vous pouvez désactiver les normes CSPM et les intégrations du Security Hub dans cette région pour éviter les frais.

Si vous envisagez d'utiliser l'agrégation entre régions et que vous possédez plusieurs comptes d'administrateur, nous vous recommandons de suivre les bonnes pratiques suivantes :