向正确的人员提供正确的访问权

组织中有几个人可能需要对 Security and Compliance Center 或集成具有不同级别的访问权。 要确保遵循最佳实践，请确保创建访问组并仅分配团队成员执行其职责所需的最低许可权。 要管理个人帐户的合规性，合规性负责人需要使用分配给访问组的 IAM 访问策略来访问 Security and Compliance Center 服务，Event Notifications和 Cloud Object Storage。 要管理企业的合规性，需要其他许可权。 有关更多信息，请参阅 分配访问权。

管理概要文件

在 Security and Compliance Center中，概要文件 是用于评估合规性的控件集合。 使用 Security and Compliance Center时，您可以选择使用预定义概要文件或创建定制概要文件。 两者都有利有弊。

在企业帐户中定义作用域

通过企业帐户使用 Security and Compliance Center 时，对于设置选项，您的体验会有所不同。 作为企业，您拥有比帐户更多的作用域选项。 您可以选择评估整个企业，特定帐户组或单个帐户。 如果要评估单个帐户，建议从该帐户执行此操作。

如果您在企业帐户中工作，那么必须具有其他许可权才能让企业管理和查看结果。 有关更多信息，请参阅 分配访问权。

作用域定义对帐户中的哪些资源进行评估。 它是在您通过选择要评估的父帐户或资源组来创建附件时定义的。 将对该帐户或组中存在的任何内容进行评估。 因此，例如，如果在企业帐户级别创建附件，那么评估中将包含这些附件中的所有帐户组和帐户。 如果您不想评估帐户，那么在创建附件时，可以始终将其从作用域中排除。 当排除某个帐户时，也将排除其任何子帐户。 但是，在将新帐户添加到企业时，会根据父帐户的附件自动对其进行评估。

查看下图以了解三个附件如何在企业中共存。

附件 A

在附件 A 中，目标范围是整个企业。 如您所见，将对企业中存在的所有帐户组和帐户进行评估。 即除非他们被有目的地排除在外。

附件 B

附件 B 的目标范围是企业中的特定帐户组。 如您所见，现在正在根据附件 A 期间选择的概要文件对帐户组中的资源进行评估，并根据创建附件 B 时选择的概要文件进行评估。

附件 C

附件 C 的目标范围是子帐户。 此附件是在企业上下文外部的帐户中创建的。 如您所见，附件 A 正在监视同一帐户中的资源，但由于附件 C 是在帐户级别创建的，因此可以查看和排除资源组。

要查看评估结果，请查看创建附件的帐户。 如果使用上一个图像作为示例，那么附件 A 和 B 的结果将存在于企业帐户中，并且将针对评估向企业帐户收费。 但是，附件 C 的结果将存在于子帐户中。

在企业外部的帐户中定义作用域

在企业帐户结构外部使用 Security and Compliance Center 时，作用域的设置选项不同。 由于您可以跨帐户扫描和评估资源，因此必须使用跨帐户访问策略来访问其他帐户中的资源。

您可以在主帐户中选择单个 Security and Compliance Center 实例，以监视其他目标帐户 (及其资源) 和环境的列表。 主帐户中的此 Security and Compliance Center 实例必须有权扫描多个目标帐户中 IBM Cloud 资源的资源。 您可以为附件中的每个目标帐户定义多个作用域。

您可以创建多个附件，以在多个附件之间分发帐户。 例如，可以在单个附件作用域中选择 1 到 200 个帐户。 然后，可以在下一个附件作用域中选择 201 到 400 个帐户。