Zentral verwaltete Ziele im Vergleich zu selbstverwalteten Zielen - AWS Security Hub
Optionen zum Konfigurieren von Einstellungen in selbstverwalteten KontenAuswahl des Verwaltungstyps

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Zentral verwaltete Ziele im Vergleich zu selbstverwalteten Zielen

Wenn Sie die zentrale Konfiguration aktivieren, kann der delegierte AWS Security Hub Cloud Security Posture Management (CSPM) -Administrator jedes Organisationskonto, jede Organisationseinheit (OU) und den Stamm als zentral verwaltet oder selbstverwaltet festlegen. Der Verwaltungstyp eines Ziels bestimmt, wie Sie seine Security Hub CSPM-Einstellungen angeben können.

Hintergrundinformationen zu den Vorteilen der zentralen Konfiguration und ihrer Funktionsweise finden Sie unter. Grundlegendes zur zentralen Konfiguration in Security Hub CSPM

In diesem Abschnitt werden die Unterschiede zwischen einer zentral verwalteten und einer selbstverwalteten Bezeichnung sowie die Auswahl des Verwaltungstyps eines Kontos, einer Organisationseinheit oder eines Stammkontos erläutert.

Selbstverwaltet

Der Besitzer eines selbstverwalteten Kontos, einer Organisationseinheit oder eines Stammkontos muss die Einstellungen für jedes Konto separat konfigurieren. AWS-Region Der delegierte Administrator kann keine Konfigurationsrichtlinien für selbstverwaltete Ziele erstellen.

Zentral verwaltet

Nur der delegierte Security Hub CSPM-Administrator kann Einstellungen für zentral verwaltete Konten oder das Stammkonto in der Heimatregion und den verknüpften Regionen konfigurieren. OUs Konfigurationsrichtlinien können zentral verwalteten Konten und zugeordnet werden. OUs

Der delegierte Administrator kann den Status eines Ziels zwischen selbstverwaltetem und zentral verwaltetem ändern. Standardmäßig werden alle Konten und Organisationseinheiten selbst verwaltet, wenn Sie die zentrale Konfiguration über die Security Hub CSPM-API starten. In der Konsole hängt der Verwaltungstyp von Ihrer ersten Konfigurationsrichtlinie ab. Konten und Konten OUs , die Sie Ihrer ersten Richtlinie zuordnen, werden zentral verwaltet. Andere Konten und OUs werden standardmäßig selbst verwaltet.

Wenn Sie einem zuvor selbstverwalteten Konto eine Konfigurationsrichtlinie zuordnen, haben die Richtlinieneinstellungen Vorrang vor der Bezeichnung für selbstverwaltetes Konto. Das Konto wird zentral verwaltet und übernimmt die Einstellungen, die in der Konfigurationsrichtlinie enthalten sind.

Wenn Sie ein zentral verwaltetes Konto in ein selbstverwaltetes Konto ändern, bleiben die Einstellungen, die zuvor über eine Konfigurationsrichtlinie auf das Konto angewendet wurden, bestehen. Beispielsweise könnte ein zentral verwaltetes Konto zunächst mit einer Richtlinie verknüpft werden, die Security Hub CSPM aktiviert, AWS Foundational Security Best Practices aktiviert und .1 deaktiviert. CloudTrail Wenn Sie das Konto dann als selbstverwaltet kennzeichnen, bleiben alle Einstellungen unverändert. Der Kontoinhaber kann die Einstellungen für das Konto in Zukunft jedoch unabhängig ändern.

Kinderkonten und OUs können selbstverwaltetes Verhalten von einem selbstverwalteten Elternteil erben, genauso wie Kinderkonten und Konfigurationsrichtlinien von einem zentral verwalteten Elternteil erben OUs können. Weitere Informationen finden Sie unter Richtlinienverknüpfung durch Anwendung und Vererbung.

Ein selbstverwaltetes Konto oder eine Organisationseinheit kann keine Konfigurationsrichtlinie von einem übergeordneten Knoten oder vom Stammknoten erben. Wenn Sie beispielsweise möchten, dass alle Konten und OUs in Ihrer Organisation eine Konfigurationsrichtlinie vom Stammverzeichnis erben, müssen Sie den Verwaltungstyp für selbstverwaltete Knoten auf zentral verwaltete Knoten ändern.

Optionen zum Konfigurieren von Einstellungen in selbstverwalteten Konten

Selbstverwaltete Konten müssen ihre eigenen Einstellungen in jeder Region separat konfigurieren.

Besitzer von selbstverwalteten Konten können die folgenden Operationen der Security Hub CSPM-API in jeder Region aufrufen, um ihre Einstellungen zu konfigurieren:

  • EnableSecurityHubund DisableSecurityHub um den Security Hub CSPM-Dienst zu aktivieren oder zu deaktivieren (wenn ein selbstverwaltetes Konto über einen delegierten Security Hub CSPM-Administrator verfügt, muss der Administrator die Kontozuweisung aufheben, bevor der Kontoinhaber Security Hub CSPM deaktivieren kann).

  • BatchEnableStandardsund BatchDisableStandards um Standards zu aktivieren oder zu deaktivieren

  • BatchUpdateStandardsControlAssociationsoder UpdateStandardsControl um Steuerungen zu aktivieren oder zu deaktivieren

Selbstverwaltete Konten können auch *Invitations *Members AND-Operationen verwenden. Wir empfehlen jedoch, dass selbstverwaltete Konten diese Operationen nicht verwenden. Richtlinienzuordnungen können fehlschlagen, wenn ein Mitgliedskonto eigene Mitglieder hat, die Teil einer anderen Organisation sind als die des delegierten Administrators.

Eine Beschreibung der Security Hub CSPM-API-Aktionen finden Sie in der AWS Security Hub Cloud Security Posture Management (CSPM) API-Referenz.

Selbstverwaltete Konten können auch die Security Hub CSPM-Konsole verwenden oder AWS CLI ihre Einstellungen in jeder Region konfigurieren.

Selbstverwaltete Konten können keine mit Security Hub APIs zusammenhängenden CSPM-Konfigurationsrichtlinien und Richtlinienzuordnungen aufrufen. Nur der delegierte Administrator kann die zentrale Konfiguration aufrufen APIs und Konfigurationsrichtlinien verwenden, um zentral verwaltete Konten zu konfigurieren.

Auswahl des Verwaltungstyps eines Ziels

Wählen Sie Ihre bevorzugte Methode und folgen Sie den Schritten, um ein Konto oder eine Organisationseinheit in AWS Security Hub Cloud Security Posture Management (CSPM) als zentral verwaltet oder selbstverwaltet zu kennzeichnen.

Security Hub CSPM console
Um den Verwaltungstyp eines Kontos oder einer Organisationseinheit auszuwählen

  1. Öffnen Sie die AWS Security Hub Cloud Security Posture Management (CSPM) -Konsole unter. https://console.aws.amazon.com/securityhub/

    Melden Sie sich mit den Anmeldeinformationen des delegierten Security Hub CSPM-Administratorkontos in der Heimatregion an.

  2. Wählen Sie Konfiguration.

  3. Wählen Sie auf der Registerkarte Organisation das Zielkonto oder die Organisationseinheit aus. Wählen Sie Bearbeiten aus.

  4. Wählen Sie auf der Seite Konfiguration definieren als Verwaltungstyp die Option Zentral verwaltet aus, wenn der delegierte Administrator das Zielkonto oder die Organisationseinheit konfigurieren soll. Wählen Sie dann „Spezifische Richtlinie anwenden“ aus, wenn Sie dem Ziel eine bestehende Konfigurationsrichtlinie zuordnen möchten. Wählen Sie Von meiner Organisation übernehmen, wenn Sie möchten, dass das Ziel die Konfiguration seines engsten übergeordneten Unternehmens erbt. Wählen Sie Selbstverwaltet, wenn Sie möchten, dass das Konto oder die Organisationseinheit ihre eigenen Einstellungen konfiguriert.

  5. Wählen Sie Weiter aus. Überprüfen Sie Ihre Änderungen und wählen Sie Speichern.

Security Hub CSPM API
Um den Verwaltungstyp eines Kontos oder einer Organisationseinheit auszuwählen

  1. Rufen Sie die StartConfigurationPolicyAssociationAPI über das delegierte Security Hub-CSPM-Administratorkonto in der Heimatregion auf.

  2. Geben Sie für das ConfigurationPolicyIdentifier Feld an, SELF_MANAGED_SECURITY_HUB ob das Konto oder die Organisationseinheit ihre eigenen Einstellungen steuern soll. Geben Sie den Amazon-Ressourcennamen (ARN) oder die ID der entsprechenden Konfigurationsrichtlinie an, wenn Sie möchten, dass der delegierte Administrator die Einstellungen für das Konto oder die Organisationseinheit steuert.

  3. Geben Sie für das Target Feld die AWS-Konto ID, OU-ID oder Root-ID des Ziels ein, dessen Verwaltungstyp Sie ändern möchten. Dadurch wird das selbstverwaltete Verhalten oder die angegebene Konfigurationsrichtlinie dem Ziel zugeordnet. Untergeordnete Konten des Ziels erben möglicherweise die selbstverwaltete Verhaltens- oder Konfigurationsrichtlinie.

Beispiel für eine API-Anfrage zur Benennung eines selbstverwalteten Kontos:

{
    "ConfigurationPolicyIdentifier": "SELF_MANAGED_SECURITY_HUB",
    "Target": {"AccountId": "123456789012"}
}
AWS CLI
Um den Verwaltungstyp eines Kontos oder einer Organisationseinheit auszuwählen

  1. Führen Sie den start-configuration-policy-associationBefehl über das delegierte Security Hub-CSPM-Administratorkonto in der Heimatregion aus.

  2. Geben Sie configuration-policy-identifier im Feld an, SELF_MANAGED_SECURITY_HUB ob das Konto oder die Organisationseinheit ihre eigenen Einstellungen steuern soll. Geben Sie den Amazon-Ressourcennamen (ARN) oder die ID der entsprechenden Konfigurationsrichtlinie an, wenn Sie möchten, dass der delegierte Administrator die Einstellungen für das Konto oder die Organisationseinheit steuert.

  3. Geben Sie für das target Feld die AWS-Konto ID, OU-ID oder Root-ID des Ziels ein, dessen Verwaltungstyp Sie ändern möchten. Dadurch wird das selbstverwaltete Verhalten oder die angegebene Konfigurationsrichtlinie dem Ziel zugeordnet. Untergeordnete Konten des Ziels erben möglicherweise die selbstverwaltete Verhaltens- oder Konfigurationsrichtlinie.

Beispielbefehl zur Benennung eines selbstverwalteten Kontos:

aws securityhub --region us-east-1 start-configuration-policy-association \
--configuration-policy-identifier "SELF_MANAGED_SECURITY_HUB" \
--target '{"AccountId": "123456789012"}'