Voraussetzungen für die zentrale Konfiguration Anweisungen zur Aktivierung der zentralen Konfiguration

Aktivierung der zentralen Konfiguration in Security Hub CSPM

Das delegierte AWS Security Hub CSPM-Administratorkonto kann die zentrale Konfiguration verwenden, um Security Hub CSPM, Standards und Kontrollen für mehrere Konten und Organisationseinheiten () übergreifend zu konfigurieren. OUs AWS-Regionen

Hintergrundinformationen zu den Vorteilen der zentralen Konfiguration und ihrer Funktionsweise finden Sie unter. Grundlegendes zur zentralen Konfiguration in Security Hub CSPM

In diesem Abschnitt werden die Voraussetzungen für die zentrale Konfiguration und die ersten Schritte zur Verwendung dieser Konfiguration erläutert.

Voraussetzungen für die zentrale Konfiguration

Bevor Sie die zentrale Konfiguration verwenden können, müssen Sie Security Hub CSPM in die Heimatregion integrieren AWS Organizations und eine Heimatregion festlegen. Wenn Sie die Security Hub CSPM-Konsole verwenden, sind diese Voraussetzungen im Opt-in-Workflow für die zentrale Konfiguration enthalten.

In Organizations integrieren

Sie müssen Security Hub CSPM und Organizations integrieren, um die zentrale Konfiguration verwenden zu können.

Um diese Dienste zu integrieren, erstellen Sie zunächst eine Organisation in Organizations. Über das Verwaltungskonto der Organizations bestimmen Sie dann ein delegiertes Security Hub-CSPM-Administratorkonto. Detaillierte Anweisungen finden Sie unter Integration von Security Hub CSPM mit AWS Organizations.

Stellen Sie sicher, dass Sie Ihren delegierten Administrator in Ihrer gewünschten Heimatregion angeben. Wenn Sie die zentrale Konfiguration verwenden, wird derselbe delegierte Administrator automatisch auch in allen verknüpften Regionen eingerichtet. Das Organisationsverwaltungskonto kann nicht als delegiertes Administratorkonto festgelegt werden.

Wichtig

Wenn Sie die zentrale Konfiguration verwenden, können Sie die Security Hub CSPM-Konsole oder Security Hub CSPM nicht verwenden, um das delegierte Administratorkonto APIs zu ändern oder zu entfernen. Wenn das Verwaltungskonto der Organizations verwendet wird AWS Organizations APIs , um den delegierten Security Hub CSPM-Administrator zu ändern oder zu entfernen, stoppt Security Hub CSPM automatisch die zentrale Konfiguration. Ihre Konfigurationsrichtlinien werden ebenfalls getrennt und gelöscht. Mitgliedskonten behalten die Konfiguration bei, die sie hatten, bevor der delegierte Administrator geändert oder entfernt wurde.

Geben Sie eine Heimatregion an

Sie müssen eine Heimatregion angeben, um die zentrale Konfiguration verwenden zu können. Die Heimatregion ist die Region, von der aus der delegierte Administrator die Organisation konfiguriert.

Anmerkung

Bei der Heimatregion kann es sich nicht um eine Region handeln, die als Opt-in-Region ausgewiesen AWS wurde. Eine Opt-in-Region ist standardmäßig deaktiviert. Eine Liste der Opt-in-Regionen finden Sie unter Überlegungen vor der Aktivierung und Deaktivierung von Regionen im Referenzhandbuch zur AWS Kontoverwaltung.

Optional können Sie eine oder mehrere verknüpfte Regionen angeben, die von der Heimatregion aus konfiguriert werden können.

Der delegierte Administrator kann Konfigurationsrichtlinien nur von der Heimatregion aus erstellen und verwalten. Konfigurationsrichtlinien werden in der Heimatregion und allen verknüpften Regionen wirksam. Sie können keine Konfigurationsrichtlinie erstellen, die nur für eine Teilmenge dieser Regionen gilt und nicht für andere. Eine Ausnahme bilden Kontrollen, die globale Ressourcen betreffen. Wenn Sie die zentrale Konfiguration verwenden, deaktiviert Security Hub CSPM automatisch Kontrollen, die globale Ressourcen in allen Regionen außer der Heimatregion betreffen. Weitere Informationen finden Sie unter Steuerungen, die globale Ressourcen verwenden.

Die Heimatregion ist auch Ihre Security Hub-CSPM-Aggregationsregion, die Ergebnisse, Erkenntnisse und andere Daten aus verknüpften Regionen erhält.

Wenn Sie bereits eine Aggregationsregion für die regionsübergreifende Aggregation festgelegt haben, ist dies Ihre Standard-Heimatregion für die zentrale Konfiguration. Sie können die Heimatregion ändern, bevor Sie die zentrale Konfiguration verwenden, indem Sie Ihren aktuellen Suchaggregator löschen und einen neuen in der gewünschten Heimatregion erstellen. Ein Findingaggregator ist eine Security Hub-CSPM-Ressource, die die Heimatregion und verknüpfte Regionen spezifiziert.

Informationen zur Festlegung einer Heimatregion finden Sie in den Schritten zum Einstellen einer Aggregationsregion. Wenn Sie bereits eine Heimatregion haben, können Sie die GetFindingAggregatorAPI aufrufen, um Details zu dieser Region zu sehen, einschließlich der Regionen, die derzeit mit dieser verknüpft sind.

Anweisungen zur Aktivierung der zentralen Konfiguration

Wählen Sie Ihre bevorzugte Methode und folgen Sie den Schritten, um die zentrale Konfiguration für Ihr Unternehmen zu aktivieren.

Security Hub CSPM console

Um die zentrale Konfiguration (Konsole) zu aktivieren

Öffnen Sie die AWS Security Hub CSPM-Konsole unter. https://console.aws.amazon.com/securityhub/
Wählen Sie im Navigationsbereich Einstellungen und Konfiguration aus. Wählen Sie dann Zentrale Konfiguration starten aus.

Wenn Sie bei Security Hub CSPM einsteigen, wählen Sie Gehe zu Security Hub CSPM.
Wählen Sie auf der Seite Delegierten Administrator benennen Ihr delegiertes Administratorkonto aus oder geben Sie dessen Konto-ID ein. Falls zutreffend, empfehlen wir, denselben delegierten Administrator zu wählen, den Sie für andere AWS Sicherheits- und Compliance-Dienste eingerichtet haben. Wählen Sie Als delegierten Administrator festlegen aus.
Wählen Sie auf der Seite Organisation zentralisieren im Abschnitt Regionen Ihre Heimatregion aus. Sie müssen in der Heimatregion angemeldet sein, um fortzufahren. Wenn Sie bereits eine Aggregationsregion für die regionsübergreifende Aggregation festgelegt haben, wird diese als Heimatregion angezeigt. Um die Heimatregion zu ändern, wählen Sie „Regionseinstellungen bearbeiten“. Sie können dann Ihre bevorzugte Heimatregion auswählen und zu diesem Workflow zurückkehren.
Wählen Sie mindestens eine Region aus, um eine Verknüpfung mit der Heimatregion herzustellen. Wählen Sie optional aus, ob Sie future unterstützte Regionen automatisch mit der Heimatregion verknüpfen möchten. Die Regionen, die Sie hier auswählen, werden vom delegierten Administrator von der Heimatregion aus konfiguriert. Die Konfigurationsrichtlinien gelten in Ihrer Heimatregion und allen verknüpften Regionen.
Wählen Sie Bestätigen und fortfahren.
Sie können jetzt die zentrale Konfiguration verwenden. Folgen Sie weiterhin den Anweisungen der Konsole, um Ihre erste Konfigurationsrichtlinie zu erstellen. Wenn Sie noch nicht bereit sind, eine Konfigurationsrichtlinie zu erstellen, wählen Sie Ich bin noch nicht bereit zur Konfiguration. Sie können später eine Richtlinie erstellen, indem Sie im Navigationsbereich Einstellungen und Konfiguration auswählen. Anweisungen zum Erstellen einer Konfigurationsrichtlinie finden Sie unterKonfigurationsrichtlinien erstellen und zuordnen.

Security Hub CSPM API

So aktivieren Sie die zentrale Konfiguration (API)

Rufen Sie die UpdateOrganizationConfigurationAPI mit den Anmeldeinformationen des delegierten Administratorkontos von der Heimatregion aus auf.
Stellen Sie das AutoEnable Feld auf ein. false
Stellen Sie das ConfigurationType Feld im OrganizationConfiguration Objekt auf einCENTRAL. Diese Aktion hat folgende Auswirkungen:
- Benennt das anrufende Konto als delegierten Security Hub-CSPM-Administrator in allen verknüpften Regionen.
- Aktiviert Security Hub CSPM im delegierten Administratorkonto in allen verknüpften Regionen.
- Benennt das anrufende Konto als delegierten Security Hub CSPM-Administrator für neue und bestehende Konten, die Security Hub CSPM verwenden und zur Organisation gehören. Dies geschieht in der Heimatregion und allen verknüpften Regionen. Das anrufende Konto wird nur dann als delegierter Administrator für neue Organisationskonten eingerichtet, wenn sie einer Konfigurationsrichtlinie zugeordnet sind, für die Security Hub CSPM aktiviert ist. Das anrufende Konto wird nur dann als delegierter Administrator für bestehende Organisationskonten eingerichtet, wenn Security Hub CSPM bereits aktiviert ist.
- Stellt AutoEnablefalsein allen verknüpften Regionen und AutoEnableStandardsauf NONE in der Heimatregion und allen verknüpften Regionen ein. Diese Parameter sind in der Startseite und den verknüpften Regionen nicht relevant, wenn Sie die zentrale Konfiguration verwenden, aber Sie können Security Hub CSPM und Standardsicherheitsstandards in Organisationskonten mithilfe von Konfigurationsrichtlinien automatisch aktivieren.
Sie können jetzt die zentrale Konfiguration verwenden. Der delegierte Administrator kann Konfigurationsrichtlinien erstellen, um Security Hub CSPM in Ihrer Organisation zu konfigurieren. Anweisungen zur Erstellung einer Konfigurationsrichtlinie finden Sie unter. Konfigurationsrichtlinien erstellen und zuordnen

Beispiel für eine API-Anfrage:


{
    "AutoEnable": false,
    "OrganizationConfiguration": {
        "ConfigurationType": "CENTRAL"
    }
}

AWS CLI

Um die zentrale Konfiguration zu aktivieren (AWS CLI)

Führen Sie den update-organization-configurationBefehl mit den Anmeldeinformationen des delegierten Administratorkontos in der Heimatregion aus.
Schließen Sie den Parameter no-auto-enable ein.
Stellen Sie das ConfigurationType Feld im organization-configuration Objekt auf CENTRAL ein. Diese Aktion hat folgende Auswirkungen:
- Benennt das anrufende Konto als delegierten Security Hub-CSPM-Administrator in allen verknüpften Regionen.
- Aktiviert Security Hub CSPM im delegierten Administratorkonto in allen verknüpften Regionen.
- Benennt das anrufende Konto als delegierten Security Hub CSPM-Administrator für neue und bestehende Konten, die Security Hub CSPM verwenden und zur Organisation gehören. Dies geschieht in der Heimatregion und allen verknüpften Regionen. Das anrufende Konto wird nur dann als delegierter Administrator für neue Organisationskonten eingerichtet, wenn sie einer Konfigurationsrichtlinie zugeordnet sind, für die Security Hub aktiviert ist. Das anrufende Konto wird nur dann als delegierter Administrator für bestehende Organisationskonten eingerichtet, wenn Security Hub CSPM bereits aktiviert ist.
- Legt die Option zur automatischen Aktivierung no-auto-enablein allen verknüpften Regionen und auf NONE in der Heimatregion und allen verknüpften Regionen fest auto-enable-standards. Diese Parameter sind in der Startseite und den verknüpften Regionen nicht relevant, wenn Sie die zentrale Konfiguration verwenden, aber Sie können Security Hub CSPM und Standardsicherheitsstandards in Organisationskonten mithilfe von Konfigurationsrichtlinien automatisch aktivieren.
Sie können jetzt die zentrale Konfiguration verwenden. Der delegierte Administrator kann Konfigurationsrichtlinien erstellen, um Security Hub CSPM in Ihrer Organisation zu konfigurieren. Anweisungen zur Erstellung einer Konfigurationsrichtlinie finden Sie unter. Konfigurationsrichtlinien erstellen und zuordnen

Beispielbefehl:


aws securityhub --region us-east-1 update-organization-configuration \
--no-auto-enable \
--organization-configuration '{"ConfigurationType": "CENTRAL"}'

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Zentrale Konfiguration

Zentral verwaltet versus selbstverwaltet