Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Activación automática de Security Hub CSPM en las nuevas cuentas de la organización
Cuando se incorporan nuevas cuentas a su organización, se añaden a la lista de la página Cuentas de la consola AWS Security Hub Cloud Security Posture Management (CSPM). En el caso de las cuentas de la organización, el Tipo es Por organización. De forma predeterminada, las cuentas nuevas no se convierten en miembros de Security Hub CSPM cuando se unen a la organización. Su estado es No es miembro. La cuenta de administrador delegado puede añadir automáticamente nuevas cuentas como miembros y habilitar Security Hub CSPM en estas cuentas cuando se unan a la organización.
nota
Aunque muchas de Regiones de AWS ellas están activas de forma predeterminada Cuenta de AWS, debe activar algunas regiones de forma manual. En el presente documento estas regiones se denominan regiones de suscripción voluntaria. Para habilitar automáticamente el CSPM de Security Hub en una cuenta nueva de una región que haya optado por participar, la cuenta debe tener esa región activada primero. Solo el propietario de la cuenta puede activar la región de suscripción voluntaria. Para obtener más información sobre las regiones de suscripción voluntaria, consulte Especificar qué puede usar Regiones de AWS su cuenta.
Este proceso es diferente en función de si se utiliza la configuración centralizada (recomendada) o la configuración local.
Habilitación automática de nuevas cuentas de la organización (configuración centralizada)
Si usa la configuración central, puede habilitar automáticamente el CSPM de Security Hub en las cuentas nuevas y existentes de la organización mediante la creación de una política de configuración en la que esté habilitado el CSPM de Security Hub. A continuación, puede asociar la política a la raíz de la organización o a unidades organizativas específicas (). OUs
Si asocia una política de configuración en la que el CSPM de Security Hub esté habilitado a una OU específica, el CSPM de Security Hub se habilita automáticamente en todas las cuentas (existentes y nuevas) que pertenecen a esa OU. Las cuentas nuevas que no pertenecen a la OU se autoadministran y no tienen activado automáticamente el CSPM de Security Hub. Si asocia una política de configuración en la que el CSPM de Security Hub esté habilitado con la raíz, el CSPM de Security Hub se habilita automáticamente en todas las cuentas (existentes y nuevas) que se unan a la organización. Las excepciones son si una cuenta usa una política diferente por aplicación o herencia, o si es autoadministrada.
En su política de configuración, también puede definir qué estándares y controles de seguridad deben habilitarse en la unidad organizativa. Para generar resultados de control para los estándares habilitados, las cuentas de la OU deben estar AWS Config habilitadas y configuradas para registrar los recursos necesarios. Para obtener más información sobre el AWS Config registro, consulte Habilitación y configuración AWS Config.
Para obtener instrucciones sobre cómo crear una política de configuración, consulte Creación y asociación de políticas de configuración.
Habilitación automática de nuevas cuentas de la organización (configuración local)
Al utilizar la configuración local y activar la activación automática de los estándares predeterminados, Security Hub CSPM agrega nuevas cuentas de la organización como miembros y habilita el Security Hub CSPM en ellas en la región actual. Otras regiones no se ven afectadas. Además, activar la activación automática no habilita el CSPM de Security Hub en las cuentas de la organización existentes, a menos que ya se hayan agregado como cuentas de miembros.
Después de activar la habilitación automática, los estándares de seguridad predeterminados se habilitan para las cuentas de miembro nuevas en la región actual cuando se unen a la organización. Los estándares predeterminados son AWS Foundational Security Best Practices (FSBP) y Center for Internet Security (CIS) Foundations Benchmark v1.2.0. AWS No puede cambiar los estándares predeterminados. Si desea habilitar otros estándares en toda su organización o habilitar los estándares para determinadas cuentas, le recomendamos que utilice la configuración OUs central.
Para generar resultados de control para los estándares predeterminados (y otros estándares habilitados), las cuentas de su organización deben estar AWS Config habilitadas y configuradas para registrar los recursos necesarios. Para obtener más información sobre el AWS Config registro, consulte Habilitar y configurar AWS Config.
Elige el método que prefieras y sigue los pasos para habilitar automáticamente el CSPM de Security Hub en las nuevas cuentas de la organización. Estas instrucciones solo se aplican si utiliza la configuración local.
