Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Habilitación automática de nuevas cuentas de la organización en el CSPM de Security Hub
Cuando se incorporan nuevas cuentas a su organización, se añaden a la lista de la página Cuentas de la consola CSPM de AWS Security Hub. En el caso de las cuentas de la organización, el Tipo es Por organización. De forma predeterminada, las cuentas nuevas no se convierten en cuentas de miembro del CSPM de Security Hub cuando se unen a la organización. Su estado es No es miembro. La cuenta de administrador delegado puede agregar de manera automática cuentas nuevas como miembros y habilitar el CSPM de Security Hub en estas cuentas cuando se unen a la organización.
nota
Aunque muchas de Regiones de AWS ellas están activas de forma predeterminada Cuenta de AWS, debe activar algunas regiones de forma manual. En el presente documento estas regiones se denominan regiones de suscripción voluntaria. Para habilitar automáticamente el CSPM de Security Hub en una cuenta nueva en una región de suscripción voluntaria, primero debe activar esa región en la cuenta. Solo el propietario de la cuenta puede activar la región de suscripción voluntaria. Para obtener más información sobre las regiones con las que puedes suscribirte, consulta Cómo especificar qué regiones puede usar Regiones de AWS tu cuenta.
Este proceso es diferente en función de si se utiliza la configuración centralizada (recomendada) o la configuración local.
Habilitación automática de nuevas cuentas de la organización (configuración centralizada)
Si utiliza la configuración centralizada, puede habilitar automáticamente el CSPM de Security Hub en las cuentas nuevas y las existentes de la organización mediante la creación de una política de configuración en la que el CSPM de Security Hub esté habilitado. A continuación, puede asociar la política a la raíz de la organización o a unidades organizativas específicas (OUs).
Si asocia una política de configuración que habilita el CSPM de Security Hub a una UO específica, el CSPM de Security Hub se habilita automáticamente en todas las cuentas (existentes y nuevas) que pertenecen a esa UO. Las cuentas nuevas que no pertenecen a la unidad organizativa se autoadministran y no tienen habilitado el CSPM de Security Hub automáticamente. Si asocia a la raíz una política de configuración en la que el CSPM de Security Hub esté habilitado, el CSPM de Security Hub se habilitará automáticamente en todas las cuentas (existentes y nuevas) que se unan a la organización. Las excepciones son si una cuenta usa una política diferente por aplicación o herencia, o si es autoadministrada.
En su política de configuración, también puede definir qué estándares y controles de seguridad deben habilitarse en la unidad organizativa. Para generar resultados de control para los estándares habilitados, las cuentas de la OU deben estar AWS Config habilitadas y configuradas para registrar los recursos necesarios. Para obtener más información sobre el AWS Config registro, consulte Habilitación y configuración AWS Config.
Para obtener instrucciones sobre cómo crear una política de configuración, consulte Creación y asociación de políticas de configuración.
Habilitación automática de nuevas cuentas de la organización (configuración local)
Cuando utiliza la configuración local y activa la habilitación automática de los estándares predeterminados, el CSPM de Security Hub agrega cuentas nuevas de la organización como miembros y habilita el CSPM de Security Hub en estas en la región actual. Otras regiones no se ven afectadas. Además, al activar la habilitación automática, no se habilita el CSPM de Security Hub en las cuentas de la organización existentes, a menos que ya se hayan agregado como cuentas de miembro.
Después de activar la habilitación automática, los estándares de seguridad predeterminados se habilitan para las cuentas de miembro nuevas en la región actual cuando se unen a la organización. Los estándares predeterminados son AWS Foundational Security Best Practices (FSBP) y AWS Foundations Benchmark v1.2.0 del Center for Internet Security (CIS). No puede cambiar los estándares predeterminados. Si desea habilitar otros estándares en toda su organización o habilitar los estándares para determinadas cuentas, le recomendamos que utilice la configuración OUs central.
Para generar resultados de control para los estándares predeterminados (y otros estándares habilitados), las cuentas de su organización deben estar AWS Config habilitadas y configuradas para registrar los recursos necesarios. Para obtener más información sobre el AWS Config registro, consulte Habilitar y configurar AWS Config.
Elija el método que prefiera y siga estos pasos para habilitar el CSPM de Security Hub en nuevas cuentas de la organización. Estas instrucciones solo se aplican si utiliza la configuración local.
