Destinos administrados centralmente y destinos autoadministrados - AWS Security Hub
Opciones para configurar los ajustes en las cuentas autoadministradasElección del tipo de administración

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Destinos administrados centralmente y destinos autoadministrados

Al habilitar la configuración central, el administrador de CSPM de AWS Security Hub delegado puede designar cada cuenta, unidad organizativa (OU) y raíz de la organización como gestionada de forma centralizada o autogestionada. El tipo de administración de un destino determina cómo se puede especificar la configuración del CSPM de Security Hub.

Para obtener información general sobre las ventajas de la configuración centralizada y su funcionamiento, consulte Descripción de la configuración central en el CSPM de Security Hub.

En esta sección se explican las diferencias entre una designación administrada de forma centralizada y una autoadministrada, y cómo elegir el tipo de administración de una cuenta, una unidad organizativa o la raíz.

Autoadministrado

El propietario de una cuenta, unidad organizativa o raíz autogestionada debe configurar sus ajustes por separado en cada una de ellas. Región de AWS El administrador delegado no puede crear políticas de configuración para destinos autoadministrados.

Administrada de forma centralizada

Solo el administrador CSPM de Security Hub delegado puede configurar los ajustes de las cuentas gestionadas de forma centralizada o de la raíz en la región de origen y las regiones vinculadas. OUs Las políticas de configuración se pueden asociar a cuentas administradas de forma centralizada y. OUs

El administrador delegado puede cambiar el estado de un destino entre autoadministrado y administrado de forma centralizada. De forma predeterminada, al iniciar la configuración centralizada mediante la API del CSPM de Security Hub, todas las cuentas y la unidad organizativa se establecen como destinos autoadministrados. En la consola, el tipo de administración depende de la primera política de configuración. Las cuentas y las OUs que asocie a su primera política se administran de forma centralizada. El resto de las cuentas OUs se administran automáticamente de forma predeterminada.

Si se asocia una política de configuración a una cuenta que anteriormente era autoadministrada, la configuración de la política reemplaza la designación de autoadministración. La cuenta pasa a administrarse de forma centralizada y adopta los ajustes reflejados en la política de configuración.

Si cambia un destino administrado centralmente a un destino autoadministrado, las configuraciones que se habían aplicado previamente a la cuenta mediante una política de configuración permanecen vigentes. Por ejemplo, una cuenta gestionada de forma centralizada podría asociarse inicialmente a una política que habilitara el CSPM de Security Hub, habilitara las prácticas recomendadas de seguridad AWS fundamentales y deshabilitara .1. CloudTrail Si luego designa la cuenta como autoadministrada, todas las configuraciones permanecen sin cambios. Sin embargo, el propietario de la cuenta puede modificar de manera independiente la configuración de la cuenta en adelante.

Las cuentas secundarias OUs pueden heredar el comportamiento autogestionado de un progenitor autogestionado, del mismo modo que las cuentas secundarias y OUs pueden heredar las políticas de configuración de un progenitor gestionado de forma centralizada. Para obtener más información, consulte Asociación de políticas mediante la aplicación y la herencia.

Una cuenta o una unidad organizativa autoadministrada no puede heredar una política de configuración de un nodo principal o de la raíz. Por ejemplo, si desea que todas las cuentas de su organización hereden una política de configuración de la raíz, debe cambiar el tipo de administración de los nodos autogestionados a gestionados de forma centralizada. OUs

Opciones para configurar los ajustes en las cuentas autoadministradas

Las cuentas autoadministradas deben configurar sus ajustes por separado en cada región.

Los propietarios de cuentas autoadministradas pueden invocar las siguientes operaciones de la API del CSPM de Security Hub en cada región para establecer sus ajustes:

  • EnableSecurityHub y DisableSecurityHub para habilitar o desativar el servicio del CSPM de Security Hub (si una cuenta autoadministrada tiene un administrador delegado del CSPM de Security Hub, el administrador debe desasociar la cuenta antes de que el propietario de la cuenta pueda desactivar el CSPM de Security Hub).

  • BatchEnableStandards y BatchDisableStandards para habilitar o deshabilitar estándares

  • BatchUpdateStandardsControlAssociations o UpdateStandardsControl para habilitar o deshabilitar controles

Las cuentas autoadministradas también pueden utilizar las operaciones *Invitations y *Members. Sin embargo, recomendamos que las cuentas autoadministradas no utilicen estas operaciones. Las asociaciones de políticas pueden fallar si la cuenta de miembro tiene sus propios miembros que forman parte de una organización diferente a la del administrador delegado.

Para obtener descripciones de las acciones de la API del CSPM de Security Hub, consulte la Referencia de la API del CSPM de AWS Security Hub.

Las cuentas autogestionadas también pueden usar la consola CSPM de Security Hub o AWS CLI configurar sus ajustes en cada región.

Las cuentas autogestionadas no pueden invocar ninguna política de configuración o asociación de políticas de CSPM APIs relacionada con Security Hub. Solo el administrador delegado puede invocar la configuración central APIs y utilizar las políticas de configuración para configurar las cuentas gestionadas de forma centralizada.

Elección del tipo de administración de un destino

Elija el método que prefiera y siga los pasos para designar una cuenta o unidad organizativa como gestionada de forma centralizada o autogestionada en AWS Security Hub CSPM.

Security Hub CSPM console
Elección del tipo de administración de una cuenta o unidad organizativa

  1. Abra la consola CSPM de AWS Security Hub en. https://console.aws.amazon.com/securityhub/

    Inicie sesión con las credenciales de la cuenta de administrador delegado del CSPM de Security Hub en la región de origen.

  2. Elija Configuración.

  3. En la pestaña Organización, seleccione la cuenta o la unidad organizativa de destino. Elija Edit (Edición de).

  4. En la página Definir configuración, en Tipo de administración, elija Administrada de forma centralizada si desea que el administrador delegado configure la cuenta o unidad organizativa de destino. A continuación, elija Aplicar una política específica si desea asociar una política de configuración existente al destino. Elija Heredar de mi organización si desea que el destino herede la configuración de la cuenta principal más cercana. Elija Autoadministrado si desea que la cuenta o unidad organizativa configure sus propios ajustes.

  5. Elija Siguiente. Revise los cambios y seleccione Guardar.

Security Hub CSPM API
Elección del tipo de administración de una cuenta o unidad organizativa

  1. Invoque la API StartConfigurationPolicyAssociation desde la cuenta de administrador delegado del CSPM de Security Hub en la región de origen.

  2. En el campo ConfigurationPolicyIdentifier, indique SELF_MANAGED_SECURITY_HUB si desea que la cuenta o unidad organizativa controle su propia configuración. Indique el nombre de recurso de Amazon (ARN) o el ID de la política de configuración correspondiente si desea que el administrador delegado controle la configuración de la cuenta o unidad organizativa.

  3. Para el Target campo, proporcione el Cuenta de AWS ID, el ID de la OU o el ID raíz del objetivo cuyo tipo de administración desee cambiar. Esto asocia el comportamiento autoadministrado o la política de configuración especificada al destino. Las cuentas secundarias del destino pueden heredar el comportamiento autoadministrado o la política de configuración.

Ejemplo de solicitud de la API para designar una cuenta autoadministrada:

{
    "ConfigurationPolicyIdentifier": "SELF_MANAGED_SECURITY_HUB",
    "Target": {"AccountId": "123456789012"}
}
AWS CLI
Elección del tipo de administración de una cuenta o unidad organizativa

  1. Ejecute el comando start-configuration-policy-association desde la cuenta de administrador delegado del CSPM de Security Hub en la región de origen.

  2. En el campo configuration-policy-identifier, indique SELF_MANAGED_SECURITY_HUB si desea que la cuenta o unidad organizativa controle su propia configuración. Indique el nombre de recurso de Amazon (ARN) o el ID de la política de configuración correspondiente si desea que el administrador delegado controle la configuración de la cuenta o unidad organizativa.

  3. Para el target campo, proporcione el Cuenta de AWS ID, el ID de la OU o el ID raíz del objetivo cuyo tipo de administración desee cambiar. Esto asocia el comportamiento autoadministrado o la política de configuración especificada al destino. Las cuentas secundarias del destino pueden heredar el comportamiento autoadministrado o la política de configuración.

Ejemplo de comando para designar una cuenta autoadministrada:

aws securityhub --region us-east-1 start-configuration-policy-association \
--configuration-policy-identifier "SELF_MANAGED_SECURITY_HUB" \
--target '{"AccountId": "123456789012"}'