Opciones para configurar los ajustes en las cuentas autoadministradas Elección del tipo de administración

Destinos administrados centralmente y destinos autoadministrados

Cuando se habilita la configuración centralizada, el administrador delegado del CSPM de AWS Security Hub puede designar cada cuenta de la organización, unidad organizativa (UO) y la raíz como destino administrado centralmente o como destino autoadministrado. El tipo de administración de un destino determina cómo se puede especificar la configuración del CSPM de Security Hub.

Para obtener información general sobre las ventajas de la configuración centralizada y su funcionamiento, consulte Descripción de la configuración central en el CSPM de Security Hub.

En esta sección se explican las diferencias entre una designación administrada de forma centralizada y una autoadministrada, y cómo elegir el tipo de administración de una cuenta, una unidad organizativa o la raíz.

Autoadministrado: El propietario de una cuenta, una unidad organizativa o una raíz autoadministrada debe configurar los ajustes por separado en cada Región de AWS. El administrador delegado no puede crear políticas de configuración para destinos autoadministrados.
Administrada de forma centralizada: Solo el administrador delegado del CSPM de Security Hub puede configurar los ajustes de las cuentas, las unidades organizativas o la raíz administradas de forma centralizada en la región de origen y las regiones vinculadas. Las políticas de configuración se pueden asociar a cuentas y unidades organizativas administradas de forma centralizada.

El administrador delegado puede cambiar el estado de un destino entre autoadministrado y administrado de forma centralizada. De forma predeterminada, al iniciar la configuración centralizada mediante la API del CSPM de Security Hub, todas las cuentas y la unidad organizativa se establecen como destinos autoadministrados. En la consola, el tipo de administración depende de la primera política de configuración. Las cuentas y unidades organizativas que asocie a su primera política se administran de forma centralizada. El resto de cuentas y unidades organizativas se autoadministran de forma predeterminada.

Si se asocia una política de configuración a una cuenta que anteriormente era autoadministrada, la configuración de la política reemplaza la designación de autoadministración. La cuenta pasa a administrarse de forma centralizada y adopta los ajustes reflejados en la política de configuración.

Si cambia un destino administrado centralmente a un destino autoadministrado, las configuraciones que se habían aplicado previamente a la cuenta mediante una política de configuración permanecen vigentes. Por ejemplo, una cuenta administrada centralmente podría haber estado asociada inicialmente a una política que habilitaba el CSPM de Security Hub, habilitaba las Prácticas recomendadas de seguridad básica de AWS y desactivaba CloudTrail.1. Si luego designa la cuenta como autoadministrada, todas las configuraciones permanecen sin cambios. Sin embargo, el propietario de la cuenta puede modificar de manera independiente la configuración de la cuenta en adelante.

Las cuentas secundarias y las unidades organizativas pueden heredar el comportamiento autoadministrado de una cuenta principal autoadministrada, del mismo modo que las cuentas secundarias y unidades organizativas pueden heredar las políticas de configuración de una cuenta principal administrada de forma centralizada. Para obtener más información, consulte Asociación de políticas mediante la aplicación y la herencia.

Una cuenta o una unidad organizativa autoadministrada no puede heredar una política de configuración de un nodo principal o de la raíz. Por ejemplo, si desea que todas las cuentas y las unidades organizativas de su organización hereden una política de configuración de la raíz, debe cambiar el tipo de administración de los nodos autoadministrados a nodos de administración centralizada.

Opciones para configurar los ajustes en las cuentas autoadministradas

Las cuentas autoadministradas deben configurar sus ajustes por separado en cada región.

Los propietarios de cuentas autoadministradas pueden invocar las siguientes operaciones de la API del CSPM de Security Hub en cada región para establecer sus ajustes:

EnableSecurityHub y DisableSecurityHub para habilitar o desativar el servicio del CSPM de Security Hub (si una cuenta autoadministrada tiene un administrador delegado del CSPM de Security Hub, el administrador debe desasociar la cuenta antes de que el propietario de la cuenta pueda desactivar el CSPM de Security Hub).
BatchEnableStandards y BatchDisableStandards para habilitar o deshabilitar estándares
BatchUpdateStandardsControlAssociations o UpdateStandardsControl para habilitar o deshabilitar controles

Las cuentas autoadministradas también pueden utilizar las operaciones *Invitations y *Members. Sin embargo, recomendamos que las cuentas autoadministradas no utilicen estas operaciones. Las asociaciones de políticas pueden fallar si la cuenta de miembro tiene sus propios miembros que forman parte de una organización diferente a la del administrador delegado.

Para obtener descripciones de las acciones de la API del CSPM de Security Hub, consulte la Referencia de la API del CSPM de AWS Security Hub.

Las cuentas autoadministradas también pueden usar la consola del CSPM de Security Hub o la AWS CLI para configurar sus ajustes en cada región.

Las cuentas autoadministradas no pueden invocar ninguna API relacionada con las políticas de configuración del CSPM de Security Hub ni con asociaciones de políticas. Solo el administrador delegado puede invocar las API de configuración centralizada y utilizar las políticas de configuración para configurar las cuentas administradas de forma centralizada.

Elección del tipo de administración de un destino

Elija el método que prefiera y siga los pasos para designar una cuenta o una unidad organizativa como administrada de forma centralizada o autoadministrada en el CSPM de AWS Security Hub.

Security Hub CSPM console

Elección del tipo de administración de una cuenta o unidad organizativa

Abra la consola del CSPM de AWS Security Hub en https://console.aws.amazon.com/securityhub/.

Inicie sesión con las credenciales de la cuenta de administrador delegado del CSPM de Security Hub en la región de origen.
Elija Configuración.
En la pestaña Organización, seleccione la cuenta o la unidad organizativa de destino. Seleccione Editar.
En la página Definir configuración, en Tipo de administración, elija Administrada de forma centralizada si desea que el administrador delegado configure la cuenta o unidad organizativa de destino. A continuación, elija Aplicar una política específica si desea asociar una política de configuración existente al destino. Elija Heredar de mi organización si desea que el destino herede la configuración de la cuenta principal más cercana. Elija Autoadministrado si desea que la cuenta o unidad organizativa configure sus propios ajustes.
Elija Siguiente. Revise los cambios y seleccione Guardar.

Security Hub CSPM API

Elección del tipo de administración de una cuenta o unidad organizativa

Invoque la API StartConfigurationPolicyAssociation desde la cuenta de administrador delegado del CSPM de Security Hub en la región de origen.
En el campo ConfigurationPolicyIdentifier, indique SELF_MANAGED_SECURITY_HUB si desea que la cuenta o unidad organizativa controle su propia configuración. Indique el nombre de recurso de Amazon (ARN) o el ID de la política de configuración correspondiente si desea que el administrador delegado controle la configuración de la cuenta o unidad organizativa.
En el campo Target, indique el ID de Cuenta de AWS, el ID de la unidad organizativa o el ID de raíz del destino cuyo tipo de administración desee cambiar. Esto asocia el comportamiento autoadministrado o la política de configuración especificada al destino. Las cuentas secundarias del destino pueden heredar el comportamiento autoadministrado o la política de configuración.

Ejemplo de solicitud de la API para designar una cuenta autoadministrada:


{
    "ConfigurationPolicyIdentifier": "SELF_MANAGED_SECURITY_HUB",
    "Target": {"AccountId": "123456789012"}
}

AWS CLI

Elección del tipo de administración de una cuenta o unidad organizativa

Ejecute el comando start-configuration-policy-association desde la cuenta de administrador delegado del CSPM de Security Hub en la región de origen.
En el campo configuration-policy-identifier, indique SELF_MANAGED_SECURITY_HUB si desea que la cuenta o unidad organizativa controle su propia configuración. Indique el nombre de recurso de Amazon (ARN) o el ID de la política de configuración correspondiente si desea que el administrador delegado controle la configuración de la cuenta o unidad organizativa.
En el campo target, indique el ID de Cuenta de AWS, el ID de la unidad organizativa o el ID de raíz del destino cuyo tipo de administración desee cambiar. Esto asocia el comportamiento autoadministrado o la política de configuración especificada al destino. Las cuentas secundarias del destino pueden heredar el comportamiento autoadministrado o la política de configuración.

Ejemplo de comando para designar una cuenta autoadministrada:


aws securityhub --region us-east-1 start-configuration-policy-association \
--configuration-policy-identifier "SELF_MANAGED_SECURITY_HUB" \
--target '{"AccountId": "123456789012"}'

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Habilitar la configuración centralizada

Funcionamiento de las políticas de configuración