Opciones para configurar los ajustes en las cuentas autoadministradas Elección del tipo de administración

Objetivos gestionados de forma centralizada frente a objetivos autogestionados

Al habilitar la configuración central, el administrador delegado de AWS Security Hub Cloud Security Posture Management (CSPM) puede designar cada cuenta, unidad organizativa (OU) y raíz de la organización como gestionada de forma centralizada o autogestionada. El tipo de administración de un objetivo determina cómo se puede especificar la configuración de CSPM de Security Hub.

Para obtener información general sobre las ventajas de la configuración centralizada y su funcionamiento, consulte Descripción de la configuración central en Security Hub (CSPM).

En esta sección se explican las diferencias entre una designación administrada de forma centralizada y una autoadministrada, y cómo elegir el tipo de administración de una cuenta, una unidad organizativa o la raíz.

Autoadministrado: El propietario de una cuenta, unidad organizativa o root autogestionada debe configurar sus ajustes por separado en cada una de ellas. Región de AWS El administrador delegado no puede crear políticas de configuración para destinos autoadministrados.
Administrada de forma centralizada: Solo el administrador CSPM de Security Hub delegado puede configurar los ajustes de las cuentas gestionadas de forma centralizada o de la raíz en la región de origen y las regiones vinculadas. OUs Las políticas de configuración se pueden asociar a cuentas administradas de forma centralizada y. OUs

El administrador delegado puede cambiar el estado de un destino entre autoadministrado y administrado de forma centralizada. De forma predeterminada, todas las cuentas y la unidad organizativa se autoadministran al iniciar la configuración central a través de la API CSPM de Security Hub. En la consola, el tipo de administración depende de la primera política de configuración. Las cuentas y las OUs que asocie a su primera política se administran de forma centralizada. El resto de las cuentas OUs se administran automáticamente de forma predeterminada.

Si asocia una política de configuración a una cuenta previamente autogestionada, los ajustes de la política anulan la designación autogestionada. La cuenta pasa a administrarse de forma centralizada y adopta los ajustes reflejados en la política de configuración.

Si cambias una cuenta gestionada de forma centralizada a una cuenta autogestionada, se mantienen los ajustes que se aplicaban anteriormente a la cuenta mediante una política de configuración. Por ejemplo, una cuenta gestionada de forma centralizada podría asociarse inicialmente a una política que habilitara el CSPM de Security Hub, habilitara las prácticas recomendadas de seguridad AWS fundamentales y deshabilitara .1. CloudTrail Si, a continuación, designa la cuenta como autogestionada, todos los ajustes permanecerán inalterados. Sin embargo, el propietario de la cuenta puede cambiar de forma independiente la configuración de la cuenta en el futuro.

Las cuentas secundarias OUs pueden heredar el comportamiento autogestionado de una entidad matriz autogestionada, del mismo modo que las cuentas secundarias, y OUs pueden heredar las políticas de configuración de una entidad matriz gestionada de forma centralizada. Para obtener más información, consulte Asociación de políticas mediante la aplicación y la herencia.

Una cuenta o una unidad organizativa autoadministrada no puede heredar una política de configuración de un nodo principal o de la raíz. Por ejemplo, si desea que todas las cuentas de su organización hereden una política de configuración de la raíz, debe cambiar el tipo de administración de los nodos autogestionados a gestionados de forma centralizada. OUs

Opciones para configurar los ajustes en las cuentas autoadministradas

Las cuentas autoadministradas deben configurar sus ajustes por separado en cada región.

Los propietarios de cuentas autogestionadas pueden invocar las siguientes operaciones de la API CSPM de Security Hub en cada región para configurar sus ajustes:

EnableSecurityHuby DisableSecurityHub para habilitar o deshabilitar el servicio CSPM de Security Hub (si una cuenta autogestionada tiene un administrador de CSPM de Security Hub delegado, el administrador debe desasociar la cuenta antes de que el propietario de la cuenta pueda deshabilitar Security Hub CSPM).
BatchEnableStandards y BatchDisableStandards para habilitar o deshabilitar estándares
BatchUpdateStandardsControlAssociations o UpdateStandardsControl para habilitar o deshabilitar controles

Las cuentas autoadministradas también pueden utilizar las operaciones *Invitations y *Members. Sin embargo, recomendamos que las cuentas autoadministradas no utilicen estas operaciones. Las asociaciones de políticas pueden fallar si la cuenta de miembro tiene sus propios miembros que forman parte de una organización diferente a la del administrador delegado.

Para obtener descripciones de las acciones de la API CSPM de Security Hub, consulte la referencia de la AWS API de administración de posturas de seguridad (CSPM) de Security Hub Cloud.

Las cuentas autogestionadas también pueden usar la consola CSPM de Security Hub o AWS CLI configurar sus ajustes en cada región.

Las cuentas autogestionadas no pueden invocar ninguna política de configuración o asociación de políticas de CSPM APIs relacionada con Security Hub. Solo el administrador delegado puede invocar la configuración central APIs y utilizar las políticas de configuración para configurar las cuentas gestionadas de forma centralizada.

Elección del tipo de administración de un destino

Elija el método que prefiera y siga los pasos para designar una cuenta o unidad organizativa como gestionada de forma centralizada o autogestionada en AWS Security Hub Cloud Security Posture Management (CSPM).

Security Hub CSPM console

Elección del tipo de administración de una cuenta o unidad organizativa

Abra la consola AWS de Security Hub Cloud Security Posture Management (CSPM) en. https://console.aws.amazon.com/securityhub/

Inicie sesión con las credenciales de la cuenta de administrador CSPM de Security Hub delegada en la región de origen.
Elija Configuración.
En la pestaña Organización, seleccione la cuenta o la unidad organizativa de destino. Seleccione Editar.
En la página Definir configuración, en Tipo de administración, elija Administrada de forma centralizada si desea que el administrador delegado configure la cuenta o unidad organizativa de destino. A continuación, elija Aplicar una política específica si desea asociar una política de configuración existente al destino. Elija Heredar de mi organización si desea que el destino herede la configuración de la cuenta principal más cercana. Elija Autoadministrado si desea que la cuenta o unidad organizativa configure sus propios ajustes.
Elija Siguiente. Revise los cambios y seleccione Guardar.

Security Hub CSPM API

Elección del tipo de administración de una cuenta o unidad organizativa

Invoque la StartConfigurationPolicyAssociationAPI desde la cuenta de administrador delegado CSPM de Security Hub en la región de origen.
En el campo ConfigurationPolicyIdentifier, indique SELF_MANAGED_SECURITY_HUB si desea que la cuenta o unidad organizativa controle su propia configuración. Indique el nombre de recurso de Amazon (ARN) o el ID de la política de configuración correspondiente si desea que el administrador delegado controle la configuración de la cuenta o unidad organizativa.
Para el Target campo, proporcione el Cuenta de AWS ID, el ID de la OU o el ID raíz del objetivo cuyo tipo de administración desee cambiar. Esto asocia el comportamiento autoadministrado o la política de configuración especificada al destino. Las cuentas secundarias del destino pueden heredar el comportamiento autoadministrado o la política de configuración.

Ejemplo de solicitud de la API para designar una cuenta autoadministrada:


{
    "ConfigurationPolicyIdentifier": "SELF_MANAGED_SECURITY_HUB",
    "Target": {"AccountId": "123456789012"}
}

AWS CLI

Elección del tipo de administración de una cuenta o unidad organizativa

Ejecute el start-configuration-policy-associationcomando desde la cuenta de administrador delegado CSPM de Security Hub en la región de origen.
En el campo configuration-policy-identifier, indique SELF_MANAGED_SECURITY_HUB si desea que la cuenta o unidad organizativa controle su propia configuración. Indique el nombre de recurso de Amazon (ARN) o el ID de la política de configuración correspondiente si desea que el administrador delegado controle la configuración de la cuenta o unidad organizativa.
Para el target campo, proporcione el Cuenta de AWS ID, el ID de la OU o el ID raíz del objetivo cuyo tipo de administración desee cambiar. Esto asocia el comportamiento autoadministrado o la política de configuración especificada al destino. Las cuentas secundarias del destino pueden heredar el comportamiento autoadministrado o la política de configuración.

Ejemplo de comando para designar una cuenta autoadministrada:


aws securityhub --region us-east-1 start-configuration-policy-association \
--configuration-policy-identifier "SELF_MANAGED_SECURITY_HUB" \
--target '{"AccountId": "123456789012"}'

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Habilitar la configuración centralizada

Funcionamiento de las políticas de configuración