Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Integración de Security Hub CSPM con AWS Organizations
Para integrar AWS Security Hub Cloud Security Posture Management (CSPM) y AWS Organizations, debe crear una organización en Organizations y utilizar la cuenta de administración de la organización para designar una cuenta de administrador delegada de Security Hub CSPM. Esto hace que Security Hub CSPM sea un servicio de confianza en Organizations. También habilita el CSPM de Security Hub en la cuenta actual Región de AWS de administrador delegado y permite al administrador delegado habilitar el CSPM de Security Hub para las cuentas de los miembros, ver los datos de las cuentas de los miembros y realizar otras acciones permitidas en las cuentas de los miembros.
Si utiliza la configuración central, el administrador delegado también puede crear políticas de configuración de CSPM del Security Hub que especifiquen cómo se deben configurar el servicio, los estándares y los controles de CSPM del Security Hub en las cuentas de la organización.
Creación de una organización
Una organización es una entidad que se crea para consolidarla y Cuentas de AWS poder administrarla como una sola unidad.
Puede crear una organización mediante la AWS Organizations consola o mediante un comando del SDK AWS CLI o de uno de ellos APIs. Para obtener instrucciones detalladas sobre cómo hacerlo, consulte Creación de una organización en la Guía del usuario de AWS Organizations .
Puede utilizarla AWS Organizations para ver y gestionar de forma centralizada todas las cuentas de su organización. Una organización tiene una cuenta de administración junto con cero o más cuentas miembro. Puedes organizar las cuentas en una estructura jerárquica similar a un árbol con una raíz en la parte superior y unidades organizativas (OUs) anidadas debajo de la raíz. Cada cuenta puede estar directamente debajo de la raíz o colocarse en una de las siguientes jerarquías. OUs Una unidad organizativa es un contenedor para cuentas específicas. Por ejemplo, puede crear una unidad organizativa de finanzas que incluya todas las cuentas relacionadas con las operaciones financieras.
Recomendaciones para elegir al administrador delegado de Security Hub (CSPM)
Si dispone de una cuenta de administrador gracias al proceso de invitación manual y está realizando la transición a la administración de cuentas con ella AWS Organizations, le recomendamos que designe esa cuenta como administrador delegado de CSPM de Security Hub.
Aunque el CSPM APIs y la consola del Security Hub permiten que la cuenta de administración de la organización sea el administrador delegado del CSPM del Security Hub, se recomienda elegir dos cuentas diferentes. Esto se debe a que es probable que los usuarios que tienen acceso a la cuenta de administración de la organización para administrar la facturación sean diferentes de los usuarios que necesitan acceso a Security Hub CSPM para la administración de la seguridad.
Le recomendamos que utilice el mismo administrador delegado en todas las regiones. Si opta por la configuración central, Security Hub CSPM designa automáticamente al mismo administrador delegado en su región de origen y en cualquier región vinculada.
Verificación de permisos para configurar al administrador delegado
Para designar y eliminar una cuenta de administrador de CSPM de Security Hub delegada, la cuenta de administración de la organización debe tener permisos EnableOrganizationAdminAccount
y DisableOrganizationAdminAccount
acciones en Security Hub CSPM. La cuenta de administración de Organizations también debe contar con permisos administrativos para Organizations.
Para conceder todos los permisos necesarios, adjunte las siguientes políticas gestionadas por CSPM de Security Hub al principal de IAM de la cuenta de administración de la organización:
Designación del administrador delegado
Para designar la cuenta de administrador CSPM de Security Hub delegada, puede utilizar la consola CSPM de Security Hub, la API CSPM de Security Hub o. AWS CLI Security Hub CSPM establece el administrador delegado Región de AWS solo en la actual, y debe repetir la acción en otras regiones. Si comienza a utilizar la configuración central, Security Hub CSPM establece automáticamente el mismo administrador delegado en la región de origen y en las regiones vinculadas.
La cuenta de administración de la organización no tiene que habilitar el CSPM de Security Hub para designar la cuenta de administrador del CSPM de Security Hub delegada.
Recomendamos que la cuenta de administración de la organización no sea la cuenta de administrador de CSPM de Security Hub delegada. Sin embargo, si elige la cuenta de administración de la organización como administrador delegado de CSPM de Security Hub, la cuenta de administración debe tener activado Security Hub CSPM. Si la cuenta de administración no tiene el Security Hub CSPM activado, debe habilitar el Security Hub CSPM para ella manualmente. El CSPM de Security Hub no se puede habilitar automáticamente para la cuenta de administración de la organización.
Debe designar al administrador CSPM de Security Hub delegado mediante uno de los siguientes métodos. La designación del administrador de CSPM de Security Hub delegado con Organizations APIs no se refleja en Security Hub CSPM.
Elija el método que prefiera y siga los pasos para designar la cuenta de administrador de CSPM de Security Hub delegada.