Integración de Security Hub CSPM con AWS Organizations - AWS Security Hub

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Integración de Security Hub CSPM con AWS Organizations

Para integrar AWS Security Hub Cloud Security Posture Management (CSPM) y AWS Organizations, debe crear una organización en Organizations y utilizar la cuenta de administración de la organización para designar una cuenta de administrador delegada de Security Hub CSPM. Esto hace que Security Hub CSPM sea un servicio de confianza en Organizations. También habilita el CSPM de Security Hub en la cuenta actual Región de AWS de administrador delegado y permite al administrador delegado habilitar el CSPM de Security Hub para las cuentas de los miembros, ver los datos de las cuentas de los miembros y realizar otras acciones permitidas en las cuentas de los miembros.

Si utiliza la configuración central, el administrador delegado también puede crear políticas de configuración de CSPM del Security Hub que especifiquen cómo se deben configurar el servicio, los estándares y los controles de CSPM del Security Hub en las cuentas de la organización.

Creación de una organización

Una organización es una entidad que se crea para consolidarla y Cuentas de AWS poder administrarla como una sola unidad.

Puede crear una organización mediante la AWS Organizations consola o mediante un comando del SDK AWS CLI o de uno de ellos APIs. Para obtener instrucciones detalladas sobre cómo hacerlo, consulte Creación de una organización en la Guía del usuario de AWS Organizations .

Puede utilizarla AWS Organizations para ver y gestionar de forma centralizada todas las cuentas de su organización. Una organización tiene una cuenta de administración junto con cero o más cuentas miembro. Puedes organizar las cuentas en una estructura jerárquica similar a un árbol con una raíz en la parte superior y unidades organizativas (OUs) anidadas debajo de la raíz. Cada cuenta puede estar directamente debajo de la raíz o colocarse en una de las siguientes jerarquías. OUs Una unidad organizativa es un contenedor para cuentas específicas. Por ejemplo, puede crear una unidad organizativa de finanzas que incluya todas las cuentas relacionadas con las operaciones financieras.

Recomendaciones para elegir al administrador delegado de Security Hub (CSPM)

Si dispone de una cuenta de administrador gracias al proceso de invitación manual y está realizando la transición a la administración de cuentas con ella AWS Organizations, le recomendamos que designe esa cuenta como administrador delegado de CSPM de Security Hub.

Aunque el CSPM APIs y la consola del Security Hub permiten que la cuenta de administración de la organización sea el administrador delegado del CSPM del Security Hub, se recomienda elegir dos cuentas diferentes. Esto se debe a que es probable que los usuarios que tienen acceso a la cuenta de administración de la organización para administrar la facturación sean diferentes de los usuarios que necesitan acceso a Security Hub CSPM para la administración de la seguridad.

Le recomendamos que utilice el mismo administrador delegado en todas las regiones. Si opta por la configuración central, Security Hub CSPM designa automáticamente al mismo administrador delegado en su región de origen y en cualquier región vinculada.

Verificación de permisos para configurar al administrador delegado

Para designar y eliminar una cuenta de administrador de CSPM de Security Hub delegada, la cuenta de administración de la organización debe tener permisos EnableOrganizationAdminAccount y DisableOrganizationAdminAccount acciones en Security Hub CSPM. La cuenta de administración de Organizations también debe contar con permisos administrativos para Organizations.

Para conceder todos los permisos necesarios, adjunte las siguientes políticas gestionadas por CSPM de Security Hub al principal de IAM de la cuenta de administración de la organización:

Designación del administrador delegado

Para designar la cuenta de administrador CSPM de Security Hub delegada, puede utilizar la consola CSPM de Security Hub, la API CSPM de Security Hub o. AWS CLI Security Hub CSPM establece el administrador delegado Región de AWS solo en la actual, y debe repetir la acción en otras regiones. Si comienza a utilizar la configuración central, Security Hub CSPM establece automáticamente el mismo administrador delegado en la región de origen y en las regiones vinculadas.

La cuenta de administración de la organización no tiene que habilitar el CSPM de Security Hub para designar la cuenta de administrador del CSPM de Security Hub delegada.

Recomendamos que la cuenta de administración de la organización no sea la cuenta de administrador de CSPM de Security Hub delegada. Sin embargo, si elige la cuenta de administración de la organización como administrador delegado de CSPM de Security Hub, la cuenta de administración debe tener activado Security Hub CSPM. Si la cuenta de administración no tiene el Security Hub CSPM activado, debe habilitar el Security Hub CSPM para ella manualmente. El CSPM de Security Hub no se puede habilitar automáticamente para la cuenta de administración de la organización.

Debe designar al administrador CSPM de Security Hub delegado mediante uno de los siguientes métodos. La designación del administrador de CSPM de Security Hub delegado con Organizations APIs no se refleja en Security Hub CSPM.

Elija el método que prefiera y siga los pasos para designar la cuenta de administrador de CSPM de Security Hub delegada.

Security Hub CSPM console
Para designar al administrador delegado durante el proceso de incorporación
  1. Abra la consola AWS de Security Hub Cloud Security Posture Management (CSPM) en. https://console.aws.amazon.com/securityhub/

  2. Selecciona Ir a Security Hub CSPM. Se le solicitará que inicie sesión en la cuenta de administración de la organización.

  3. En la página Designar administrador delegado, en la sección Cuenta de administrador delegado, especifique la cuenta de administrador delegado. Se recomienda que elija el mismo administrador delegado que haya configurado para otros servicios de seguridad y conformidad de AWS .

  4. Elija Establecer administrador delegado. Se le solicitará que inicie sesión en la cuenta de administrador delegado (si aún no lo ha hecho) para continuar con la integración con la configuración centralizada. Si no desea iniciar la configuración centralizada, seleccione Cancelar. Su administrador delegado está configurado, pero usted todavía no utiliza la configuración centralizada.

Para designar al administrador delegado desde la página Configuración
  1. Abra la consola AWS de Security Hub Cloud Security Posture Management (CSPM) en. https://console.aws.amazon.com/securityhub/

  2. En el panel de navegación CSPM de Security Hub, elija Configuración. A continuación, elija General.

  3. Si actualmente hay asignada una cuenta de administrador CSPM de Security Hub, antes de poder designar una nueva cuenta, debe eliminar la cuenta actual.

    En Administrador delegado, para eliminar la cuenta actual, seleccione Eliminar.

  4. Introduzca el ID de cuenta de la cuenta que desee designar como cuenta de administrador de CSPM de Security Hub.

    Debe designar la misma cuenta de administrador CSPM de Security Hub en todas las regiones. Si designa una cuenta diferente de la que ha designado en otras regiones, la consola le mostrará un error.

  5. Elija Delegar.

Security Hub CSPM API, AWS CLI

Desde la cuenta de administración de la organización, utilice la EnableOrganizationAdminAccountoperación de la API CSPM de Security Hub. Si utiliza la AWS CLI, ejecute el comando enable-organization-admin-account. Proporcione el Cuenta de AWS ID del administrador de CSPM de Security Hub delegado.

El siguiente ejemplo designa al administrador CSPM de Security Hub delegado. Este ejemplo está formateado para Linux, macOS o Unix y utiliza el carácter de barra invertida (\) de continuación de línea para mejorar la legibilidad.

$ aws securityhub enable-organization-admin-account --admin-account-id 123456789012