Integración del CSPM de Security Hub con AWS Organizations

Para integrar el CSPM de AWS Security Hub y AWS Organizations, debe crear una organización en Organizations y utilizar la cuenta de administración de la organización para designar una cuenta de administrador delegado del CSPM de Security Hub. Esto habilita el CSPM de Security Hub como un servicio de confianza en Organizations. También habilita el CSPM de Security Hub en la Región de AWS actual para la cuenta de administrador delegado y permite que el administrador delegado habilite el CSPM de Security Hub para las cuentas de miembro, consulte los datos de estas cuentas y realice otras acciones permitidas en ellas.

Si utiliza la configuración centralizada, el administrador delegado también puede crear políticas de configuración del CSPM de Security Hub que especifiquen cómo se deben configurar el servicio, los estándares y los controles del CSPM de Security Hub en las cuentas de la organización.

Creación de una organización

Una organización es una entidad que crea para consolidar sus Cuentas de AWS a fin de que pueda administrarlas como una única unidad.

Puede crear una organización mediante la consola de AWS Organizations o un comando de la AWS CLI o de las API de SDK. Para obtener instrucciones detalladas sobre cómo hacerlo, consulte Creación de una organización en la Guía del usuario de AWS Organizations.

Puede utilizar AWS Organizations para ver y administrar de forma centralizada todas las cuentas de su organización. Una organización tiene una cuenta de administración junto con cero o más cuentas miembro. Puede organizar las cuentas jerárquicamente en una estructura de árbol con una raíz en la parte superior y unidades organizativas (OU) anidadas bajo la raíz. Cada cuenta puede estar directamente en el nodo raíz o colocarse en una de las unidades organizativas de la jerarquía. Una unidad organizativa es un contenedor para cuentas específicas. Por ejemplo, puede crear una unidad organizativa de finanzas que incluya todas las cuentas relacionadas con las operaciones financieras.

Recomendaciones para elegir al administrador delegado del CSPM de Security Hub

Si ya tiene una cuenta de administrador establecida mediante el proceso de invitación manual y está en proceso de transición hacia la administración de cuentas con AWS Organizations, recomendamos designar esa cuenta como el administrador delegado del CSPM de Security Hub.

Aunque las API y la consola del CSPM de Security Hub permiten que la cuenta de administración de la organización sea el administrador delegado del CSPM de Security Hub, recomendamos utilizar dos cuentas distintas. Esto se debe a que quienes acceden a la cuenta de administración de la organización para administrar la facturación suelen ser diferentes de quienes necesitan acceder al CSPM de Security Hub para administrar la seguridad.

Le recomendamos que utilice el mismo administrador delegado en todas las regiones. Si opta por la configuración centralizada, el CSPM de Security Hub designa automáticamente el mismo administrador delegado en la región de origen y en cualquier región vinculada.

Verificación de permisos para configurar al administrador delegado

Para designar y eliminar una cuenta de administrador delegado del CSPM de Security Hub, la cuenta de administración de la organización debe tener permisos para las acciones EnableOrganizationAdminAccount y DisableOrganizationAdminAccount en el CSPM de Security Hub. La cuenta de administración de Organizations también debe contar con permisos administrativos para Organizations.

Para conceder todos los permisos necesarios, asocie las siguientes políticas administradas del CSPM de Security Hub a la entidad principal de IAM de la cuenta de administración de la organización:

Designación del administrador delegado

Para designar la cuenta de administrador delegado del CSPM de Security Hub, puede usar la consola del CSPM de Security Hub, la API del CSPM de Security Hub o la AWS CLI. El CSPM de Security Hub establece al administrador delegado solo en la Región de AWS actual, por lo que debe repetir la acción en las demás regiones. Si comienza a usar la configuración centralizada, el CSPM de Security Hub establece automáticamente el mismo administrador delegado en la región de origen y en las regiones vinculadas.

La cuenta de administración de la organización no necesita tener habilitado el CSPM de Security Hub para designar a la cuenta de administrador delegado del CSPM de Security Hub.

Recomendamos que la cuenta de administración de la organización no sea la cuenta de administrador delegado del CSPM de Security Hub. Sin embargo, si decide usar la cuenta de administración de la organización como la cuenta de administrador delegado del CSPM de Security Hub, la cuenta de administración debe tener habilitado el CSPM de Security Hub. Si la cuenta de administración no tiene habilitado el CSPM de Security Hub, debe habilitar el CSPM de Security Hub manualmente para esa cuenta. El CSPM de Security Hub no se puede habilitar automáticamente para la cuenta de administración de la organización.

Debe designar al administrador delegado del CSPM de Security Hub mediante uno de los siguientes métodos. La designación del administrador delegado del CSPM de Security Hub a través de las API de Organizations no se refleja en el CSPM de Security Hub.

Elija el método que prefiera y siga los pasos para designar la cuenta de administrador delegado del CSPM de Security Hub.

Security Hub CSPM console

Para designar al administrador delegado durante el proceso de incorporación

1. Abra la consola del CSPM de AWS Security Hub en https://console.aws.amazon.com/securityhub/.

2. Seleccione Ir al CSPM de Security Hub. Se le solicitará que inicie sesión en la cuenta de administración de la organización.

3. En la página Designar administrador delegado, en la sección Cuenta de administrador delegado, especifique la cuenta de administrador delegado. Se recomienda que elija el mismo administrador delegado que haya configurado para otros servicios de seguridad y conformidad de AWS.

4. Elija Establecer administrador delegado. Se le solicitará que inicie sesión en la cuenta de administrador delegado (si aún no lo ha hecho) para continuar con la integración con la configuración centralizada. Si no desea iniciar la configuración centralizada, seleccione Cancelar. Su administrador delegado está configurado, pero usted todavía no utiliza la configuración centralizada.

Para designar al administrador delegado desde la página Configuración

1. Abra la consola del CSPM de AWS Security Hub en https://console.aws.amazon.com/securityhub/.

2. En el panel de navegación del CSPM de Security Hub, elija Configuración. A continuación, elija General.

3. Si actualmente hay asignada una cuenta de administrador del CSPM de Security Hub, debe eliminarla antes de poder designar una nueva cuenta.

   En Administrador delegado, para eliminar la cuenta actual, seleccione Eliminar.

4. Ingrese el ID de la cuenta que desea designar como administrador del CSPM de Security Hub.

   Debe designar la misma cuenta de administrador del CSPM de Security Hub en todas las regiones. Si designa una cuenta diferente de la que ha designado en otras regiones, la consola le mostrará un error.

5. Elija Delegar.

Security Hub CSPM API, AWS CLI

Desde la cuenta de administración de la organización, use la operación EnableOrganizationAdminAccount de la API del CSPM de Security Hub. Si utiliza la AWS CLI, ejecute el comando enable-organization-admin-account. Proporcione el ID de la Cuenta de AWS del administrador delegado del CSPM de Security Hub.

El siguiente ejemplo designa al administrador delegado del CSPM de Security Hub- Este ejemplo está formateado para Linux, macOS o Unix y utiliza el carácter de barra invertida (\) de continuación de línea para mejorar la legibilidad.

$ aws securityhub enable-organization-admin-account --admin-account-id 123456789012