Desasociación de una configuración de sus objetivos - AWS Security Hub

Desasociación de una configuración de sus objetivos

Desde la cuenta de administrador delegada del CSPM de AWS Security Hub, puede desasociar una política de configuración o una configuración autoadministrada de una cuenta, unidad organizativa o raíz. La desasociación conserva la política para su uso en el futuro, pero elimina las asociaciones existentes de cuentas, unidades organizativas o raíz específicas. Solo puede desasociar una configuración aplicada directamente, no una configuración heredada. Para cambiar una configuración heredada, puede aplicar una política de configuración o un comportamiento autoadministrado a la cuenta o unidad organizativa afectada. También puede aplicar una nueva política de configuración, que incluya las modificaciones que desee, a la entidad principal más próxima.

La desasociación no elimina una política de configuración. La política se retiene en su cuenta, por lo que puede asociarla a otros destinos de su organización. Para obtener instrucciones sobre cómo eliminar una política de configuración, consulte Eliminación de políticas de configuración. Cuando se completa la desasociación, el destino afectado hereda la política de configuración o el comportamiento autoadministrado de la entidad principal más próxima. Si no hay una configuración heredable, el destino conserva la configuración que tenía antes de la desasociación, pero pasa a ser autoadministrado.

Elija el método que prefiera y siga los pasos para desasociar una cuenta, unidad organizativa o raíz de su configuración actual.

Console
Desasociación de una cuenta o unidad organizativa de su configuración actual

  1. Abra la consola del CSPM de AWS Security Hub en https://console.aws.amazon.com/securityhub/.

    Inicie sesión con las credenciales de la cuenta de administrador delegado del CSPM de Security Hub en la región de origen.

  2. En el panel de navegación, seleccione Configuración y Configuración.

  3. En la pestaña Organizaciones, seleccione la cuenta, unidad organizativa o la raíz que desee desasociar de su configuración actual. Seleccione Editar.

  4. En la página Definir configuración, en Administración, elija Política aplicada si desea que el administrador delegado tenga autorización para aplicar las políticas directamente al destino. Elija Heredada si desea que el destino herede la configuración de su entidad principal más próxima. En cualquiera de estos casos, el administrador delegado controla la configuración del destino. Elija Autoadministrada si desea que la cuenta o la unidad organizativa controlen su propia configuración.

  5. Tras revisar los cambios, seleccione Siguiente y Aplicar. Si las configuraciones entran en conflicto con las selecciones actuales, esta acción anula las configuraciones existentes de cualquier cuenta o unidad organizativa que esté dentro del ámbito de aplicación.

API
Desasociación de una cuenta o unidad organizativa de su configuración actual

  1. Invoque la API StartConfigurationPolicyDisassociation desde la cuenta de administrador delegado del CSPM de Security Hub en la región de origen.

  2. En ConfigurationPolicyIdentifier, indique el nombre de recurso de Amazon (ARN) o el ID de la política de configuración que desee desasociar. Indique SELF_MANAGED_SECURITY_HUB en este campo para desasociar el comportamiento autoadministrado.

  3. En Target, indique las cuentas, las unidades organizativas o la raíz que desee desasociar de esta política de configuración.

Ejemplo de solicitud de API para desasociar una política de configuración:

{
    "ConfigurationPolicyIdentifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "Target": {"RootId": "r-f6g7h8i9j0example"}
}
AWS CLI
Desasociación de una cuenta o unidad organizativa de su configuración actual

  1. Ejecute el comando start-configuration-policy-disassociation desde la cuenta de administrador delegado del CSPM de Security Hub en la región de origen.

  2. En configuration-policy-identifier, indique el nombre de recurso de Amazon (ARN) o el ID de la política de configuración que desee desasociar. Indique SELF_MANAGED_SECURITY_HUB en este campo para desasociar el comportamiento autoadministrado.

  3. En target, indique las cuentas, las unidades organizativas o la raíz que desee desasociar de esta política de configuración.

Ejemplo de comando para desasociar una política de configuración:

aws securityhub --region us-east-1 start-configuration-policy-disassociation \
--configuration-policy-identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--target '{"RootId": "r-f6g7h8i9j0example"}'