Habilitación manual del CSPM de Security Hub en las cuentas nuevas de la organización - AWS Security Hub

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Habilitación manual del CSPM de Security Hub en las cuentas nuevas de la organización

Si no habilita automáticamente el CSPM de Security Hub en las cuentas nuevas de la organización cuando se unen a la organización, puede agregar esas cuentas como cuentas de miembro y habilitar el CSPM de Security Hub en ellas de forma manual después de que se unan. También debe habilitar manualmente el CSPM de Security Hub si anteriormente Cuentas de AWS se desasoció de una organización.

nota

Esta sección no se aplica a su caso si utiliza la configuración centralizada. Si utilizas la configuración central, puedes crear políticas de configuración que habiliten el CSPM de Security Hub en determinadas cuentas de miembros y unidades organizativas ()OUs. También puedes habilitar estándares y controles específicos en esas cuentas y. OUs

No puede habilitar el CSPM de Security Hub en una cuenta si ya es una cuenta de miembro de otra organización.

Tampoco puede habilitar el CSPM de Security Hub en una cuenta que esté suspendida. Si intenta habilitar el servicio en una cuenta suspendida, el estado de la cuenta cambia a Cuenta suspendida.

  • Si la cuenta no tiene habilitado el CSPM de Security Hub, el CSPM de Security Hub se habilita para esa cuenta. El estándar AWS Foundational Security Best Practices (FSBP) y CIS AWS Foundations Benchmark v1.2.0 también están habilitados en la cuenta, a menos que desactive los estándares de seguridad predeterminados.

    La excepción a esto es la cuenta de administración de Organizations. El CSPM de Security Hub no se puede habilitar automáticamente para la cuenta de administración de Organizations. Debe habilitar el CSPM de Security Hub de forma manual en la cuenta de administración de Organizations antes de poder agregarla como una cuenta de miembro.

  • Si la cuenta ya tiene habilitado el CSPM de Security Hub, el CSPM de Security Hub no hace ningún otro cambio en la cuenta. Solo habilita la membresía.

Para que el CSPM de Security Hub genere resultados de control, las cuentas de los miembros deben estar AWS Config habilitadas y configuradas para registrar los recursos necesarios. Para obtener más información, consulte Habilitación y configuración de AWS Config.

Elija el método que prefiera y siga los pasos para habilitar una cuenta de organización como cuenta de miembro del CSPM de Security Hub.

Security Hub CSPM console
Habilitación manual de cuentas de la organización como miembros del CSPM de Security Hub

  1. Abra la consola CSPM de AWS Security Hub en. https://console.aws.amazon.com/securityhub/

    Inicie sesión con las credenciales de la cuenta de administrador delegado.

  2. En el panel de navegación del CSPM de Security Hub, en Ajustes, elija Configuración.

  3. En la lista Cuentas, seleccione cada cuenta de la organización que desee habilitar.

  4. Elija Acciones y Agregar miembro.

Security Hub CSPM API

Para habilitar manualmente cuentas de la organización como miembros del CSPM de Security Hub

Invoque la API CreateMembers desde la cuenta de administrador delegado. Debe indicar el ID de cada cuenta que desee habilitar.

A diferencia del proceso de invitación manual, al invocar CreateMembers para habilitar una cuenta de la organización, no es necesario enviar una invitación.

AWS CLI

Para habilitar manualmente cuentas de la organización como miembros del CSPM de Security Hub

Ejecute el comando create-members desde la cuenta de administrador delegado. Debe indicar el ID de cada cuenta que desee habilitar.

A diferencia del proceso de invitación manual, al ejecutar create-members para habilitar una cuenta de la organización, no es necesario enviar una invitación.

aws securityhub create-members --account-details '[{"AccountId": "<accountId>"}]'

Ejemplo

aws securityhub create-members --account-details '[{"AccountId": "123456789111"}, {"AccountId": "123456789222"}]'