Recomendaciones para la administración de múltiples cuentas en el CSPM de Security Hub - AWS Security Hub
Número máximo de cuentas miembroCreación de relaciones administrador-miembroCoordinar cuentas de administrador en todos los servicios

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Recomendaciones para la administración de múltiples cuentas en el CSPM de Security Hub

En la siguiente sección se resumen algunas restricciones y recomendaciones que se deben tener en cuenta al administrar las cuentas de los miembros en AWS Security Hub CSPM.

Número máximo de cuentas miembro

Si utilizas la integración con AWS Organizations, Security Hub CSPM admite hasta 10 000 cuentas de miembros por cuenta de administrador delegado en cada una de ellas. Región de AWS Si habilita y administra el CSPM de Security Hub de manera manual, el CSPM de Security Hub admite hasta 1000 invitaciones a cuentas de miembro por cuenta de administrador en cada región.

Creación de relaciones administrador-miembro

nota

Si utilizas la integración CSPM de Security Hub con AWS Organizations una cuenta de miembro y no has invitado manualmente a ninguna cuenta de miembro, esta sección no se aplica a ti.

Una cuenta no puede ser cuenta de administrador y cuenta de miembro al mismo tiempo.

Una cuenta miembro solo se puede asociar con una cuenta de administrador. Si una cuenta de la organización está habilitada por la cuenta de administrador del CSPM de Security Hub, esa cuenta no puede aceptar una invitación de otra cuenta. Si una cuenta ya aceptó una invitación, no puede ser habilitada por la cuenta de administrador del CSPM de Security Hub para la organización. Tampoco puede recibir invitaciones de otras cuentas.

En el caso del proceso de invitación manual, aceptar una invitación para convertirse en miembro es opcional.

Membresía mediante AWS Organizations

Si integra Security Hub CSPM con AWS Organizations, la cuenta de administración de la organización puede designar una cuenta de administrador delegado (DA) para Security Hub CSPM. En Organizations, la cuenta de administración de la organización no se puede configurar como el administrador delegado. Aunque esto está permitido en el CSPM de Security Hub, recomendamos que la cuenta de administración de Organizations no sea el administrador delegado.

Le recomendamos que seleccione la misma cuenta de administrador delegado en todas las regiones. Si utiliza la configuración centralizada, el CSPM de Security Hub establece la misma cuenta de administrador delegado en todas las regiones en las que configure el CSPM de Security Hub para la organización.

También le recomendamos que elija la misma cuenta DA en todos los servicios de AWS seguridad y cumplimiento para ayudarle a gestionar los problemas relacionados con la seguridad desde un único panel de control.

Membresía por invitación

En el caso de las cuentas miembro creadas mediante invitación, la asociación de cuentas administrador-miembro se crea únicamente en la región desde la que se envía la invitación. La cuenta de administrador debe habilitar el CSPM de Security Hub en cada región en la que desee utilizarlo. A continuación, la cuenta de administrador invita a cada cuenta a convertirse en cuenta de miembro en esa región.

nota

Recomendamos utilizar, AWS Organizations en lugar de Security Hub, invitaciones CSPM para gestionar las cuentas de los miembros.

Coordinar cuentas de administrador en todos los servicios

Security Hub CSPM agrega los hallazgos de varios AWS servicios, como Amazon, Amazon GuardDuty Inspector y Amazon Macie. Security Hub CSPM también permite a los usuarios pasar de un GuardDuty hallazgo a iniciar una investigación en Amazon Detective.

Sin embargo, las relaciones administrador-miembro que se configuran en estos otros servicios no se aplican automáticamente al CSPM de Security Hub. El CSPM de Security Hub recomienda usar la misma cuenta como cuenta de administrador para todos estos servicios. Esta cuenta de administrador debe ser una cuenta responsable de las herramientas de seguridad. La misma cuenta también debe ser la cuenta de agregador de AWS Config.

Por ejemplo, un usuario de la cuenta de GuardDuty administrador A puede ver los resultados de las cuentas de los GuardDuty miembros B y C en la consola. GuardDuty Si la cuenta A activa el CSPM de Security Hub, los usuarios de la cuenta A no ven automáticamente los GuardDuty resultados de las cuentas B y C en Security Hub CSPM. Estas cuentas también requieren una relación de administrador-miembro del CSPM de Security Hub.

Para hacerlo, designe la cuenta A como la cuenta de administrador del CSPM de Security Hub y habilite las cuentas B y C para que se conviertan en cuentas de miembro del CSPM de Security Hub.