Desactivación del CSPM de Security Hub Cuenta miembro disociada de la cuenta de administrador Cómo eliminar una cuenta miembro de una organización Cuenta suspendida Cuenta cerrada

Efecto de las acciones de la cuenta en los datos del CSPM de Security Hub

Estas acciones de la cuenta tienen los siguientes efectos en los datos del CSPM de AWS Security Hub.

Desactivación del CSPM de Security Hub

Si utiliza la configuración centralizada, el administrador delegado (DA) puede crear políticas de configuración del CSPM de Security Hub que desactiven el CSPM de AWS Security Hub en cuentas y unidades organizativas (UO) específicas. En este caso, el CSPM de Security Hub se desactiva en las cuentas y UO especificadas, tanto en la región de origen como en cualquier región vinculada. Si no utiliza la configuración centralizada, debe desactivar el CSPM de Security Hub por separado en cada cuenta y región donde lo haya habilitado. No puede usar la configuración centralizada si el CSPM de Security Hub está desactivado en la cuenta del administrador delegado.

No se generan ni actualizan resultados para la cuenta de administrador si el CSPM de Security Hub está desactivado en esa cuenta. Los resultados archivados existentes se eliminan después de 30 días. Los resultados activos existentes se eliminan después de 90 días.

Las integraciones con otros Servicios de AWS se eliminan.

Los estándares de seguridad y controles habilitados se deshabilitan.

Otros datos y configuraciones del CSPM de Security Hub, incluidas las acciones personalizadas, la información y las suscripciones a productos de terceros, se retienen durante 90 días.

Cuenta miembro disociada de la cuenta de administrador

Cuando una cuenta miembro se desvincula de la cuenta de administrador, esta pierde el permiso para ver los resultados en la cuenta de miembro. Sin embargo, el CSPM de Security Hub permanece habilitado en ambas cuentas.

Si utiliza la configuración centralizada, el administrador delegado no puede configurar el CSPM de Security Hub para una cuenta de miembro que esté desasociada de la cuenta del administrador delegado.

La configuración personalizada o las integraciones definidas para la cuenta de administrador no se aplican a los resultados de la antigua cuenta de miembro. Por ejemplo, una vez que se han desvinculado las cuentas, es posible que se utilice una acción personalizada en la cuenta de administrador como patrón de eventos en una regla de Amazon EventBridge. Sin embargo, esta acción personalizada no se puede utilizar en la cuenta de miembro.

En la lista Cuentas de la cuenta de administrador del CSPM de Security Hub, una cuenta eliminada aparece con el estado Desasociada.

Cómo eliminar una cuenta miembro de una organización

Cuando se elimina una cuenta de miembro de una organización, la cuenta de administrador del CSPM de Security Hub pierde el permiso para ver los resultados de la cuenta de miembro. Sin embargo, el CSPM de Security Hub permanece habilitado en ambas cuentas con la misma configuración que tenían antes de la eliminación.

Si utiliza la configuración centralizada, no puede configurar el CSPM de Security Hub para una cuenta de miembro después de que se haya eliminado de la organización a la que pertenece el administrador delegado. Sin embargo, la cuenta retiene la configuración que tenía antes de la eliminación, a menos que la cambie manualmente.

En la lista Cuentas de la cuenta de administrador del CSPM de Security Hub, una cuenta eliminada aparece con el estado Eliminada.

Cuenta suspendida

Cuando una Cuenta de AWS se suspende, la cuenta pierde el permiso para ver sus resultados en el CSPM de Security Hub. No se generan ni actualizan resultados para esa cuenta. La cuenta de administrador de una cuenta suspendida puede ver los resultados existentes de la cuenta.

En el caso de una cuenta de organización, el estado de la cuenta de miembro también puede cambiar a Cuenta suspendida. Esto sucede si la cuenta se suspende en el mismo momento en que la cuenta del administrador intenta habilitarla. La cuenta de administrador de una Cuenta suspendida no puede ver los resultados de esa cuenta. De lo contrario, el estado suspendido no afectará al estado de la cuenta miembro.

Si utiliza la configuración centralizada, se producirá un error en la asociación de políticas si el administrador delegado intenta asociar una política de configuración a una cuenta suspendida.

Transcurridos 90 días, la cuenta se termina o se reactiva. Cuando la cuenta se reactiva, se restauran sus permisos del CSPM de Security Hub. Si el estado de la cuenta de miembro es Cuenta suspendida, la cuenta del administrador debe habilitar la cuenta manualmente.

Cuenta cerrada

Cuando una Cuenta de AWS se cierra, el CSPM de Security Hub responde al cierre de la siguiente manera.

Si la cuenta es una cuenta de administrador del CSPM de Security Hub, se elimina como cuenta de administrador y se eliminan todas las cuentas de miembro. Si la cuenta es una cuenta de miembro, se desasocia y se elimina como miembro de la cuenta de administrador del CSPM de Security Hub.

El CSPM de Security Hub retiene los resultados archivados existentes de la cuenta durante 30 días. En el caso de un resultado correspondiente a un control, el cálculo de los 30 días se basa en el valor del campo UpdatedAt del resultado. Para otro tipo de resultado, el cálculo se basa en el valor del campo UpdatedAt o ProcessedAt del resultado, según cuál fecha sea más reciente. Al finalizar este periodo de 30 días, el CSPM de Security Hub elimina permanentemente el resultado de la cuenta.

El CSPM de Security Hub retiene los resultados activos existentes de la cuenta durante 90 días. En el caso de un resultado correspondiente a un control, el cálculo de los 90 días se basa en el valor del campo UpdatedAt del resultado. Para otro tipo de resultado, el cálculo se basa en el valor del campo UpdatedAt o ProcessedAt del resultado, según cuál fecha sea más reciente. Al finalizar este periodo de 90 días, el CSPM de Security Hub elimina de forma permanente el resultado de la cuenta.

Para retener los resultados existentes por un periodo más largo, puede exportarlos a un bucket de S3. Puede hacerlo mediante una acción personalizada con una regla de Amazon EventBridge. Para obtener más información, consulte Uso de EventBridge para la respuesta y la corrección automatizadas.

importante

Para los clientes en AWS GovCloud (US) Regions, haga una copia de seguridad y luego elimine los datos de políticas y otros recursos de la cuenta antes de cerrarla. No tendrá acceso a los recursos ni datos después de cerrar la cuenta.

Para obtener más información, consulte Cerrar una Cuenta de AWS en la Guía de referencia de AWS Account Management

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Acciones permitidas en las cuentas de administrador y de miembro

Agregar datos en las regiones