Cómo desactivar el CSPM de Security Hub
Puede desactivar el CSPM de AWS Security Hub mediante la consola de Security Hub o la API de Security Hub. Si desactiva el CSPM de Security Hub, puede habilitarlo de nuevo más adelante.
Si la organización utiliza una configuración centralizada, el administrador delegado del CSPM de Security Hub puede crear políticas de configuración que desactiven el CSPM de Security Hub para cuentas y unidades organizativas (UO) específicas, y mantener el CSPM de Security Hub habilitado para otras. Las políticas de configuración afectan tanto a la región principal como a todas las regiones vinculadas. Para obtener más información, consulte Descripción de la configuración central en el CSPM de Security Hub.
Si desactiva el CSPM de Security Hub para una cuenta, ocurre lo siguiente:
-
Todos los estándares y controles del CSPM de Security Hub se desactivan para la cuenta.
-
El CSPM de Security Hub deja de generar, actualizar e ingerir resultados para la cuenta.
-
Después de 30 días, el CSPM de Security Hub elimina de forma permanente todos los resultados archivados existentes de la cuenta. Los resultados no se pueden recuperar mediante el uso del CSPM de Security Hub.
-
Después de 90 días, el CSPM de Security Hub elimina de forma permanente todos los resultados activos existentes de la cuenta. Los resultados no se pueden recuperar mediante el uso del CSPM de Security Hub.
-
Después de 90 días, el CSPM de Security Hub elimina de forma permanente todos la información existente y la configuración del CSPM de Security Hub correspondiente a la cuenta. Los datos y la configuración no se pueden recuperar.
Para retener los resultados existentes, puede exportarlos a un bucket de S3 antes de desactivar el CSPM de Security Hub. Puede hacerlo mediante una acción personalizada con una regla de Amazon EventBridge. Para obtener más información, consulte Uso de EventBridge para la respuesta y la corrección automatizadas.
Si vuelve a habilitar el CSPM de Security Hub dentro de los 90 días posteriores a desactivarlo para una cuenta, recupera acceso a los resultados activos existentes, así como a la información y a la configuración del CSPM de Security Hub para la cuenta. Si vuelve a habilitar el CSPM de Security Hub dentro de los 30 días, también recupera acceso a los resultados archivados existentes para la cuenta. Sin embargo, los resultados existentes podrían ser inexactos porque reflejarán el estado del entorno de AWS cuando desactivó el CSPM de Security Hub. Además, a medida que vuelva a habilitar estándares y controles individuales, el CSPM de Security Hub podría generar inicialmente resultados duplicados para recursos de AWS específicos, en función de los estándares y controles que habilite. Por estas razones, recomendamos que realice una de las siguientes acciones:
-
Cambie el estado del flujo de trabajo de todos los resultados existentes a
RESOLVEDantes de desactivar el CSPM de Security Hub. Para obtener más información, consulte Configuración del estado de flujo de trabajo de los resultados. -
Desactive todos los estándares al menos seis días antes de desactivar el CSPM de Security Hub. El CSPM de Security Hub archiva todos los resultados existentes bajo un esfuerzo razonable, lo que normalmente ocurre en un plazo de tres a cinco días. Para obtener más información, consulte Desactivación de un estándar.
No puede desactivar el CSPM de Security Hub en los siguientes casos:
-
La cuenta es la cuenta de administrador delegado del CSPM de Security Hub para una organización. Si usa configuración centralizada, no puede asociar una política de configuración que desactive el CSPM de Security Hub para la cuenta de administrador delegado. La asociación puede funcionar para otras cuentas, pero el CSPM de Security Hub no aplica la política a la cuenta de administrador delegado.
-
La cuenta es una cuenta de administrador del CSPM de Security Hub por invitación y tiene cuentas de miembro. Antes de poder desactivar el CSPM de Security Hub, debe desasociar todas las cuentas de miembro. Para aprender a hacerlo, consulte Cómo desasociar cuentas de miembro en el CSPM de Security Hub.
Antes de que el propietario de una cuenta de miembro pueda desactivar el CSPM de Security Hub, la cuenta se debe desasociar de la cuenta de administrador. Para una cuenta de organización, solo la cuenta de administrador puede desvincular una cuenta de miembro. Para obtener más información, consulte Desasociación de cuentas de miembro del CSPM de Security Hub de la organización. En el caso de cuentas invitadas manualmente, la cuenta de administrador o la cuenta de miembro pueden desasociar la cuenta. Para obtener más información, consulte Cómo desasociar cuentas de miembro en el CSPM de Security Hub o Cómo desasociarse de una cuenta de administrador del CSPM de Security Hub. No es necesario desasociar si usa la configuración centralizada, ya que el administrador del CSPM de Security Hub puede crear una política que desactive el CSPM de Security Hub para cuentas de miembro específicas.
Cuando desactiva el CSPM de Security Hub para una cuenta, este se desactiva únicamente en la Región de AWS actual. Sin embargo, si usa la configuración centralizada para desactivar el CSPM de Security Hub para cuentas específicas, este se desactiva en la región de inicio y en todas las regiones vinculadas.
Para desactivar el CSPM de Security Hub, elija el método que prefiera y siga los pasos.
