Habilitación de Security Hub - AWS Security Hub
Habilitación de Security Hub para una organizaciónHabilitación de Security Hub en una cuenta independiente

Habilitación de Security Hub

nota

Security Hub se encuentra en versión preliminar y está sujeto a cambios.

Puede habilitar Security Hub para cualquier Cuenta de AWS. Los procedimientos de este tema explican cómo habilitar Security Hub desde una cuenta de administración de una organización de AWS, una cuenta de administrador delegada o una cuenta independiente.

Habilitación de Security Hub para una organización

Esta sección incluye tres pasos. En el primer paso, la cuenta de administración de la organización de AWS habilita Security Hub, designa un administrador delegado para la organización y crea la política del administrador delegado. En el segundo paso, el administrador delegado de la organización habilita Security Hub. En el tercer paso, el administrador delegado de la organización crea una política que habilita Security Hub para todas las cuentas de miembro de la organización.

Paso 1. Habilitación de Security Hub en la cuenta de administración de la organización de AWS

Este paso incluye dos procedimientos. El primer procedimiento describe cómo habilitar Security Hub si ya habilitó el CSPM de Security Hub y designó un administrador delegado en el CSPM de Security Hub. El segundo procedimiento describe cómo habilitar Security Hub si no ha habilitado el CSPM de Security Hub y ha designado un administrador delegado en el CSPM de Security Hub. En ambos procedimientos, si omite el paso para designar un administrador delegado, también deberá omitir el paso para crear la política del administrador delegado. Solo puede crear la política del administrador delegado después de designar un administrador delegado. Para obtener información sobre cómo designar un administrador delegado en Security Hub, consulte Cómo designar una cuenta de administrador delegado en Security Hub. Para obtener información sobre cómo crear la política del administrador delegado en Security Hub, consulte Creación de la política del administrador delegado en Security Hub.

Enable Security Hub with Security Hub CSPM

Este procedimiento supone que la cuenta de administración de la organización de AWS habilitó anteriormente el CSPM de Security Hub y designó un administrador delegado en el CSPM de Security Hub.

Cómo habilitar Security Hub

  1. Inicie sesión en la cuenta de AWS con las credenciales de cuenta de administración de la organización de AWS. Abra la consola de Security Hub en https://console.aws.amazon.com/securityhub/v2/home.

  2. En la página principal de Security Hub, seleccione Security Hub y, a continuación, elija Introducción.

  3. (Opcional) En Cuenta de administrador delegado, seleccione una cuenta de administrador según las opciones proporcionadas. Como práctica recomendada, sugerimos utilizar el mismo administrador delegado en los servicios de seguridad para mantener una gobernanza uniforme.

  4. (Opcional) En Habilitación de cuenta, seleccione la casilla para habilitar Security Hub para la cuenta de AWS.

  5. (Opcional) En Política del administrador delegado, elija una de las opciones siguientes para agregar la declaración de política.

    1. (Opción 1) Seleccione Actualizar esto por mí. Seleccione la casilla bajo la declaración de política para confirmar que Security Hub creará automáticamente una política de delegación que otorgue todos los permisos necesarios al administrador delegado.

    2. (Opción 2): Elija Quiero asociar esto manualmente. Elija Copiar y asociar. En la consola de AWS Organizations, en Administrador delegado para AWS Organizations, elija Delegar, y pegue la política de recursos en el editor de políticas de delegación. Elija Crear política. Abra la pestaña donde se encuentra en la consola de Security Hub.

  6. Elija Configurar.

Enable Security Hub without Security Hub CSPM

Este procedimiento supone que la cuenta de administración de la organización de AWS no habilitó anteriormente el CSPM de Security Hub ni designó un administrador delegado en el CSPM de Security Hub.

Cómo habilitar Security Hub

  1. Inicie sesión en la cuenta de AWS con las credenciales de la cuenta de administración de la organización y abra la consola de Security Hub en https://console.aws.amazon.com/securityhub/v2/home.

  2. En la página principal de Security Hub, seleccione Security Hub y, a continuación, elija Introducción.

  3. (Opcional) En Administrador delegado, seleccione una de las Cuentas de AWS proporcionadas o elija Seleccionar una cuenta. Si elije Seleccionar una cuenta, introduzca el número de 12 dígitos de la Cuenta de AWS que desea designar como administrador delegado en Security Hub.

  4. (Opcional) En Habilitación de cuenta, seleccione la casilla para habilitar Security Hub para la Cuenta de AWS.

  5. (Opcional) En Política del administrador delegado, elija una de las opciones siguientes para agregar la declaración de política:

    1. (Opción 1) Seleccione Actualizar esto por mí. Seleccione la casilla bajo la declaración de política para confirmar que Security Hub creará automáticamente una política de delegación que otorgue todos los permisos necesarios al administrador delegado.

    2. (Opción 2): Elija Quiero asociar esto manualmente. Elija Copiar y asociar. En la consola de AWS Organizations, en Administrador delegado para AWS Organizations, elija Delegar, y pegue la política de recursos en el editor de políticas de delegación. Elija Crear política. Abra la pestaña donde se encuentra en la consola de Security Hub.

  6. Elija Configurar.

Después de habilitar Security Hub, en la cuenta se crean un rol vinculado al servicio denominado AWSServiceRoleForSecurityHubV2 y un registrador vinculado al servicio. El registrador vinculado al servicio es un tipo de registrador de AWS Config administrado por un servicio de AWS que puede registrar datos de configuración sobre recursos específicos del servicio. Con un registrador vinculado al servicio, Security Hub ofrece un enfoque basado en eventos para obtener los elementos de configuración de recursos que se requieren para el análisis de exposición, la cobertura y la creación de inventarios de recursos. Un registrador vinculado al servicio se configura por Cuenta de AWS y Región de AWS. Para obtener más información, consulte Consideraciones sobre los registradores de configuración vinculados al servicio.

Paso 2. Habilitación de Security Hub en la cuenta del administrador delegado

El administrador delegado debe completar este paso. Después de que la cuenta de administración de la organización de AWS designe un administrador delegado para la organización, el administrador delegado debe habilitar Security Hub.

Para habilitar Security Hub en la cuenta del administrador delegado

  1. Inicie sesión en la cuenta de AWS con las credenciales de administrador delegado. Abra la consola de Security Hub en https://console.aws.amazon.com/securityhub/v2/home.

  2. En la página principal de Security Hub, seleccione Security Hub y, a continuación, elija Introducción.

  3. Seleccione Habilitar.

  4. (Opcional) En Etiquetas, determine si desea agregar un par clave–valor durante la configuración de la cuenta.

  5. Seleccione Ir a Security Hub.

Después de habilitar Security Hub, en la cuenta se crean un rol vinculado al servicio denominado AWSServiceRoleForSecurityHubV2 y un registrador vinculado al servicio. El registrador vinculado al servicio es un tipo de registrador de AWS Config administrado por un servicio de AWS que puede registrar datos de configuración sobre recursos específicos del servicio. Con un registrador vinculado al servicio, Security Hub ofrece un enfoque basado en eventos para obtener los elementos de configuración de recursos que se requieren para el análisis de exposición, la cobertura y la creación de inventarios de recursos. Un registrador vinculado al servicio se configura por Cuenta de AWS y Región de AWS. Para obtener más información, consulte Consideraciones sobre los registradores de configuración vinculados al servicio.

Paso 3. Creación de una política que habilite Security Hub en todas las cuentas de miembro

El administrador delegado debe completar este paso. Después de que el administrador delegado de una organización habilita Security Hub, debe crear una política que permita definir qué cuentas de miembro de la organización quedan habilitadas o inhabilitadas. Para obtener más información, consulte Creación de una política como administrador delegado para administrar cuentas de miembro.

Habilitación de Security Hub en una cuenta independiente

Este procedimiento describe cómo habilitar Security Hub en una cuenta independiente. Una cuenta independiente es una Cuenta de AWS que no ha habilitado AWS Organizations.

Para habilitar Security Hub en una cuenta independiente

  1. Inicie sesión en la cuenta de AWS con las credenciales de la cuenta independiente. Abra la consola de Security Hub en https://console.aws.amazon.com/securityhub/v2/home.

  2. En la página principal de Security Hub, seleccione Security Hub y, a continuación, elija Introducción.

  3. Seleccione Habilitar.

Después de habilitar Security Hub, en la cuenta se crean un rol vinculado al servicio denominado AWSServiceRoleForSecurityHubV2 y un registrador vinculado al servicio. El registrador vinculado al servicio es un tipo de registrador de AWS Config administrado por un servicio de AWS que puede registrar datos de configuración sobre recursos específicos del servicio. Con un registrador vinculado al servicio, Security Hub ofrece un enfoque basado en eventos para obtener los elementos de configuración de recursos que se requieren para el análisis de exposición, la cobertura y la creación de inventarios de recursos. Un registrador vinculado al servicio se configura por Cuenta de AWS y Región de AWS. Para obtener más información, consulte Consideraciones sobre los registradores de configuración vinculados al servicio.