Habilitación de la configuración centralizada en el CSPM de Security Hub - AWS Security Hub
Requisitos previos para la configuración centralizadaInstrucciones para habilitar la configuración centralizada

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Habilitación de la configuración centralizada en el CSPM de Security Hub

La cuenta de administrador de CSPM de AWS Security Hub delegada puede usar la configuración central para configurar el CSPM, los estándares y los controles del Security Hub para varias cuentas y unidades organizativas () en todas. OUs Regiones de AWS

Para obtener información general sobre las ventajas de la configuración centralizada y su funcionamiento, consulte Descripción de la configuración central en el CSPM de Security Hub.

En esta sección, se explican los requisitos previos para la configuración centralizada y cómo empezar a utilizarla.

Requisitos previos para la configuración centralizada

Antes de empezar a utilizar la configuración central, debe integrar Security Hub CSPM AWS Organizations y designar una región de origen. Si usa la consola del CSPM de Security Hub, estos requisitos forman parte del flujo de inscripción para la configuración centralizada.

Integración con Organizations

Debe integrar el CSPM de Security Hub y Organizations para utilizar la configuración centralizada.

Para integrar estos servicios, comience por crear una organización en Organizations. Desde la cuenta de administración de Organizations, se designa una cuenta como administrador delegado del CSPM de Security Hub. Para obtener instrucciones, consulte Integración de Security Hub CSPM con AWS Organizations.

Asegúrese de designar un administrador delegado en la región de origen prevista. Cuando empieza a utilizar la configuración centralizada, también se establece automáticamente el mismo administrador delegado en todas las regiones vinculadas. La cuenta de administración de Organizations no se puede establecer como cuenta de administrador delegado.

importante

Cuando usa la configuración central, no puede usar la consola CSPM de Security Hub ni la CSPM de Security Hub APIs para cambiar o eliminar la cuenta de administrador delegado. Si la cuenta de administración de la organización se utiliza AWS Organizations APIs para cambiar o eliminar al administrador delegado de CSPM de Security Hub, Security Hub CSPM detiene automáticamente la configuración central. Sus políticas de configuración también se desasocian y se eliminan. Las cuentas de miembro retienen la configuración que tenían antes de que se cambiara o eliminara el administrador delegado.

Designación de una región de origen

Debe designar una región de origen para utilizar la configuración centralizada. La región de origen es aquella desde la que el administrador delegado configura la organización.

nota

La región de origen no puede ser una región AWS designada como región opcional. Las regiones optativas están deshabilitadas de forma predeterminada. Para ver una lista de las regiones opcionales, consulte la sección Considerations before enabling and disabling Regions en la Guía de referencia de administración de cuentas de AWS .

Si lo desea, puede especificar una o más regiones vinculadas que se puedan configurar desde la región de origen.

El administrador delegado puede crear y administrar políticas de configuración solo desde la región de agregación. Las políticas de configuración entran en vigor en la región de origen y en todas las regiones vinculadas. No puede crear una política de configuración que se aplique exclusivamente a un subconjunto de estas regiones. La excepción a esto son los controles que involucran recursos globales. Si usa la configuración centralizada, el CSPM de Security Hub desactiva automáticamente los controles que implican recursos globales en todas las regiones, excepto en la región de origen. Para obtener más información, consulte Controles que utilizan recursos globales.

La región de origen también es la región de agregación del CSPM de Security Hub que recibe resultados, información y otros datos de las regiones vinculadas.

Si ya ha establecido una región de agregación para la agregación entre regiones, esa será su región de origen predeterminada para la configuración centralizada. Puede cambiar la región de origen antes de empezar a utilizar la configuración centralizada. Para ello, elimine su agregador de resultados actual y cree uno nuevo en la región de origen que desee. Un agregador de resultados es un recurso del CSPM de Security Hub que especifica la región de origen y las regiones vinculadas.

Para designar una región de origen, consulte los pasos para configurar una región de agregación. Si ya tiene una región de origen, puede invocar la API GetFindingAggregator para ver los detalles de dicha región, lo que incluye las regiones que están vinculadas actualmente a ella.

Instrucciones para habilitar la configuración centralizada

Elija el método que prefiera y siga los pasos para habilitar la configuración centralizada en su organización.

Security Hub CSPM console
Para habilitar la configuración centralizada (consola)

  1. Abra la consola CSPM de AWS Security Hub en. https://console.aws.amazon.com/securityhub/

  2. En el panel de navegación, seleccione Configuración y Configuración. A continuación, elija Iniciar configuración centralizada.

    Si está en el poceso de incorporación al CSPM de Security Hub, seleccione Ir al CSPM de Security Hub.

  3. En la página Designar administrador delegado, seleccione su cuenta de administrador delegado o ingrese su ID de cuenta. Si corresponde, se recomienda que elija el mismo administrador delegado que haya configurado para otros servicios de seguridad y conformidad de AWS . Elija Establecer administrador delegado.

  4. En la página Centralizar organización, en la sección Regiones, seleccione su región de origen. Debe haber iniciado sesión en dicha región para continuar. Si ya ha configurado una región de agregación para la agregación entre regiones, aparecerá como la región de origen. Para cambiar la región de origen, seleccione Editar configuración de la región. A continuación, puede seleccionar la región de origen que prefiera y volver a este flujo de trabajo.

  5. Seleccione al menos una región para vincularla a la región de origen. De manera opcional, elija si desea vincular automáticamente las futuras regiones compatibles con la región de origen. El administrador delegado configurará las regiones que seleccione aquí desde la región de origen. Las políticas de configuración entran en vigor en la región de origen y en todas las regiones vinculadas.

  6. Seleccione Confirmar y continuar.

  7. A partir de ahora, puede utilizar la configuración centralizada. Siga las instrucciones de la consola para crear su primera política de configuración. Si aún no lo tiene todo preparado para crear una política de configuración, seleccione Aún no lo tengo todo listo para configurarla. Para crear una política más adelante, puede seleccionar Configuración y, a continuación, Configuración en el panel de navegación. Para obtener instrucciones sobre cómo crear una política de configuración, consulte Creación y asociación de políticas de configuración.

Security Hub CSPM API
Para habilitar la configuración centralizada (API)

  1. Con las credenciales de la cuenta de administrador delegado, invoque la API UpdateOrganizationConfiguration desde la región de origen.

  2. Establezca el campo AutoEnable como false.

  3. Establezca el campo ConfigurationType del objeto OrganizationConfiguration en CENTRAL. Esta acción tiene los siguientes efectos:

    • Designa a la cuenta que realiza la llamada como administrador delegado del CSPM de Security Hub en todas las regiones vinculadas.

    • Habilita el CSPM de Security Hub en la cuenta de administrador delegado en todas las regiones vinculadas.

    • Designa a la cuenta que realiza la llamada como administrador delegado del CSPM de Security Hub para las cuentas nuevas y existentes que utilizan el CSPM de Security Hub y pertenecen a la organización. Esto ocurre en la región de origen y en todas las regiones vinculadas. La cuenta que realiza la llamada se establece como administrador delegado para las nuevas cuentas de la organización solo si están asociadas a una política de configuración que tenga el CSPM de Security Hub habiliado. La cuenta que realiza la llamada se establece como administrador delegado de las cuentas de la organización existentes solo si ya tienen el CSPM de Security Hub habilitado.

    • Se establece AutoEnable como false en todas las regiones vinculadas y se establece AutoEnableStandards como NONE en la región de origen y en todas las regiones vinculadas. Estas parámetros no son relevantes en la región de origen ni en las regiones vinculadas cuando utiliza la configuración centralizada. Sin embargo, puede habilitar automáticamente el CSPM de Security Hub y los estándares de seguridad predeterminados en las cuentas de la organización mediante políticas de configuración.

  4. A partir de ahora, puede utilizar la configuración centralizada. El administrador delegado puede crear políticas de configuración para configurar el CSPM de Security Hub en la organización. Para obtener instrucciones sobre cómo crear una política de configuración, consulte Creación y asociación de políticas de configuración.

Ejemplo de solicitud de API:

{
    "AutoEnable": false,
    "OrganizationConfiguration": {
        "ConfigurationType": "CENTRAL"
    }
}
AWS CLI
Para habilitar la configuración centralizada (AWS CLI)

  1. Con las credenciales de la cuenta de administrador delegado, ejecute el comando update-organization-configuration desde la región de origen.

  2. Incluya el parámetro no-auto-enable.

  3. Establezca el campo ConfigurationType del objeto organization-configuration en CENTRAL. Esta acción tiene los siguientes efectos:

    • Designa a la cuenta que realiza la llamada como administrador delegado del CSPM de Security Hub en todas las regiones vinculadas.

    • Habilita el CSPM de Security Hub en la cuenta de administrador delegado en todas las regiones vinculadas.

    • Designa a la cuenta que realiza la llamada como administrador delegado del CSPM de Security Hub para las cuentas nuevas y existentes que utilizan el CSPM de Security Hub y pertenecen a la organización. Esto ocurre en la región de origen y en todas las regiones vinculadas. La cuenta que llama se establece como administrador delegado para las nuevas cuentas de la organización solo si están asociadas a una política de configuración que tenga habilitado Security Hub. La cuenta que realiza la llamada se establece como administrador delegado de las cuentas de la organización existentes solo si ya tienen el CSPM de Security Hub habilitado.

    • Establece la opción de habilitación automática como no-auto-enable en todas las regiones vinculadas y establece auto-enable-standards como NONE en la región de origen y en todas las regiones vinculadas. Estas parámetros no son relevantes en la región de origen ni en las regiones vinculadas cuando utiliza la configuración centralizada. Sin embargo, puede habilitar automáticamente el CSPM de Security Hub y los estándares de seguridad predeterminados en las cuentas de la organización mediante políticas de configuración.

  4. A partir de ahora, puede utilizar la configuración centralizada. El administrador delegado puede crear políticas de configuración para configurar el CSPM de Security Hub en la organización. Para obtener instrucciones sobre cómo crear una política de configuración, consulte Creación y asociación de políticas de configuración.

Comando de ejemplo:

aws securityhub --region us-east-1 update-organization-configuration \
--no-auto-enable \
--organization-configuration '{"ConfigurationType": "CENTRAL"}'