Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Intégration de Security Hub CSPM à AWS Organizations

Pour intégrer AWS Security Hub Cloud Security Posture Management (CSPM) AWS Organizations, vous devez créer une organisation dans Organizations et utiliser le compte de gestion de l'organisation pour désigner un compte administrateur délégué du Security Hub CSPM. Cela permet à Security Hub CSPM de devenir un service fiable dans les Organizations. Il active également Security Hub CSPM en cours Région AWS pour le compte administrateur délégué, et il permet à l'administrateur délégué d'activer Security Hub CSPM pour les comptes membres, de consulter les données des comptes membres et d'effectuer d'autres actions autorisées sur les comptes membres.

Si vous utilisez la configuration centralisée, l'administrateur délégué peut également créer des politiques de configuration Security Hub CSPM qui spécifient comment le service, les normes et les contrôles Security Hub CSPM doivent être configurés dans les comptes d'entreprise.

Création d'une organisation

Une organisation est une entité que vous créez pour consolider les vôtres Comptes AWS afin de pouvoir les administrer en tant qu'unité unique.

Vous pouvez créer une organisation à l'aide de la AWS Organizations console ou à l'aide d'une commande provenant du AWS CLI ou de l'un des kits SDK APIs. Pour obtenir des instructions détaillées, voir Création d'une organisation dans le guide de AWS Organizations l'utilisateur.

Vous pouvez l'utiliser AWS Organizations pour visualiser et gérer de manière centralisée tous les comptes de votre organisation. Une organisation possède un compte de gestion avec zéro ou plusieurs comptes membres. Vous pouvez organiser les comptes dans une structure hiérarchique arborescente avec une racine en haut et des unités organisationnelles (OUs) imbriquées sous la racine. Chaque compte peut être placé directement sous la racine ou dans l'un des comptes de la hiérarchie. OUs Une UO est un conteneur pour des comptes spécifiques. Par exemple, vous pouvez créer une unité d'organisation financière qui inclut tous les comptes liés aux opérations financières.

Recommandations pour le choix de l'administrateur délégué du Security Hub CSPM

Si vous avez créé un compte administrateur à la suite du processus d'invitation manuel et que vous êtes en train de passer à la gestion des comptes avec AWS Organizations, nous vous recommandons de désigner ce compte en tant qu'administrateur délégué du Security Hub CSPM.

Bien que le Security Hub CSPM APIs et la console autorisent le compte de gestion de l'organisation à être l'administrateur délégué du Security Hub CSPM, nous vous recommandons de choisir deux comptes différents. Cela est dû au fait que les utilisateurs qui ont accès au compte de gestion de l'organisation pour gérer la facturation sont susceptibles d'être différents des utilisateurs qui ont besoin d'accéder au Security Hub CSPM pour la gestion de la sécurité.

Nous recommandons d'utiliser le même administrateur délégué dans toutes les régions. Si vous optez pour la configuration centralisée, Security Hub CSPM désigne automatiquement le même administrateur délégué dans votre région d'origine et dans toutes les régions associées.

Vérifiez les autorisations pour configurer l'administrateur délégué

Pour désigner et supprimer un compte administrateur Security Hub CSPM délégué, le compte de gestion de l'organisation doit disposer des autorisations nécessaires pour les DisableOrganizationAdminAccount actions EnableOrganizationAdminAccount et dans Security Hub CSPM. Le compte de gestion Organizations doit également disposer d'autorisations administratives pour les Organizations.

Pour accorder toutes les autorisations requises, associez les politiques gérées par Security Hub CSPM suivantes au principal IAM du compte de gestion de l'organisation :

Désignation de l'administrateur délégué

Pour désigner le compte administrateur Security Hub CSPM délégué, vous pouvez utiliser la console Security Hub CSPM, l'API Security Hub CSPM ou. AWS CLI Security Hub CSPM définit l'administrateur délégué Région AWS uniquement dans la version actuelle, et vous devez répéter l'action dans les autres régions. Si vous commencez à utiliser la configuration centralisée, Security Hub CSPM définit automatiquement le même administrateur délégué dans la région d'origine et dans les régions associées.

Il n'est pas nécessaire que le compte de gestion de l'organisation active Security Hub CSPM soit activé pour désigner le compte administrateur délégué du Security Hub CSPM.

Nous recommandons que le compte de gestion de l'organisation ne soit pas le compte administrateur délégué du Security Hub CSPM. Toutefois, si vous choisissez le compte de gestion de l'organisation comme administrateur délégué de Security Hub CSPM, Security Hub CSPM doit être activé sur le compte de gestion. Si Security Hub CSPM n'est pas activé sur le compte de gestion, vous devez activer Security Hub CSPM manuellement. Security Hub CSPM ne peut pas être activé automatiquement pour le compte de gestion de l'organisation.

Vous devez désigner l'administrateur délégué du Security Hub CSPM à l'aide de l'une des méthodes suivantes. La désignation de l'administrateur délégué du Security Hub CSPM par Organizations APIs ne se reflète pas dans Security Hub CSPM.

Choisissez votre méthode préférée et suivez les étapes pour désigner le compte administrateur délégué du Security Hub CSPM.

Security Hub CSPM console

Pour désigner l'administrateur délégué lors de l'intégration

1. Ouvrez la console AWS Security Posture Management (CSPM) du Security Hub Cloud à l'adresse. https://console.aws.amazon.com/securityhub/

2. Choisissez Go to Security Hub CSPM. Vous êtes invité à vous connecter au compte de gestion de l'organisation.

3. Sur la page Désigner un administrateur délégué, dans la section Compte d'administrateur délégué, spécifiez le compte d'administrateur délégué. Nous vous recommandons de choisir le même administrateur délégué que celui que vous avez défini pour les autres services AWS de sécurité et de conformité.

4. Choisissez Définir un administrateur délégué. Vous êtes invité à vous connecter au compte d'administrateur délégué (si ce n'est pas déjà fait) pour poursuivre l'intégration grâce à la configuration centralisée. Si vous ne souhaitez pas démarrer la configuration centralisée, choisissez Annuler. Votre administrateur délégué est configuré, mais vous n'utilisez pas encore la configuration centralisée.

Pour désigner l'administrateur délégué depuis la page Paramètres

1. Ouvrez la console AWS Security Posture Management (CSPM) du Security Hub Cloud à l'adresse. https://console.aws.amazon.com/securityhub/

2. Dans le volet de navigation Security Hub CSPM, choisissez Settings. Choisissez ensuite Général.

3. Si un compte administrateur Security Hub CSPM est actuellement attribué, vous devez supprimer le compte actuel avant de pouvoir désigner un nouveau compte.

   Sous Administrateur délégué, pour supprimer le compte actuel, choisissez Supprimer.

4. Entrez l'identifiant du compte que vous souhaitez désigner comme compte administrateur Security Hub CSPM.

   Vous devez désigner le même compte administrateur Security Hub CSPM dans toutes les régions. Si vous désignez un compte différent de celui désigné dans d'autres régions, la console renvoie un message d'erreur.

5. Choisisssez Delegate (Déléguer).

Security Hub CSPM API, AWS CLI

Depuis le compte de gestion de l'organisation, utilisez le EnableOrganizationAdminAccountfonctionnement de l'API Security Hub CSPM. Si vous utilisez le AWS CLI, exécutez la enable-organization-admin-accountcommande. Indiquez l' Compte AWS ID de l'administrateur délégué du Security Hub CSPM.

L'exemple suivant désigne l'administrateur délégué du Security Hub CSPM. Cet exemple est formaté pour Linux, macOS ou Unix et utilise le caractère de continuation de ligne barre oblique inverse (\) pour améliorer la lisibilité.

$ aws securityhub enable-organization-admin-account --admin-account-id 123456789012