Activation manuelle du Security Hub CSPM dans les nouveaux comptes d'entreprise - AWS Security Hub

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Activation manuelle du Security Hub CSPM dans les nouveaux comptes d'entreprise

Si vous n'activez pas automatiquement le Security Hub CSPM dans les nouveaux comptes d'organisation lorsqu'ils rejoignent l'organisation, vous pouvez ajouter ces comptes en tant que membres et y activer le Security Hub CSPM manuellement une fois qu'ils ont rejoint l'organisation. Vous devez également activer manuellement le Security Hub CSPM dans Comptes AWS le cas où vous vous êtes précédemment dissocié d'une organisation.

Note

Cette section ne s'applique pas à vous si vous utilisez la configuration centralisée. Si vous utilisez la configuration centralisée, vous pouvez créer des politiques de configuration qui activent le Security Hub CSPM dans des comptes membres et des unités organisationnelles spécifiques ()OUs. Vous pouvez également activer des normes et des contrôles spécifiques dans ces comptes et OUs.

Vous ne pouvez pas activer Security Hub CSPM dans un compte s'il s'agit déjà d'un compte membre au sein d'une autre organisation.

Vous ne pouvez pas non plus activer Security Hub CSPM dans un compte actuellement suspendu. Si vous essayez d'activer le service sur un compte suspendu, le statut du compte passe à Compte suspendu.

  • Si Security Hub CSPM n'est pas activé sur le compte, Security Hub CSPM est activé sur ce compte. La norme AWS Foundational Security Best Practices (FSBP) et le CIS AWS Foundations Benchmark v1.2.0 sont également activés dans le compte, sauf si vous désactivez les normes de sécurité par défaut.

    L'exception à cette règle est le compte de gestion des Organizations. Security Hub CSPM ne peut pas être activé automatiquement dans le compte de gestion des Organizations. Vous devez activer manuellement Security Hub CSPM dans le compte de gestion des Organizations avant de pouvoir l'ajouter en tant que compte membre.

  • Si Security Hub CSPM est déjà activé sur le compte, Security Hub CSPM n'apporte aucune autre modification au compte. Cela permet uniquement l'adhésion.

Pour que Security Hub CSPM puisse générer des résultats de contrôle, les comptes membres doivent être AWS Config activés et configurés pour enregistrer les ressources requises. Pour plus d'informations, consultez Activation et configuration de AWS Config.

Choisissez votre méthode préférée et suivez les étapes pour activer un compte d'organisation en tant que compte membre du Security Hub CSPM.

Security Hub CSPM console
Pour activer manuellement les comptes d'organisation en tant que membres du Security Hub CSPM

  1. Ouvrez la console AWS Security Posture Management (CSPM) du Security Hub Cloud à l'adresse. https://console.aws.amazon.com/securityhub/

    Connectez-vous à l'aide des informations d'identification du compte d'administrateur délégué.

  2. Dans le volet de navigation Security Hub CSPM, sous Paramètres, sélectionnez Configuration.

  3. Dans la liste des comptes, sélectionnez chaque compte d'organisation que vous souhaitez activer.

  4. Choisissez Actions, puis Add member (Ajouter un membre).

Security Hub CSPM API

Pour activer manuellement les comptes d'organisation en tant que membres du Security Hub CSPM

Appelez l'CreateMembersAPI depuis le compte d'administrateur délégué. Pour chaque compte à activer, indiquez l'identifiant du compte.

Contrairement au processus d'invitation manuel, lorsque vous appelez CreateMembers pour activer un compte d'organisation, vous n'avez pas besoin d'envoyer d'invitation.

AWS CLI

Pour activer manuellement les comptes d'organisation en tant que membres du Security Hub CSPM

Exécutez la create-memberscommande depuis le compte d'administrateur délégué. Pour chaque compte à activer, indiquez l'identifiant du compte.

Contrairement au processus d'invitation manuel, lorsque vous lancez un appel create-members pour activer un compte d'organisation, vous n'avez pas besoin d'envoyer d'invitation.

aws securityhub create-members --account-details '[{"AccountId": "<accountId>"}]'

Exemple

aws securityhub create-members --account-details '[{"AccountId": "123456789111"}, {"AccountId": "123456789222"}]'