Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Target yang dikelola secara terpusat versus yang dikelola sendiri

Saat Anda mengaktifkan konfigurasi pusat, administrator AWS Security Hub Cloud Security Posture Management (CSPM) yang didelegasikan dapat menetapkan setiap akun organisasi, unit organisasi (OU), dan root sebagai dikelola secara terpusat atau dikelola sendiri. Jenis manajemen target menentukan bagaimana Anda dapat menentukan pengaturan CSPM Security Hub.

Untuk informasi latar belakang tentang manfaat konfigurasi pusat dan cara kerjanya, lihatMemahami konfigurasi pusat di Security Hub CSPM.

Bagian ini menjelaskan perbedaan antara penunjukan yang dikelola secara terpusat dan dikelola sendiri dan bagaimana memilih jenis manajemen akun, OU, atau root.

Administrator yang didelegasikan dapat mengubah status target antara dikelola sendiri dan dikelola secara terpusat. Secara default, semua akun dan OU dikelola sendiri saat Anda memulai konfigurasi pusat melalui Security Hub CSPM API. Di konsol, jenis manajemen bergantung pada kebijakan konfigurasi pertama Anda. Akun dan OUs yang Anda kaitkan dengan kebijakan pertama Anda dikelola secara terpusat. Akun lain dan OUs dikelola sendiri secara default.

Jika Anda mengaitkan kebijakan konfigurasi dengan akun yang dikelola sendiri sebelumnya, setelan kebijakan akan mengganti penunjukan yang dikelola sendiri. Akun menjadi dikelola secara terpusat dan mengadopsi pengaturan yang tercermin dalam kebijakan konfigurasi.

Jika Anda mengubah akun yang dikelola secara terpusat menjadi akun yang dikelola sendiri, pengaturan yang sebelumnya diterapkan ke akun melalui kebijakan konfigurasi tetap berlaku. Misalnya, akun yang dikelola secara terpusat pada awalnya dapat dikaitkan dengan kebijakan yang mengaktifkan CSPM Security Hub, mengaktifkan Praktik Terbaik Keamanan AWS Dasar, dan dinonaktifkan .1. CloudTrail Jika Anda kemudian menetapkan akun sebagai dikelola sendiri, semua pengaturan tetap tidak berubah. Namun, pemilik akun dapat secara mandiri mengubah pengaturan untuk akun ke depan.

Akun anak dan OUs dapat mewarisi perilaku yang dikelola sendiri dari induk yang dikelola sendiri, dengan cara yang sama seperti akun anak dan OUs dapat mewarisi kebijakan konfigurasi dari induk yang dikelola secara terpusat. Untuk informasi selengkapnya, lihat Asosiasi kebijakan melalui aplikasi dan warisan.

Akun yang dikelola sendiri atau OU tidak dapat mewarisi kebijakan konfigurasi dari node induk atau dari root. Misalnya, jika Anda ingin semua akun dan OUs organisasi Anda mewarisi kebijakan konfigurasi dari root, Anda harus mengubah jenis manajemen node yang dikelola sendiri menjadi dikelola secara terpusat.

Opsi untuk mengonfigurasi pengaturan di akun yang dikelola sendiri

Akun yang dikelola sendiri harus mengonfigurasi pengaturannya sendiri secara terpisah di setiap Wilayah.

Pemilik akun yang dikelola sendiri dapat menjalankan operasi API CSPM Security Hub berikut di setiap Wilayah untuk mengonfigurasi setelannya:

Akun yang dikelola sendiri juga dapat digunakan *Invitations dan *Members dioperasikan. Namun, kami menyarankan agar akun yang dikelola sendiri tidak menggunakan operasi ini. Asosiasi kebijakan dapat gagal jika akun anggota memiliki anggotanya sendiri yang merupakan bagian dari organisasi yang berbeda dari administrator yang didelegasikan.

Untuk deskripsi tindakan API CSPM Security Hub, lihat Referensi API AWS Security Hub Cloud Security Posture Management (CSPM) Security Hub.

Akun yang dikelola sendiri juga dapat menggunakan konsol CSPM Security Hub atau AWS CLI untuk mengonfigurasi pengaturannya di setiap Wilayah.

Akun yang dikelola sendiri tidak dapat memanggil kebijakan konfigurasi dan APIs asosiasi kebijakan CSPM Security Hub. Hanya administrator yang didelegasikan yang dapat memanggil konfigurasi pusat APIs dan menggunakan kebijakan konfigurasi untuk mengonfigurasi akun yang dikelola secara terpusat.

Memilih jenis manajemen target

Pilih metode pilihan Anda, dan ikuti langkah-langkah untuk menetapkan akun atau OU sebagai dikelola secara terpusat atau dikelola sendiri di AWS Security Hub Cloud Security Posture Management (CSPM).

Security Hub CSPM console

Untuk memilih jenis manajemen akun atau OU

1. Buka konsol AWS Security Hub Cloud Security Posture Management (CSPM) di. https://console.aws.amazon.com/securityhub/

   Masuk menggunakan kredensional akun administrator CSPM Security Hub yang didelegasikan di Wilayah asal.

2. Pilih Konfigurasi.

3. Pada tab Organisasi, pilih akun target atau OU. Pilih Edit.

4. Pada halaman Tentukan konfigurasi, untuk tipe Manajemen, pilih Dikelola secara terpusat jika Anda ingin administrator yang didelegasikan mengonfigurasi akun target atau OU. Kemudian, pilih Terapkan kebijakan tertentu jika Anda ingin mengaitkan kebijakan konfigurasi yang ada dengan target. Pilih Mewarisi dari organisasi saya jika Anda ingin target mewarisi konfigurasi induk terdekatnya. Pilih Self-managed jika Anda ingin akun atau OU untuk mengkonfigurasi pengaturan sendiri.

5. Pilih Berikutnya. Tinjau perubahan Anda, dan pilih Simpan.

Security Hub CSPM API

Untuk memilih jenis manajemen akun atau OU

1. Memanggil StartConfigurationPolicyAssociationAPI dari akun administrator yang didelegasikan CSPM Security Hub di Wilayah asal.

2. Untuk ConfigurationPolicyIdentifier bidang ini, berikan SELF_MANAGED_SECURITY_HUB jika Anda ingin akun atau OU mengontrol pengaturannya sendiri. Berikan Nama Sumber Daya Amazon (ARN) atau ID kebijakan konfigurasi yang relevan jika Anda ingin administrator yang didelegasikan mengontrol pengaturan untuk akun atau OU.

3. Untuk Target bidang, berikan Akun AWS ID, ID OU, atau ID root target yang tipe manajemennya ingin Anda ubah. Ini mengaitkan perilaku yang dikelola sendiri atau kebijakan konfigurasi tertentu dengan target. Akun anak dari target dapat mewarisi kebijakan perilaku atau konfigurasi yang dikelola sendiri.

Contoh permintaan API untuk menunjuk akun yang dikelola sendiri:

{
    "ConfigurationPolicyIdentifier": "SELF_MANAGED_SECURITY_HUB",
    "Target": {"AccountId": "123456789012"}
}
                

AWS CLI

Untuk memilih jenis manajemen akun atau OU

1. Jalankan start-configuration-policy-associationperintah dari akun administrator yang didelegasikan CSPM Security Hub di wilayah rumah.

2. Untuk configuration-policy-identifier bidang, berikan SELF_MANAGED_SECURITY_HUB jika Anda ingin akun atau OU mengontrol pengaturannya sendiri. Berikan Nama Sumber Daya Amazon (ARN) atau ID kebijakan konfigurasi yang relevan jika Anda ingin administrator yang didelegasikan untuk mengontrol pengaturan untuk akun atau OU..

3. Untuk target bidang, berikan Akun AWS ID, ID OU, atau ID root target yang tipe manajemennya ingin Anda ubah. Ini mengaitkan perilaku yang dikelola sendiri atau kebijakan konfigurasi tertentu dengan target. Akun anak dari target dapat mewarisi kebijakan perilaku atau konfigurasi yang dikelola sendiri.

Contoh perintah untuk menunjuk akun yang dikelola sendiri:

aws securityhub --region us-east-1 start-configuration-policy-association \
--configuration-policy-identifier "SELF_MANAGED_SECURITY_HUB" \
--target '{"AccountId": "123456789012"}'