Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Obiettivi gestiti centralmente e obiettivi autogestiti

Quando abiliti la configurazione centrale, l'amministratore delegato di AWS Security Hub Cloud Security Posture Management (CSPM) può designare ogni account dell'organizzazione, unità organizzativa (OU) e root come gestiti centralmente o autogestiti. Il tipo di gestione di una destinazione determina come specificare le relative impostazioni CSPM del Security Hub.

Per informazioni di base sui vantaggi della configurazione centralizzata e su come funziona, consulta. Comprendere la configurazione centrale in Security Hub CSPM

Questa sezione spiega le differenze tra una designazione gestita centralmente e una autogestita e come scegliere il tipo di gestione di un account, di un'unità organizzativa o della directory principale.

L'amministratore delegato può cambiare lo stato di una destinazione tra gestione automatica e gestione centralizzata. Per impostazione predefinita, tutti gli account e l'unità organizzativa vengono gestiti automaticamente quando si avvia la configurazione centrale tramite l'API CSPM Security Hub. Nella console, il tipo di gestione dipende dalla prima politica di configurazione. Gli account e OUs quelli associati alla prima policy vengono gestiti centralmente. Gli altri account OUs sono gestiti automaticamente per impostazione predefinita.

Se si associa una politica di configurazione a un account precedentemente gestito in modo autonomo, le impostazioni dei criteri hanno la precedenza sulla designazione autogestita. L'account viene gestito centralmente e adotta le impostazioni riportate nella politica di configurazione.

Se si modifica un account gestito centralmente in un account autogestito, le impostazioni precedentemente applicate all'account tramite una politica di configurazione rimangono invariate. Ad esempio, un account gestito centralmente potrebbe inizialmente essere associato a una policy che abilitava Security Hub CSPM, abilitava AWS Foundational Security Best Practices e disabilitava .1. CloudTrail Se poi si designa l'account come autogestito, tutte le impostazioni rimangono invariate. Tuttavia, il proprietario dell'account può modificare autonomamente le impostazioni dell'account in futuro.

Gli account figlio OUs possono ereditare il comportamento autogestito da un genitore autogestito, allo stesso modo in cui gli account figlio OUs possono ereditare le politiche di configurazione da un genitore gestito centralmente. Per ulteriori informazioni, consulta Associazione delle politiche tramite applicazione ed ereditarietà.

Un account o un'unità organizzativa autogestiti non possono ereditare una politica di configurazione da un nodo principale o dalla radice. Ad esempio, se si desidera che tutti gli account e l'organizzazione OUs ereditino una politica di configurazione dalla radice, è necessario modificare il tipo di gestione dei nodi autogestiti in gestione centralizzata.

Opzioni per configurare le impostazioni negli account autogestiti

Gli account autogestiti devono configurare le proprie impostazioni separatamente in ciascuna regione.

I proprietari di account autogestiti possono richiamare le seguenti operazioni dell'API CSPM Security Hub in ciascuna regione per configurare le proprie impostazioni:

Gli account autogestiti possono inoltre essere utilizzati *Invitations e utilizzati*Members. Tuttavia, consigliamo che gli account autogestiti non utilizzino queste operazioni. Le associazioni di policy possono fallire se un account membro ha i propri membri che fanno parte di un'organizzazione diversa da quella dell'amministratore delegato.

Per le descrizioni delle azioni dell'API CSPM di Security Hub, consulta il riferimento all'API AWS Security Hub Cloud Security Posture Management (CSPM).

Gli account autogestiti possono anche utilizzare la console Security Hub CSPM o AWS CLI configurarne le impostazioni in ciascuna regione.

Gli account autogestiti non possono richiamare i criteri di configurazione CSPM e le associazioni di policy APIs relativi ai criteri di configurazione CSPM di Security Hub. Solo l'amministratore delegato può richiamare la configurazione centrale APIs e utilizzare le politiche di configurazione per configurare account gestiti centralmente.

Scelta del tipo di gestione di una destinazione

Scegli il tuo metodo preferito e segui i passaggi per designare un account o un'unità organizzativa come gestito centralmente o autogestito in AWS Security Hub Cloud Security Posture Management (CSPM).

Security Hub CSPM console

Per scegliere il tipo di gestione di un account o di un'unità organizzativa

1. Apri la console AWS Security Hub Cloud Security Posture Management (CSPM) all'indirizzo. https://console.aws.amazon.com/securityhub/

   Accedi utilizzando le credenziali dell'account amministratore CSPM di Security Hub delegato nella regione di residenza.

2. Scegliere Configuration (Configurazione).

3. Nella scheda Organizzazione, seleziona l'account o l'unità organizzativa di destinazione. Scegli Modifica.

4. Nella pagina Definisci configurazione, per Tipo di gestione, scegli Gestito centralmente se desideri che l'amministratore delegato configuri l'account o l'unità organizzativa di destinazione. Quindi, scegli Applica una politica specifica se desideri associare una politica di configurazione esistente alla destinazione. Scegli Inherit from my organization se desideri che il target erediti la configurazione del genitore più vicino. Scegli Autogestito se desideri che l'account o l'unità organizzativa configurino le proprie impostazioni.

5. Scegli Next (Successivo). Rivedi le modifiche e scegli Salva.

Security Hub CSPM API

Per scegliere il tipo di gestione di un account o di un'unità organizzativa

1. Richiama l'StartConfigurationPolicyAssociationAPI dall'account amministratore delegato CSPM di Security Hub nella regione di origine.

2. Per il ConfigurationPolicyIdentifier campo, specifica SELF_MANAGED_SECURITY_HUB se desideri che l'account o l'unità organizzativa controllino le proprie impostazioni. Fornisci l'Amazon Resource Name (ARN) o l'ID della politica di configurazione pertinente se desideri che l'amministratore delegato controlli le impostazioni dell'account o dell'unità organizzativa.

3. Per il Target campo, fornisci l' Account AWS ID, l'ID OU o l'ID root della destinazione di cui desideri modificare il tipo di gestione. Ciò associa il comportamento autogestito o la politica di configurazione specificata alla destinazione. Gli account secondari della destinazione possono ereditare il comportamento autogestito o la politica di configurazione.

Esempio di richiesta API per designare un account autogestito:

{
    "ConfigurationPolicyIdentifier": "SELF_MANAGED_SECURITY_HUB",
    "Target": {"AccountId": "123456789012"}
}
                

AWS CLI

Per scegliere il tipo di gestione di un account o di un'unità organizzativa

1. Esegui il start-configuration-policy-associationcomando dall'account amministratore delegato CSPM di Security Hub nella regione di origine.

2. Per configuration-policy-identifier campo, specifica SELF_MANAGED_SECURITY_HUB se desideri che l'account o l'unità organizzativa controllino le proprie impostazioni. Fornisci l'Amazon Resource Name (ARN) o l'ID della policy di configurazione pertinente se desideri che l'amministratore delegato controlli le impostazioni dell'account o dell'unità organizzativa.

3. Per il target campo, fornisci l' Account AWS ID, l'ID OU o l'ID root della destinazione di cui desideri modificare il tipo di gestione. Ciò associa il comportamento autogestito o la politica di configurazione specificata alla destinazione. Gli account secondari della destinazione possono ereditare il comportamento autogestito o la politica di configurazione.

Esempio di comando per designare un account autogestito:

aws securityhub --region us-east-1 start-configuration-policy-association \
--configuration-policy-identifier "SELF_MANAGED_SECURITY_HUB" \
--target '{"AccountId": "123456789012"}'