Integrazione del Security Hub CSPM con AWS Organizations - AWS Security Hub

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Integrazione del Security Hub CSPM con AWS Organizations

Per integrare AWS Security Hub Cloud Security Posture Management (CSPM) e AWS Organizations, si crea un'organizzazione in Organizations e si utilizza l'account di gestione dell'organizzazione per designare un account amministratore CSPM di Security Hub delegato. Ciò consente a Security Hub CSPM come servizio affidabile in Organizations. Abilita inoltre Security Hub CSPM nella versione corrente Regione AWS per l'account amministratore delegato e consente all'amministratore delegato di abilitare Security Hub CSPM per gli account dei membri, visualizzare i dati negli account membro ed eseguire altre azioni consentite sugli account dei membri.

Se si utilizza la configurazione centrale, l'amministratore delegato può anche creare politiche di configurazione CSPM di Security Hub che specificano come il servizio, gli standard e i controlli CSPM di Security Hub devono essere configurati negli account dell'organizzazione.

Creazione di un'organizzazione

Un'organizzazione è un'entità creata per consolidare la propria in Account AWS modo da poterla amministrare come una singola unità.

È possibile creare un'organizzazione utilizzando la AWS Organizations console o utilizzando un comando dall'SDK AWS CLI o da uno degli SDK. APIs Per istruzioni dettagliate, consulta Creare un'organizzazione nella Guida per l'AWS Organizations utente.

Puoi utilizzarlo AWS Organizations per visualizzare e gestire centralmente tutti gli account all'interno della tua organizzazione. Un'organizzazione ha un account di gestione insieme a zero o più account membri. È possibile organizzare gli account in una struttura gerarchica ad albero con una radice nella parte superiore e le unità organizzative (OUs) annidate sotto la radice. Ogni account può trovarsi direttamente sotto la radice o collocato in una delle posizioni della gerarchia. OUs Un'unità organizzativa è un contenitore per account specifici. Ad esempio, è possibile creare un'unità organizzativa finanziaria che includa tutti i conti relativi alle operazioni finanziarie.

Consigli per la scelta dell'amministratore CSPM delegato di Security Hub

Se disponi di un account amministratore dopo la procedura di invito manuale e stai passando alla gestione dell'account con AWS Organizations, ti consigliamo di designare quell'account come amministratore delegato del Security Hub CSPM.

Sebbene il CSPM APIs e la console di Security Hub consentano all'account di gestione dell'organizzazione di essere l'amministratore CSPM delegato di Security Hub, consigliamo di scegliere due account diversi. Questo perché è probabile che gli utenti che hanno accesso all'account di gestione dell'organizzazione per gestire la fatturazione siano diversi dagli utenti che devono accedere al CSPM di Security Hub per la gestione della sicurezza.

Si consiglia di utilizzare lo stesso amministratore delegato in tutte le regioni. Se opti per la configurazione centralizzata, Security Hub CSPM designa automaticamente lo stesso amministratore delegato nella tua regione di origine e in tutte le regioni collegate.

Verifica le autorizzazioni per configurare l'amministratore delegato

Per designare e rimuovere un account amministratore CSPM di Security Hub delegato, l'account di gestione dell'organizzazione deve disporre delle autorizzazioni per le azioni e EnableOrganizationAdminAccount in DisableOrganizationAdminAccount Security Hub CSPM. L'account di gestione Organizations deve inoltre disporre delle autorizzazioni amministrative per Organizations.

Per concedere tutte le autorizzazioni richieste, collega le seguenti politiche gestite da Security Hub CSPM al principale IAM per l'account di gestione dell'organizzazione:

Designazione dell'amministratore delegato

Per designare l'account amministratore CSPM di Security Hub delegato, è possibile utilizzare la console CSPM di Security Hub, l'API CSPM di Security Hub oppure. AWS CLI Security Hub CSPM imposta l'amministratore delegato Regione AWS solo nella versione corrente ed è necessario ripetere l'azione in altre regioni. Se inizi a utilizzare la configurazione centrale, Security Hub CSPM imposta automaticamente lo stesso amministratore delegato nella regione di origine e nelle regioni collegate.

L'account di gestione dell'organizzazione non deve abilitare Security Hub CSPM per designare l'account amministratore CSPM di Security Hub delegato.

È consigliabile che l'account di gestione dell'organizzazione non sia l'account amministratore delegato di Security Hub CSPM. Tuttavia, se si sceglie l'account di gestione dell'organizzazione come amministratore delegato CSPM di Security Hub, l'account di gestione deve avere il CSPM di Security Hub abilitato. Se l'account di gestione non ha Security Hub CSPM abilitato, è necessario abilitarlo manualmente. Security Hub CSPM non può essere abilitato automaticamente per l'account di gestione dell'organizzazione.

È necessario designare l'amministratore CSPM delegato di Security Hub utilizzando uno dei seguenti metodi. La designazione dell'amministratore CSPM delegato di Security Hub con Organizations APIs non si riflette nel Security Hub CSPM.

Scegli il tuo metodo preferito e segui i passaggi per designare l'account amministratore CSPM di Security Hub delegato.

Security Hub CSPM console
Per designare l'amministratore delegato durante l'onboarding
  1. Apri la console AWS Security Hub Cloud Security Posture Management (CSPM) all'indirizzo. https://console.aws.amazon.com/securityhub/

  2. Scegli Vai a Security Hub CSPM. Ti viene richiesto di accedere all'account di gestione dell'organizzazione.

  3. Nella pagina Designa amministratore delegato, nella sezione Account amministratore delegato, specifica l'account amministratore delegato. Ti consigliamo di scegliere lo stesso amministratore delegato che hai impostato per altri AWS servizi di sicurezza e conformità.

  4. Scegli Imposta amministratore delegato. Ti viene richiesto di accedere all'account amministratore delegato (se non lo sei già) per continuare l'onboarding con la configurazione centrale. Se non desideri avviare la configurazione centralizzata, scegli Annulla. L'amministratore delegato è impostato, ma non stai ancora utilizzando la configurazione centrale.

Per designare l'amministratore delegato dalla pagina Impostazioni
  1. Apri la console AWS Security Hub Cloud Security Posture Management (CSPM) all'indirizzo. https://console.aws.amazon.com/securityhub/

  2. Nel pannello di navigazione CSPM di Security Hub, scegli Impostazioni. Quindi scegli Generale.

  3. Se al momento è assegnato un account amministratore CSPM di Security Hub, prima di poter designare un nuovo account, è necessario rimuovere l'account corrente.

    In Amministratore delegato, per rimuovere l'account corrente, scegli Rimuovi.

  4. Inserisci l'ID dell'account che desideri designare come account amministratore CSPM di Security Hub.

    È necessario designare lo stesso account amministratore CSPM di Security Hub in tutte le regioni. Se si designa un account diverso da quello designato in altre regioni, la console restituisce un errore.

  5. Scegli Delega.

Security Hub CSPM API, AWS CLI

Dall'account di gestione dell'organizzazione, utilizza il EnableOrganizationAdminAccountfunzionamento dell'API CSPM Security Hub. Se utilizzi il AWS CLI, esegui il comando. enable-organization-admin-account Fornisci l' Account AWS ID dell'amministratore CSPM di Security Hub delegato.

L'esempio seguente designa l'amministratore CSPM delegato di Security Hub. Questo esempio è formattato per Linux, macOS o Unix e utilizza il carattere di continuazione di barra rovesciata (\) per migliorare la leggibilità.

$ aws securityhub enable-organization-admin-account --admin-account-id 123456789012