Gestione degli account con AWS Organizations Gestione manuale degli account tramite invito

Gestione degli account di amministratore e membro in Security Hub CSPM

Se il tuo AWS ambiente ha più account, puoi trattare gli account che utilizzano AWS Security Hub Cloud Security Posture Management (CSPM) come account membro e associarli a un singolo account amministratore. L'amministratore può monitorare il livello di sicurezza generale dell'utente e intraprendere le azioni consentite sugli account dei membri. L'amministratore può anche eseguire varie attività di gestione e amministrazione degli account su larga scala, come il monitoraggio dei costi di utilizzo stimati e la valutazione delle quote degli account.

È possibile associare gli account membro a un amministratore in due modi: integrando Security Hub CSPM AWS Organizations o inviando e accettando manualmente gli inviti di iscrizione in Security Hub CSPM.

Gestione degli account con AWS Organizations

AWS Organizations è un servizio globale di gestione degli account che consente AWS agli amministratori di consolidare e gestire più account. Account AWS Fornisce funzionalità di gestione degli account e fatturazione consolidata progettate per supportare le esigenze di budget, sicurezza e conformità. È offerto senza costi aggiuntivi e si integra con più sistemi Servizi AWS, tra cui AWS Security Hub Cloud Security Posture Management (CSPM), Amazon Macie e Amazon. GuardDuty Per ulteriori informazioni, consulta la Guida per l'utente di AWS Organizations .

Quando si integra Security Hub CSPM e AWS Organizations, l'account di gestione Organizations designa un amministratore delegato CSPM di Security Hub. Security Hub CSPM viene abilitato automaticamente nell'account amministratore delegato Regione AWS in cui è stato designato.

Dopo aver designato un amministratore delegato, consigliamo di gestire gli account in Security Hub CSPM con configurazione centrale. Questo è il modo più efficiente per personalizzare Security Hub CSPM e garantire un'adeguata copertura di sicurezza per l'organizzazione.

La configurazione centrale consente all'amministratore delegato di personalizzare Security Hub CSPM su più account e regioni dell'organizzazione anziché eseguire la configurazione. Region-by-Region È possibile creare una politica di configurazione per l'intera organizzazione o creare politiche di configurazione diverse per account diversi e. OUs Le politiche specificano se Security Hub CSPM è abilitato o disabilitato negli account associati e quali standard e controlli di sicurezza sono abilitati.

L'amministratore delegato può designare gli account come gestiti centralmente o autogestiti. Gli account gestiti centralmente sono configurabili solo dall'amministratore delegato. Gli account autogestiti possono specificare le proprie impostazioni.

Se non si attiva la configurazione centrale, l'amministratore delegato ha una capacità più limitata di configurare Security Hub CSPM, chiamata configurazione locale. Nella configurazione locale, l'amministratore delegato può abilitare automaticamente Security Hub CSPM e gli standard di sicurezza predefiniti nei nuovi account dell'organizzazione nella regione corrente. Tuttavia, gli account esistenti non utilizzano queste impostazioni, quindi è possibile che si verifichi una variazione della configurazione dopo che un account si unisce all'organizzazione.

Oltre a queste nuove impostazioni dell'account, la configurazione locale è specifica dell'account e della regione. Ogni account dell'organizzazione deve configurare il servizio, gli standard e i controlli CSPM di Security Hub separatamente in ciascuna regione. La configurazione locale inoltre non supporta l'uso di politiche di configurazione.

Gestione manuale degli account tramite invito

È necessario gestire manualmente gli account dei membri su invito in Security Hub CSPM se si dispone di un account autonomo o se non si integra con Organizations. Un account autonomo non può integrarsi con Organizations, quindi è necessario gestirlo manualmente. Ti consigliamo di integrare AWS Organizations e utilizzare la configurazione centrale se aggiungi altri account in futuro.

Quando si utilizza la gestione manuale degli account, si designa un account come amministratore CSPM di Security Hub. L'account amministratore può visualizzare i dati negli account dei membri e intraprendere determinate azioni in base ai risultati degli account dei membri. L'amministratore CSPM di Security Hub invita altri account a diventare account membro e la relazione amministratore-membro viene stabilita quando un potenziale account membro accetta l'invito.

La gestione manuale degli account non supporta l'uso di politiche di configurazione. Senza policy di configurazione, l'amministratore non può personalizzare centralmente Security Hub CSPM configurando impostazioni variabili per account diversi. Invece, ogni account dell'organizzazione deve abilitare e configurare Security Hub CSPM separatamente in ciascuna regione. Ciò può rendere più difficile e dispendioso in termini di tempo garantire una copertura di sicurezza adeguata in tutti gli account e le regioni in cui si utilizza Security Hub CSPM. Ciò può anche causare variazioni nella configurazione, in quanto gli account membri possono specificare le proprie impostazioni senza alcun intervento da parte dell'amministratore.

Per gestire gli account su invito, consultaGestione degli account tramite invito in Security Hub CSPM.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Disabilitazione della configurazione centrale

Consigli per ambienti con più account