Habilitação automática do CSPM do Security Hub em novas contas da organização - AWS Security Hub
Habilitação automática de novas contas da organização (configuração central)Habilitação automática de novas contas da organização (configuração local)

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Habilitação automática do CSPM do Security Hub em novas contas da organização

Quando novas contas ingressam na sua organização, elas são adicionadas à lista na página Contas do console CSPM do AWS Security Hub. Para contas da organização, o Tipo é Por organização. Por padrão, novas contas não se tornam membros do CSPM do Security Hub quando ingressam na organização. O status delas é Não é membro. A conta do administrador delegado pode adicionar automaticamente novas contas como membros e habilitar o CSPM do Security Hub nessas contas quando elas ingressam na organização.

nota

Embora muitas Regiões da AWS estejam ativas por padrão para você Conta da AWS, você deve ativar determinadas regiões manualmente. Essas regiões são chamadas de regiões de adesão opcional neste documento. Para habilitar automaticamente o CSPM do Security Hub em uma nova conta em uma região de adesão opcional, a conta deve primeiro ter essa região habilitada. Apenas o proprietário da conta pode ativar a região de adesão opcional. Para obter mais informações sobre regiões opcionais, consulte Especificar quais Regiões da AWS sua conta pode usar.

Esse processo é diferente dependendo de você usar a configuração central (recomendada) ou a configuração local.

Habilitação automática de novas contas da organização (configuração central)

Se você usar a configuração central, poderá habilitar automaticamente o CSPM do Security Hub em contas novas e existentes da organização criando uma política de configuração na qual o CSPM do Security Hub esteja habilitado. Em seguida, você pode associar a política à raiz da organização ou a unidades organizacionais específicas (OUs).

Se você associar uma política de configuração na qual o CSPM do Security Hub esteja habilitado a uma UO específica, o CSPM do Security Hub será habilitado automaticamente em todas as contas (existentes e novas) que pertençam a essa UO. As novas contas que não pertençam à UO são autogerenciadas e não têm o CSPM do Security Hub habilitado automaticamente. Se você associar uma política de configuração na qual o CSPM do Security Hub esteja habilitado com a raiz, o CSPM do Security Hub será habilitado automaticamente em todas as contas (existentes e novas) que ingressem na organização. As exceções são se uma conta usar uma política diferente por meio de aplicação ou herança, ou se for autogerenciada.

Em sua política de configuração, você também pode definir quais padrões e controles de segurança devem ser habilitados na UO. Para gerar descobertas de controle para padrões habilitados, as contas na OU devem estar AWS Config habilitadas e configuradas para registrar os recursos necessários. Para obter mais informações sobre AWS Config gravação, consulte Habilitando e configurando. AWS Config

Para obter instruções sobre como criar uma política de configuração, consulte Criação e associação de políticas de configuração.

Habilitação automática de novas contas da organização (configuração local)

Quando você usa a configuração local e ativa a habilitação automática dos padrões, o CSPM do Security Hub adiciona as novas contas da organização como membros e habilita nelas o CSPM do Security Hub na região atual. As outras regiões não são afetadas. Além disso, ativar a habilitação automática não habilita o CSPM do Security Hub nas contas existentes da organização, a menos que elas já tenham sido adicionadas como contas de membro.

Depois de ativar a habilitação automática, os padrões de segurança também são habilitados automaticamente para as novas contas da região atual ao ingressarem na organização. Os padrões padrão são AWS Foundational Security Best Practices (FSBP) e Center for Internet Security (CIS) AWS Foundations Benchmark v1.2.0. Não é possível alterar os padrões padrão. Se você quiser habilitar outros padrões em toda a sua organização ou habilitar padrões para contas selecionadas OUs, recomendamos usar a configuração central.

Para gerar descobertas de controle para os padrões padrão (e outros padrões habilitados), as contas em sua organização devem estar AWS Config habilitadas e configuradas para registrar os recursos necessários. Para obter mais informações sobre AWS Config gravação, consulte Habilitando e configurando. AWS Config

Escolha seu método preferido e siga as etapas para habilitar automaticamente o CSPM do Security Hub em novas contas da organização. Essas instruções se aplicam somente se você usar a configuração local.

Security Hub CSPM console
Para habilitar automaticamente novas contas da organização como membros do CSPM do Security Hub

  1. Abra o console CSPM do AWS Security Hub em. https://console.aws.amazon.com/securityhub/

    Faça login usando as credenciais da conta do administrador delegado.

  2. No painel de navegação do CSPM do Security Hub, em Configurações, escolha Configuração.

  3. Na seção Contas, ative a Habilitação automática de contas.

Security Hub CSPM API

Para habilitar automaticamente novas contas da organização como membros do CSPM do Security Hub

Invoque a API UpdateOrganizationConfiguration a partir da conta do administrador delegado. Defina o campo AutoEnable como true para habilitar automaticamente o CSPM do Security Hub nas novas contas da organização.

AWS CLI

Para habilitar automaticamente novas contas da organização como membros do CSPM do Security Hub

Execute o comando update-organization-configuration a partir da conta do administrador delegado. Inclua o parâmetro auto-enable para habilitar automaticamente o CSPM do Security Hub em novas contas da organização.

aws securityhub update-organization-configuration --auto-enable