As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Metas gerenciadas centralmente versus metas autogerenciadas

Quando você ativa a configuração central, o administrador delegado do AWS Security Hub Cloud Security Posture Management (CSPM) pode designar cada conta da organização, unidade organizacional (OU) e raiz como gerenciada centralmente ou autogerenciada. O tipo de gerenciamento de um alvo determina como você pode especificar suas configurações de CSPM do Security Hub.

Para obter informações contextuais sobre os benefícios da configuração central e como ela funciona, consulte Entendendo a configuração central no Security Hub CSPM.

Esta seção explica as diferenças entre uma designação gerenciada centralmente e autogerenciada, e como escolher o tipo de gerenciamento de uma conta, de uma UO ou da raiz.

O administrador delegado pode alternar o status de um alvo entre autogerenciado e gerenciado centralmente. Por padrão, todas as contas e UO são autogerenciadas quando você inicia a configuração central por meio da API CSPM do Security Hub. No console, o tipo de gerenciamento dependerá da sua primeira política de configuração. As contas OUs que você associa à sua primeira política são gerenciadas centralmente. Outras contas e OUs são autogerenciadas por padrão.

Se você associar uma política de configuração a uma conta autogerenciada anteriormente, as configurações da política substituirão a designação autogerenciada. A conta passará a ser gerenciada centralmente e adotará as configurações refletidas na política de configuração.

Se você alterar uma conta gerenciada centralmente para uma conta autogerenciada, as configurações que foram aplicadas anteriormente à conta por meio de uma política de configuração permanecerão em vigor. Por exemplo, uma conta gerenciada centralmente poderia inicialmente ser associada a uma política que habilitasse o Security Hub CSPM, habilitasse as melhores práticas de segurança AWS básicas e desabilitasse .1. CloudTrail Se você designar a conta como autogerenciada, todas as configurações permanecerão inalteradas. No entanto, o proprietário da conta pode alterar de forma independente as configurações da conta daqui para frente.

A criança conta e OUs pode herdar o comportamento autogerenciado de um pai autogerenciado, da mesma forma que contas secundárias e OUs pode herdar políticas de configuração de um pai gerenciado centralmente. Para obter mais informações, consulte Associação de políticas por meio de aplicação e herança.

Uma conta autogerenciada ou UO não pode herdar uma política de configuração de um nó superior ou da raiz. Por exemplo, se você quiser que todas as contas e OUs em sua organização herdem uma política de configuração da raiz, você deve alterar o tipo de gerenciamento dos nós autogerenciados para gerenciados centralmente.

Opções para definir configurações em contas autogerenciadas

As contas autogerenciadas devem definir suas próprias configurações separadamente em cada região.

Os proprietários de contas autogerenciadas podem invocar as seguintes operações da API CSPM do Security Hub em cada região para definir suas configurações:

As contas autogerenciadas também podem usar as operações *Invitations e *Members. Porém, recomendamos que as contas autogerenciadas não usem essas operações. As associações de políticas podem não funcionar se uma conta-membro tiver seus os próprios membros e eles fizerem parte de uma organização diferente da organização do administrador delegado.

Para obter descrições das ações da API CSPM do Security Hub, consulte a Referência da API AWS Security Hub Cloud Security Posture Management (CSPM).

As contas autogerenciadas também podem usar o console CSPM do Security Hub ou AWS CLI definir suas configurações em cada região.

As contas autogerenciadas não podem invocar nenhuma APIs relacionada às políticas de configuração e associações de políticas do Security Hub CSPM. Somente o administrador delegado pode invocar a configuração central APIs e usar políticas de configuração para configurar contas gerenciadas centralmente.

Escolher o tipo de gerenciamento de um alvo

Escolha seu método preferido e siga as etapas para designar uma conta ou OU como gerenciada centralmente ou autogerenciada no AWS Security Hub Cloud Security Posture Management (CSPM).

Security Hub CSPM console

Para escolher o tipo de gerenciamento de uma conta ou OU

1. Abra o console do AWS Security Hub Cloud Security Posture Management (CSPM) em. https://console.aws.amazon.com/securityhub/

   Faça login usando as credenciais da conta delegada de administrador CSPM do Security Hub na região de origem.

2. Escolher configuração.

3. Na guia Organização, selecione a conta ou OU de destino. Escolha Editar.

4. Na página Definir configuração, em Tipo de gerenciamento, escolha Gerenciada centralmente se quiser que o administrador delegado configure a conta ou OU de destino. Em seguida, escolha Aplicar uma política específica se quiser associar uma política de configuração existente ao destino. Escolha Herdar da minha organização se desejar que o destino herde a configuração do pai mais próximo. Escolha Autogerenciado se desejar que a conta ou OU defina suas próprias configurações.

5. Escolha Próximo. Revise suas alterações e escolha Salvar.

Security Hub CSPM API

Para escolher o tipo de gerenciamento de uma conta ou OU

1. Invoque a StartConfigurationPolicyAssociationAPI da conta de administrador delegado CSPM do Security Hub na região de origem.

2. No campo ConfigurationPolicyIdentifier, forneça SELF_MANAGED_SECURITY_HUB se você deseja que a conta ou OU controle suas próprias configurações. Forneça o nome do recurso da Amazon (ARN) ou o ID da política de configuração relevante se quiser que o administrador delegado controle as configurações da conta ou da OU.

3. Para o Target campo, forneça o Conta da AWS ID, ID da OU ou ID raiz do destino cujo tipo de gerenciamento você deseja alterar. Isso associará o comportamento autogerenciado ou a política de configuração especificada ao destino. As contas filhas do destino podem herdar o comportamento autogerenciado ou a política de configuração.

Exemplo de solicitação de API para designar uma conta autogerenciada:

{
    "ConfigurationPolicyIdentifier": "SELF_MANAGED_SECURITY_HUB",
    "Target": {"AccountId": "123456789012"}
}
                

AWS CLI

Para escolher o tipo de gerenciamento de uma conta ou OU

1. Execute o start-configuration-policy-associationcomando na conta de administrador delegado CSPM do Security Hub na região de origem.

2. No campo configuration-policy-identifier, forneça SELF_MANAGED_SECURITY_HUB se você deseja que a conta ou OU controle suas próprias configurações. Forneça o nome do recurso da Amazon (ARN) ou o ID da política de configuração relevante se quiser que o administrador delegado controle as configurações da conta ou da OU.

3. Para o target campo, forneça o Conta da AWS ID, ID da OU ou ID raiz do destino cujo tipo de gerenciamento você deseja alterar. Isso associará o comportamento autogerenciado ou a política de configuração especificada ao destino. As contas filhas do destino podem herdar o comportamento autogerenciado ou a política de configuração.

Exemplo de comando para designar uma conta autogerenciada:

aws securityhub --region us-east-1 start-configuration-policy-association \
--configuration-policy-identifier "SELF_MANAGED_SECURITY_HUB" \
--target '{"AccountId": "123456789012"}'