Destinos gerenciado centralmente versus autogerenciados - AWS Security Hub
Opções para definir configurações em contas autogerenciadasEscolher o tipo de gerenciamento

Destinos gerenciado centralmente versus autogerenciados

Quando você usa a configuração central, o administrador delegado do CSPM do AWS Security Hub pode designar cada conta da organização, da unidade organizacional (UO) e da raiz como gerenciada centralmente ou autogerenciada. O tipo de gerenciamento de um alvo determina como é possível especificar suas configurações do CSPM do Security Hub.

Para obter informações contextuais sobre os benefícios da configuração central e como ela funciona, consulte Noções básicas sobre a configuração central no CSPM do Security Hub.

Esta seção explica as diferenças entre uma designação gerenciada centralmente e autogerenciada, e como escolher o tipo de gerenciamento de uma conta, de uma UO ou da raiz.

Autogerenciado

O proprietário de uma conta autogerenciada, de uma UO ou da raiz deve definir suas configurações em cada Região da AWS separadamente. O administrador delegado não pode criar políticas de configuração para alvos autogerenciados.

Gerenciada centralmente

Apenas o administrador delegado do CSPM do Security Hub pode definir configurações para as contas, as UOs e a raiz gerenciadas centralmente na região inicial e nas regiões vinculadas. As políticas de configuração podem ser associadas a contas e UOs gerenciadas centralmente.

O administrador delegado pode alternar o status de um alvo entre autogerenciado e gerenciado centralmente. Por padrão, todas as contas e UOs são autogerenciadas quando você inicia a configuração central por meio da API do CSPM do Security Hub. No console, o tipo de gerenciamento dependerá da sua primeira política de configuração. As contas e UOs que você associa à sua primeira política são gerenciadas centralmente. Outras contas e UOs são autogerenciadas por padrão.

Se você associar uma política de configuração a uma conta anteriormente autogerenciada, as configurações da política substituirão a designação autogerenciada. A conta passará a ser gerenciada centralmente e adotará as configurações refletidas na política de configuração.

Se você alterar uma conta gerenciada centralmente para uma conta autogerenciada, as configurações aplicadas anteriormente à conta por meio de uma política de configuração permanecerão em vigor. Por exemplo, uma conta gerenciada centralmente poderia inicialmente ser associada a uma política que habilitasse o CSPM do Security Hub, habilitasse as Práticas Recomendadas de Segurança Básica da AWS e desabilitasse o CloudTrail.1. Se você designar a conta como autogerenciada, todas as configurações permanecerão inalteradas. No entanto, o proprietário da conta pode alterar de forma independente as configurações da conta daqui para frente.

Contas filhas e UOs podem herdar o comportamento autogerenciado de uma conta pai autogerenciada, da mesma forma que contas filhas e UOs podem herdar políticas de configuração de uma conta pai gerenciada centralmente. Para obter mais informações, consulte Associação de políticas por meio de aplicação e herança.

Uma conta autogerenciada ou UO não pode herdar uma política de configuração de um nó superior ou da raiz. Por exemplo, se você quiser que todas as contas e UOs da sua organização herdem uma política de configuração da raiz, será necessário alterar o tipo de gerenciamento dos nós autogerenciados para gerenciados centralmente.

Opções para definir configurações em contas autogerenciadas

As contas autogerenciadas devem definir suas próprias configurações separadamente em cada região.

Os proprietários de contas autogerenciadas podem invocar as seguintes operações da APIs do CSPM do Security Hub em cada região para definir suas configurações:

  • EnableSecurityHub e DisableSecurityHub para habilitar ou desabilitar o serviço do CSPM do Security Hub (se uma conta autogerenciada tiver um administrador delegado do CSPM do Security Hub, o administrador deverá desassociar a conta antes que o proprietário da conta possa desabilitar o CSPM do Security Hub).

  • BatchEnableStandards e BatchDisableStandards para habilitar ou desabilitar padrões

  • BatchUpdateStandardsControlAssociations ou UpdateStandardsControl para habilitar ou desabilitar

As contas autogerenciadas também podem usar as operações *Invitations e *Members. Porém, recomendamos que as contas autogerenciadas não usem essas operações. As associações de políticas podem não funcionar se uma conta de membro tiver seus os próprios membros e eles fizerem parte de uma organização diferente da organização do administrador delegado.

Para obter descrições das ações da API do CSPM do Security Hub, consulte a Referência da API do CSPM do AWS Security Hub.

As contas autogerenciadas também podem usar o console do CSPM do Security Hub ou a AWS CLI para definir suas configurações em cada região.

As contas autogerenciadas não podem invocar nenhuma API relacionada às políticas de configuração e associações de políticas do CSPM do Security Hub. Somente o administrador delegado pode invocar APIs de configuração central e usar políticas de configuração para configurar contas gerenciadas centralmente.

Escolher o tipo de gerenciamento de um alvo

Escolha seu método preferido e siga as etapas para designar uma conta ou UO como gerenciada centralmente ou autogerenciada no CSPM do AWS Security Hub.

Security Hub CSPM console
Para escolher o tipo de gerenciamento de uma conta ou UO

  1. Abra o console do CSPM do AWS Security Hub em https://console.aws.amazon.com/securityhub/.

    Faça login usando as credenciais da conta do administrador do CSPM do Security Hub delegado na região inicial.

  2. Escolher configuração.

  3. Na guia Organização, selecione a conta ou UO de destino. Escolha Editar.

  4. Na página Definir configuração, em Tipo de gerenciamento, escolha Gerenciada centralmente se quiser que o administrador delegado configure a conta ou UO de destino. Em seguida, escolha Aplicar uma política específica se quiser associar uma política de configuração existente ao destino. Escolha Herdar da minha organização se desejar que o destino herde a configuração do pai mais próximo. Escolha Autogerenciado se desejar que a conta ou UO defina suas próprias configurações.

  5. Escolha Próximo. Revise suas alterações e escolha Salvar.

Security Hub CSPM API
Para escolher o tipo de gerenciamento de uma conta ou UO

  1. Invoque a API StartConfigurationPolicyAssociation a partir da conta de administrador delegado do CSPM do Security Hub na região inicial.

  2. No campo ConfigurationPolicyIdentifier, forneça SELF_MANAGED_SECURITY_HUB se você deseja que a conta ou UO controle suas próprias configurações. Forneça o nome do recurso da Amazon (ARN) ou o ID da política de configuração relevante se quiser que o administrador delegado controle as configurações da conta ou da UO.

  3. No campo Target, forneça o ID da Conta da AWS, ID da UO ou ID da raiz do destino cujo tipo de gerenciamento você deseja alterar. Isso associará o comportamento autogerenciado ou a política de configuração especificada ao destino. As contas filhas do destino podem herdar o comportamento autogerenciado ou a política de configuração.

Exemplo de solicitação de API para designar uma conta autogerenciada:

{
    "ConfigurationPolicyIdentifier": "SELF_MANAGED_SECURITY_HUB",
    "Target": {"AccountId": "123456789012"}
}
AWS CLI
Para escolher o tipo de gerenciamento de uma conta ou UO

  1. Execute o comando start-configuration-policy-association a partir da conta de administrador delegado do CSPM do Security Hub na região inicial.

  2. No campo configuration-policy-identifier, forneça SELF_MANAGED_SECURITY_HUB se você deseja que a conta ou UO controle suas próprias configurações. Forneça o nome do recurso da Amazon (ARN) ou o ID da política de configuração relevante se quiser que o administrador delegado controle as configurações da conta ou da UO.

  3. No campo target, forneça o ID da Conta da AWS, ID da UO ou ID da raiz do destino cujo tipo de gerenciamento você deseja alterar. Isso associará o comportamento autogerenciado ou a política de configuração especificada ao destino. As contas filhas do destino podem herdar o comportamento autogerenciado ou a política de configuração.

Exemplo de comando para designar uma conta autogerenciada:

aws securityhub --region us-east-1 start-configuration-policy-association \
--configuration-policy-identifier "SELF_MANAGED_SECURITY_HUB" \
--target '{"AccountId": "123456789012"}'