As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Integrando o Security Hub CSPM com AWS Organizations
Para integrar o AWS Security Hub Cloud Security Posture Management (CSPM) AWS Organizations, você cria uma organização no Organizations e usa a conta de gerenciamento da organização para designar uma conta delegada de administrador do CSPM do Security Hub. Isso habilita o Security Hub CSPM como um serviço confiável em Organizations. Ele também ativa o CSPM do Security Hub no atual Região da AWS para a conta do administrador delegado e permite que o administrador delegado habilite o CSPM do Security Hub para contas de membros, visualize dados em contas de membros e execute outras ações permitidas em contas de membros.
Se você usar a configuração central, o administrador delegado também poderá criar políticas de configuração do CSPM do Security Hub que especificam como o serviço, os padrões e os controles do CSPM do Security Hub devem ser configurados nas contas da organização.
Criar uma organização
Uma organização é uma entidade que você cria para consolidar a sua Contas da AWS , de forma que você possa administrá-la como uma única unidade.
Você pode criar uma organização usando o AWS Organizations console ou usando um comando do SDK AWS CLI APIs ou de um deles. Para obter instruções detalhadas, consulte Criação de uma organização no Guia do usuário do AWS Organizations .
Você pode usar AWS Organizations para visualizar e gerenciar centralmente todas as contas em sua organização. Uma organização tem uma conta de gerenciamento primária com zero ou mais contas-membro. Você pode organizar as contas em uma estrutura hierárquica em forma de árvore com uma raiz na parte superior e unidades organizacionais (OUs) aninhadas abaixo da raiz. Cada conta pode estar diretamente abaixo da raiz ou colocada em uma das da OUs hierarquia. Uma OU é um contêiner para contas específicas. Por exemplo, é possível criar uma OU de finanças que inclua todas as contas relacionadas a operações financeiras.
Recomendações para escolher o administrador delegado do CSPM do Security Hub
Se você tiver uma conta de administrador criada a partir do processo de convite manual e estiver fazendo a transição para o gerenciamento de contas com AWS Organizations, recomendamos designar essa conta como administrador delegado do CSPM do Security Hub.
Embora o CSPM APIs e o console do Security Hub permitam que a conta de gerenciamento da organização seja o administrador delegado do CSPM do Security Hub, recomendamos escolher duas contas diferentes. Isso ocorre porque os usuários que têm acesso à conta de gerenciamento da organização para gerenciar o faturamento provavelmente são diferentes dos usuários que precisam acessar o CSPM do Security Hub para gerenciamento de segurança.
Recomendamos o uso da mesma conta de administrador delegado nas regiões. Se você optar pela configuração central, o Security Hub CSPM designará automaticamente o mesmo administrador delegado em sua região de origem e em qualquer região vinculada.
Verificar as permissões para configurar o administrador delegado
Para designar e remover uma conta delegada de administrador do Security Hub CSPM, a conta de gerenciamento da organização deve ter permissões para as ações EnableOrganizationAdminAccount
e as ações no CSPM do DisableOrganizationAdminAccount
Security Hub. A conta de gerenciamento do Organizations também deve ter permissões administrativas para o Organizations.
Para conceder todas as permissões necessárias, anexe as seguintes políticas gerenciadas pelo CSPM do Security Hub ao diretor do IAM da conta de gerenciamento da organização:
Designar o administrador delegado
Para designar a conta delegada de administrador do Security Hub CSPM, você pode usar o console CSPM do Security Hub, a API CSPM do Security Hub ou. AWS CLI O CSPM do Security Hub define o administrador delegado Região da AWS somente no atual, e você deve repetir a ação em outras regiões. Se você começar a usar a configuração central, o Security Hub CSPM definirá automaticamente o mesmo administrador delegado na região de origem e nas regiões vinculadas.
A conta de gerenciamento da organização não precisa habilitar o CSPM do Security Hub para designar a conta delegada de administrador do CSPM do Security Hub.
Recomendamos que a conta de gerenciamento da organização não seja a conta delegada do administrador CSPM do Security Hub. No entanto, se você escolher a conta de gerenciamento da organização como administrador delegado do CSPM do Security Hub, a conta de gerenciamento deverá ter o CSPM do Security Hub ativado. Se a conta de gerenciamento não tiver o CSPM do Security Hub ativado, você deverá habilitar o CSPM do Security Hub para ela manualmente. O CSPM do Security Hub não pode ser ativado automaticamente para a conta de gerenciamento da organização.
Você deve designar o administrador delegado do CSPM do Security Hub usando um dos métodos a seguir. A designação do administrador delegado do CSPM do Security Hub com Organizations APIs não se reflete no CSPM do Security Hub.
Escolha seu método preferido e siga as etapas para designar a conta delegada do administrador CSPM do Security Hub.