Integração do CSPM do Security Hub com o AWS Organizations - AWS Security Hub
Criar uma organizaçãoRecomendações para a escolha do administrador delegado do CSPM do Security HubVerificar as permissões para configurar o administrador delegadoDesignar o administrador delegado

Integração do CSPM do Security Hub com o AWS Organizations

Para integrar o CSPM do AWS Security Hub e o AWS Organizations, você cria uma organização no Organizations e usa a conta gerencial da organização para designar uma conta de administrador delegado do CSPM do Security Hub. Isso habilita o CSPM do Security Hub como um serviço confiável no Organizations. Essa ação também habilita o CSPM do Security Hub na Região da AWS atual para a conta de administrador delegado e permite que o administrador delegado habilite o CSPM do Security Hub para as contas de membro, visualize dados nas contas de membro e realize outras ações permitidas nas contas de membro.

Se você usar a configuração central, o administrador delegado também poderá criar políticas de configuração do CSPM do Security Hub que especifiquem como o serviço, os padrões e os controles do CSPM do Security Hub devem ser configurados nas contas da organização.

Criar uma organização

Uma organização é uma entidade que você cria para consolidar suas Contas da AWS para que você possa administrá-las como uma só unidade.

É possível criar uma organização usando o console do AWS Organizations ou usando um comando da AWS CLI ou uma das APIs do SDK. Para obter instruções detalhadas, consulte Criação de uma organização no Guia do usuário do AWS Organizations.

É possível usar o AWS Organizations para visualizar e gerenciar centralmente todas as suas contas dentro da sua organização. Uma organização tem uma conta gerencial primária com zero ou mais contas de membro. É possível organizar as contas em uma estrutura de árvore hierárquica, com uma raiz na parte superior e unidades organizacionais (UOs) aninhadas sob a raiz. Cada conta pode estar diretamente sob raiz ou posicionada em uma das UOs na hierarquia. Uma UO é um contêiner para contas específicas. Por exemplo, é possível criar uma UO de finanças que inclua todas as contas relacionadas a operações financeiras.

Recomendações para a escolha do administrador delegado do CSPM do Security Hub

Se você tiver uma conta de administrador implantada pelo processo de convite manual e estiver fazendo a transição para o gerenciamento de contas com o AWS Organizations, recomendamos que designe essa conta como a conta de administrador delegado do CSPM do Security Hub.

Embora as APIs e o console do CSPM do Security Hub permitam que a conta gerencial da organização seja a conta de administrador delegado do CSPM do Security Hub, recomendamos a escolha de duas contas diferentes. Isso ocorre porque os usuários que têm acesso à conta gerencial da organização para gerenciar o faturamento provavelmente são diferentes dos usuários que precisam acessar o CSPM do Security Hub para gerenciamento de segurança.

Recomendamos o uso da mesma conta de administrador delegado nas regiões. Se você optar pela configuração central, o CSPM do Security Hub designará automaticamente o mesmo administrador delegado em sua região inicial e em qualquer região vinculada.

Verificar as permissões para configurar o administrador delegado

Para designar e remover uma conta de administrador delegado do CSPM do Security Hub, a conta gerencial da organização deve ter permissões para as ações EnableOrganizationAdminAccount e DisableOrganizationAdminAccount no CSPM do Security Hub. A conta gerencial do Organizations também deve ter permissões administrativas para o Organizations.

Para conceder todas as permissões necessárias, anexe as políticas gerenciadas a seguir do Security Hub à entidade principal do IAM na conta gerencial da organização:

Designar o administrador delegado

Para designar a conta de administrador delegado do CSPM do Security Hub, é possível usar o console do CSPM do Security Hub, a API do CSPM do Security Hub ou a AWS CLI. O CSPM do Security Hub define o administrador delegado somente na Região da AWS atual, e será necessário repetir a ação em outras regiões. Se você começar a usar a configuração central, o CSPM do Security Hub definirá automaticamente o mesmo administrador delegado na região inicial e nas regiões vinculadas.

A conta gerencial da organização não precisa habilitar o CSPM do Security Hub para designar a conta de administrador delegado do CSPM do Security Hub.

Recomendamos que a conta gerencial da organização não seja a conta de administrador do CSPM do Security Hub. Porém, se você escolher a conta gerencial da organização como a conta de administrador delegado do CSPM do Security Hub, a conta gerencial deverá ter o CSPM do Security Hub habilitado. Se a conta gerencial não tiver o CSPM do Security Hub habilitado, será necessário habilitar o CSPM do Security Hub para ela manualmente. O CSPM do Security Hub não pode ser habilitado automaticamente para a conta gerencial da organização.

É necessário designar o administrador delegado do CSPM do Security Hub usando um dos métodos a seguir. Designar o administrador delegado do CSPM do Security Hub com as APIs do Organizations não se reflete no CSPM do Security Hub.

Escolha seu método preferido e siga as etapas para designar a conta de administrador delegado do CSPM do Security Hub.

Security Hub CSPM console
Para designar o administrador delegado durante o onboarding

  1. Abra o console do CSPM do AWS Security Hub em https://console.aws.amazon.com/securityhub/.

  2. Escolha Ir para o CSPM do Security Hub. Você será orientado a fazer login na conta gerencial da organização.

  3. Na página Designar administrador delegado, na seção Conta de administrador delegado, especifique a conta de administrador delegado. Recomendamos escolher o mesmo administrador delegado que você definiu para outros serviços de segurança e conformidade da AWS.

  4. Escolha Definir administrador delegado. Será necessário entrar na conta de administrador delegado (se ainda não tiver feito isso) para continuar a integração com a configuração central. Se não quiser iniciar a configuração central, escolha Cancelar. Seu administrador delegado está definido, mas você ainda não está usando a configuração central.

Para designar o administrador delegado na página Configurações

  1. Abra o console do CSPM do AWS Security Hub em https://console.aws.amazon.com/securityhub/.

  2. No painel de navegação do CSPM do Security Hub, escolha Configurações. Em seguida, escolha Geral.

  3. Se uma conta de administrador do CSPM do Security Hub estiver atualmente atribuída, então antes de designar uma nova conta, será necessário remover a conta atual.

    Em Administrador delegado, para remover a conta atual, escolha Remover.

  4. Insira o ID da conta que você deseja designar como conta de administrador do CSPM do Security Hub.

    É necessário designar a mesma conta de administrador do CSPM do Security Hub em todas as regiões. Se você designar uma conta diferente da conta designada em outras regiões, o console retornará um erro.

  5. Selecione Delegar.

Security Hub CSPM API, AWS CLI

Na conta gerencial da organização, use a operação EnableOrganizationAdminAccount da API do CSPM do Security Hub. Se você estiver usando a AWS CLI, execute o comando enable-organization-admin-account. Forneça o ID da Conta da AWS do administrador delegado do CSPM do Security Hub.

O exemplo a seguir designa o administrador delegado do CSPM do Security Hub. Este exemplo está formatado para Linux, macOS ou Unix e usa o caractere de continuação de linha “barra invertida (\)” para melhorar a legibilidade.

$ aws securityhub enable-organization-admin-account --admin-account-id 123456789012