Ativando manualmente o CSPM do Security Hub em novas contas da organização - AWS Security Hub

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Ativando manualmente o CSPM do Security Hub em novas contas da organização

Se você não habilitar automaticamente o CSPM do Security Hub em novas contas da organização quando elas ingressarem na organização, você poderá adicionar essas contas como membros e habilitar o CSPM do Security Hub nelas manualmente depois que elas ingressarem na organização. Você também deve habilitar manualmente o CSPM do Security Hub, pois você Contas da AWS se desassociou anteriormente de uma organização.

nota

Esta seção não se aplica a você se você usar a configuração central. Se você usar a configuração central, poderá criar políticas de configuração que habilitem o CSPM do Security Hub em contas de membros e unidades organizacionais especificadas ()OUs. Você também pode ativar padrões e controles específicos nessas contas OUs e.

Você não pode habilitar o CSPM do Security Hub em uma conta se ela já for uma conta membro em uma organização diferente.

Você também não pode ativar o CSPM do Security Hub em uma conta atualmente suspensa. Se você tentar habilitar o serviço em uma conta suspensa, o status da conta mudará para Conta suspensa.

  • Se a conta não tiver o CSPM do Security Hub ativado, o CSPM do Security Hub estará habilitado nessa conta. O padrão AWS Foundational Security Best Practices (FSBP) e o CIS AWS Foundations Benchmark v1.2.0 também estão habilitados na conta, a menos que você desative os padrões de segurança padrão.

    A exceção é a conta de gerenciamento do Organizations. O CSPM do Security Hub não pode ser ativado automaticamente na conta de gerenciamento do Organizations. Você deve habilitar manualmente o CSPM do Security Hub na conta de gerenciamento do Organizations antes de poder adicioná-lo como uma conta de membro.

  • Se a conta já tiver o CSPM do Security Hub ativado, o CSPM do Security Hub não fará nenhuma outra alteração na conta. Ele só habilita a participação como membro.

Para que o Security Hub CSPM gere descobertas de controle, as contas dos membros devem estar AWS Config habilitadas e configuradas para registrar os recursos necessários. Para obter mais informações, consulte Habilitar e configurar a AWS Config.

Escolha seu método preferido e siga as etapas para habilitar uma conta da organização como uma conta membro do CSPM do Security Hub.

Security Hub CSPM console
Para habilitar manualmente as contas da organização como membros do CSPM do Security Hub
  1. Abra o console do AWS Security Hub Cloud Security Posture Management (CSPM) em. https://console.aws.amazon.com/securityhub/

    Faça login usando as credenciais da conta do administrador delegado.

  2. No painel de navegação CSPM do Security Hub, em Configurações, escolha Configuração.

  3. Na lista Contas, selecione cada conta da organização que você deseja habilitar.

  4. Escolha Ações e, em seguida, escolha Adicionar membro.

Security Hub CSPM API

Para habilitar manualmente as contas da organização como membros do CSPM do Security Hub

Invoque a API CreateMembers a partir da conta do administrador delegado. Para que cada conta seja habilitada, forneça o ID da conta.

Ao contrário do processo de convite manual, quando você invocar CreateMembers para habilitar uma conta da organização, você não precisará enviar um convite.

AWS CLI

Para habilitar manualmente as contas da organização como membros do CSPM do Security Hub

Execute o comando create-members a partir da conta do administrador delegado. Para que cada conta seja habilitada, forneça o ID da conta.

Ao contrário do processo de convite manual, quando você executar create-members para habilitar uma conta da organização, você não precisará enviar um convite.

aws securityhub create-members --account-details '[{"AccountId": "<accountId>"}]'

Exemplo

aws securityhub create-members --account-details '[{"AccountId": "123456789111"}, {"AccountId": "123456789222"}]'