Habilitação automática do CSPM do Security Hub em novas contas da organização - AWS Security Hub

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Habilitação automática do CSPM do Security Hub em novas contas da organização

Se você não habilitar automaticamente o CSPM do Security Hub nas novas contas quando elas ingressarem na organização, será possível habilitar o CSPM do Security Hub nessas contas manualmente depois que elas ingressarem na organização. Você também deve habilitar manualmente o CSPM do Security Hub, pois você Contas da AWS se desassociou anteriormente de uma organização.

nota

Esta seção não se aplica a você se você usar a configuração central. Se você usar a configuração central, poderá criar políticas de configuração que habilitem o CSPM do Security Hub em contas de membros e unidades organizacionais especificadas ()OUs. Você também pode ativar padrões e controles específicos nessas contas OUs e.

Você não pode habilitar o CSPM do Security Hub em uma conta se ela já for uma conta de membro em uma organização diferente.

Você também não pode habilitar o CSPM do Security Hub em uma conta que esteja suspensa no momento. Se você tentar habilitar o serviço em uma conta suspensa, o status da conta mudará para Conta suspensa.

  • Se a conta não tiver o CSPM do Security Hub habilitado, o CSPM do Security Hub será habilitado nessa conta. O padrão AWS Foundational Security Best Practices (FSBP) e o CIS AWS Foundations Benchmark v1.2.0 também estão habilitados na conta, a menos que você desative os padrões de segurança padrão.

    A exceção é a conta gerencial do Organizations. O CSPM do Security Hub não pode ser habilitado automaticamente na conta gerencial do Organizations. É necessário habilitar manualmente o CSPM do Security Hub na conta gerencial do Organization antes de poder adicioná-lo como uma conta de membro.

  • Se a conta já tiver o CSPM do Security Hub habilitado, o CSPM do Security Hub não fará nenhuma outra alteração na conta. Ele só habilita a participação como membro.

Para que o Security Hub CSPM gere descobertas de controle, as contas dos membros devem estar AWS Config habilitadas e configuradas para registrar os recursos necessários. Para obter mais informações, consulte Habilitar e configurar a AWS Config.

Escolha seu método preferido e siga as etapas para habilitar uma conta da organização como conta de membro do CSPM do Security Hub.

Security Hub CSPM console
Para habilitar manualmente as contas da organização como membros do CSPM do Security Hub

  1. Abra o console CSPM do AWS Security Hub em. https://console.aws.amazon.com/securityhub/

    Faça login usando as credenciais da conta do administrador delegado.

  2. No painel de navegação do CSPM do Security Hub, em Configurações, escolha Configuração.

  3. Na lista Contas, selecione cada conta da organização que você deseja habilitar.

  4. Escolha Ações e, em seguida, escolha Adicionar membro.

Security Hub CSPM API

Para habilitar manualmente as contas da organização como membros do CSPM do Security Hub

Invoque a API CreateMembers a partir da conta do administrador delegado. Para que cada conta seja habilitada, forneça o ID da conta.

Ao contrário do processo de convite manual, quando você invocar CreateMembers para habilitar uma conta da organização, você não precisará enviar um convite.

AWS CLI

Para habilitar manualmente as contas da organização como membros do CSPM do Security Hub

Execute o comando create-members a partir da conta do administrador delegado. Para que cada conta seja habilitada, forneça o ID da conta.

Ao contrário do processo de convite manual, quando você executar create-members para habilitar uma conta da organização, você não precisará enviar um convite.

aws securityhub create-members --account-details '[{"AccountId": "<accountId>"}]'

Exemplo

aws securityhub create-members --account-details '[{"AccountId": "123456789111"}, {"AccountId": "123456789222"}]'