As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Habilitar o Security Hub
nota
O Security Hub está em versão prévia e está sujeito a alterações.
Você pode ativar o Security Hub para qualquer um Conta da AWS. Os procedimentos neste tópico descrevem como habilitar o Security Hub a partir de uma conta de gerenciamento da AWS organização, uma conta de administrador delegado e uma conta independente.
nota
Depois de habilitar o Security Hub, as exposições em seu ambiente são analisadas imediatamente. No entanto, você pode esperar até 6 horas para receber uma descoberta de exposição para um recurso.
Habilitar o Security Hub para uma organização
O procedimento nesta seção descreve como habilitar o Security Hub para a conta de gerenciamento AWS da organização. O procedimento pressupõe que você tenha definido um administrador delegado para o CSPM do Security Hub e inclui uma etapa em que você pode definir um administrador delegado para sua organização no Security Hub. Para obter mais informações sobre como configurar um administrador delegado no Security Hub, consulte Configurando uma conta de administrador delegado no Security Hub.
Se você decidir definir um administrador delegado para o Security Hub durante a habilitação, precisará criar uma política de recursos no AWS Organizations console permitindo que o administrador delegado execute ações em nome da sua organização. Você pode usar o exemplo de política de recursos a seguir para a conta de administrador delegado.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Statement", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::delegated-administrator-account-id:root" }, "Action": [ "organizations:AttachPolicy", "organizations:CreatePolicy", "organizations:DetachPolicy", "organizations:DeletePolicy", "organizations:UpdatePolicy", "organizations:ListPolicies", "organizations:ListPoliciesForTarget", "organizations:ListTargetsForPolicy", "organizations:DescribePolicy", "organizations:DescribeEffectivePolicy", "organizations:DisablePolicyType", "organizations:EnablePolicyType" ], "Resource": "*" } ] }
Se você não definir um administrador delegado, poderá definir um administrador delegado posteriormente. Para obter mais informações, consulte Configurando uma conta de administrador delegado no Security Hub. O tópico inclui um procedimento que descreve como definir um administrador delegado para sua organização na página Geral no console do Security Hub.
O procedimento a seguir descreve como definir uma conta de administrador delegado para sua organização no Security Hub.
Para habilitar o Security Hub para uma conta de gerenciamento AWS da organização
-
Faça login na sua AWS conta com as credenciais da conta de gerenciamento da AWS organização. Abra o console do Security Hub em https://console.aws.amazon.com/securityhub/v2/home
. -
Na página inicial do Security Hub, selecione Security Hub. Escolha Começar.
-
(Opcional) Para Conta de administrador delegado, defina um administrador delegado com base nas opções fornecidas. Como prática recomendada, recomendamos usar o mesmo administrador delegado em todos os serviços de segurança para uma governança consistente. Para obter mais informações sobre como configurar uma conta de administrador delegado, consulte Configurando uma conta de administrador delegado no Security Hub.
-
(Opcional) Em Ativação da conta, selecione a caixa para ativar o Security Hub para sua AWS conta.
-
Escolha Copiar e anexar para abrir as configurações da organização. No console Organizations, selecione Delegate em Delegated administrator for AWS Organizations e cole a política de recursos. Escolha Criar política.
-
Acesse o console do Security Hub. Selecione Configurar.
Quando você ativa o Security Hub, uma função vinculada ao serviço chamada AWSServiceRoleForSecurityHubV2 é criada na sua conta e um gravador vinculado ao serviço é adicionado à sua conta. Um gravador vinculado a serviços é um tipo de AWS Config gravador gerenciado por um AWS serviço que pode registrar dados de configuração em recursos específicos do serviço. Com um gravador vinculado ao serviço, o Security Hub permite uma abordagem orientada por eventos para obter os itens de configuração de recursos necessários para a cobertura da análise de exposição. Um gravador vinculado ao serviço é configurado por Conta da AWS e. Região da AWS
nota
Se você definir um administrador delegado, o administrador delegado poderá criar e aplicar uma política que permita habilitar e desabilitar contas de membros do Security Hub. Para obter mais informações, consulte Criação de uma política como administrador delegado para gerenciar contas de membros.
Habilitar o Security Hub para o administrador delegado
Se a conta de gerenciamento AWS da organização definir um administrador delegado para sua organização, o administrador delegado deverá habilitar o Security Hub para sua conta. O procedimento a seguir deve ser concluído pelo administrador delegado, mas somente se o administrador delegado não tiver habilitado o Security Hub para sua conta. Para obter informações sobre como configurar um administrador delegado, consulte Configurando uma conta de administrador delegado no Security Hub.
Para habilitar o Security Hub para uma conta de administrador delegado
-
Na página inicial do Security Hub, selecione Security Hub e escolha Começar.
-
Escolha Habilitar.
-
(Opcional) Para Tags, determine se deseja adicionar um par de valores-chave à configuração da conta.
-
Escolha Ir para o Security Hub.
Quando você ativa o Security Hub, uma função vinculada ao serviço chamada AWSServiceRoleForSecurityHubV2 é criada na sua conta e um gravador vinculado ao serviço é adicionado à sua conta. Um gravador vinculado a serviços é um tipo de AWS Config gravador gerenciado por um AWS serviço que pode registrar dados de configuração em recursos específicos do serviço. Com um gravador vinculado ao serviço, o Security Hub permite uma abordagem orientada por eventos para obter os itens de configuração de recursos necessários para a cobertura da análise de exposição. Um gravador vinculado ao serviço é configurado por Conta da AWS e. Região da AWS
nota
Como administrador delegado de uma organização, você pode criar e aplicar uma política que permite habilitar e desabilitar contas de membros para o Security Hub. Para obter mais informações, consulte Criação de uma política como administrador delegado para gerenciar contas de membros.
Ativar o Security Hub para uma conta independente
O procedimento a seguir descreve como habilitar o Security Hub para uma conta autônoma. Há dois tipos de contas autônomas que podem ativar o Security Hub: uma que Conta da AWS não está dentro de uma organização e uma Conta da AWS está dentro de uma organização. Um Conta da AWS interior de uma AWS organização pode ser aquele Conta da AWS em que um administrador delegado anexa uma AWS Organizations política ao. Conta da AWS Para obter mais informações, consulte as políticas do Security Hub no Guia AWS Organizations do Usuário.
Para habilitar o Security Hub para uma conta independente
-
Entre na sua AWS conta com suas credenciais e abra o console do Security Hub em https://console.aws.amazon.com/securityhub/v2/home
. -
Na página inicial do Security Hub, selecione Security Hub e escolha Começar.
-
Escolha Habilitar.
Quando você ativa o Security Hub, uma função vinculada ao serviço chamada AWSServiceRoleForSecurityHubV2 é criada na sua conta e um gravador vinculado ao serviço é adicionado à sua conta. Um gravador vinculado a serviços é um tipo de AWS Config gravador gerenciado por um AWS serviço que pode registrar dados de configuração em recursos específicos do serviço. Com um gravador vinculado ao serviço, o Security Hub permite uma abordagem orientada por eventos para obter os itens de configuração de recursos necessários para a cobertura da análise de exposição. Um gravador vinculado ao serviço é configurado por Conta da AWS e. Região da AWS
