As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Recomendações para o gerenciamento de várias contas no CSPM do Security Hub

A seção a seguir resume algumas restrições e recomendações que você deve ter em mente ao gerenciar contas de membros no CSPM do AWS Security Hub.

Número máximo de contas de membro

Se você usar a integração com AWS Organizations, o Security Hub CSPM suporta até 10.000 contas de membros por conta de administrador delegado em cada uma. Região da AWS Se você habilitar e gerenciar o CSPM do Security Hub manualmente, ele oferecerá suporte a até 1.000 convites de contas de membro por conta de administrador em cada região.

Criar relações administrador-membro

Uma conta não pode ser uma conta de administrador e uma conta de membro ao mesmo tempo.

Uma conta de membro só pode ser associada a uma conta de administrador. Se uma conta da organização for habilitada pela conta de administrador do CSPM do Security Hub, a conta não poderá aceitar um convite de outra conta. Se uma conta já tiver aceitado um convite, ela não poderá ser habilitada pela conta de administrador do CSPM do Security Hub para a organização. Ela também não pode receber convites de outras contas.

Para o processo de convite manual, aceitar um convite de associação é opcional.

Filiação por meio de AWS Organizations

Se você integrar o CSPM do Security Hub com AWS Organizations, a conta de gerenciamento do Organizations poderá designar uma conta de administrador delegado (DA) para o CSPM do Security Hub. A conta gerencial da organização não pode ser definida como o DA no Organizations. Embora isso seja permitido no CSPM do Security Hub, recomendamos que a conta gerencial do Organizations não seja a do DA.

Recomendamos que você escolha a mesma conta de DA em todas as regiões. Se você usar a configuração central, o CSPM do Security Hub definirá a mesma conta de DA em todas as regiões nas quais você configurar o CSPM do Security Hub para sua organização.

Também recomendamos que você escolha a mesma conta DA em todos os serviços de AWS segurança e conformidade para ajudá-lo a gerenciar problemas relacionados à segurança em um único painel.

Associação por convite

Para contas de membro criadas por convite, a associação entre as contas de administrador e membro é criada somente na região de onde o convite é enviado. A conta de administrador deve habilitar o CSPM do Security Hub em cada região em que você deseja usá-la. A conta de administrador convidará então cada conta a se ternar uma conta de membro nessa região.

Coordenar contas de administrador entre serviços

O Security Hub CSPM agrega descobertas de vários AWS serviços, como Amazon, Amazon GuardDuty Inspector e Amazon Macie. O Security Hub CSPM também permite que os usuários partam de uma GuardDuty descoberta para iniciar uma investigação no Amazon Detective.

No entanto, as relações administrador-membro configuradas nesses outros serviços não se aplicam automaticamente ao CSPM do Security Hub. O CSPM do Security Hub recomenda que você use a mesma conta da conta de administrador para todos esses serviços. Essa conta de administrador deve ser uma conta responsável pelas ferramentas de segurança. A mesma conta também deve ser a conta agregadora do AWS Config.

Por exemplo, um usuário da conta de GuardDuty administrador A pode ver as descobertas das contas de GuardDuty membros B e C no GuardDuty console. Se a conta A ativar o CSPM do Security Hub, os usuários da conta A não verão automaticamente GuardDuty as descobertas das contas B e C no CSPM do Security Hub. Uma relação administrador-membro do CSPM do Security Hub também é necessária para essas contas.

Para fazer isso, torne a conta A a conta de administrador do CSPM do Security Hub e habilite as contas B e C para se tornarem contas de membro do CSPM do Security Hub.