Como gerenciar contas com o AWS Organizations Gerenciamento de contas manualmente por convite

Gerenciamento de contas de membro e administrador no CSPM do Security Hub

Se o seu ambiente da AWS tiver várias contas, será possível tratar as contas que usam o CSPM do AWS Security Hub como contas de membro e associá-las a uma única conta de administrador. O administrador pode monitorar sua postura geral de segurança e realizar ad ações permitidas nas contas dos membros. O administrador também pode realizar várias tarefas de gerenciamento e administração de contas em grande escala, como monitorar os custos de uso estimados e avaliar as cotas da conta.

É possível associar contas de membro a um administrador de duas maneiras: integrando o CSPM do Security Hub com o AWS Organizations ou enviando e aceitando manualmente os convites de associação de membros no CSPM do Security Hub.

Como gerenciar contas com o AWS Organizations

O AWS Organizations é um serviço global de gerenciamento de contas que permite aos administradores da AWS consolidar e gerenciar várias Contas da AWS. Ele fornece os atributos de faturamento consolidado e gerenciamento de contas, projetados para atender às necessidades orçamentárias, de segurança e de conformidade. Ele é oferecido sem custo adicional e se integra a vários Serviços da AWS, incluindo o CSPM do AWS Security Hub, o Amazon GuardDuty e o Amazon Macie. Para obter mais informações, consulte o Guia de usuário do AWS Organizations.

Quando você integra o CSPM do Security Hub com o AWS Organizations, a conta gerencial do Organizations designa um administrador delegado do CSPM do Security Hub. O CSPM do Security Hub é habilitado automaticamente na conta de administrador delegado na Região da AWS onde ele foi designado.

Depois de designar um administrador delegado, recomendamos gerenciar contas no CSPM do Security Hub com a configuração central. Essa é a maneira mais eficiente de personalizar o CSPM do Security Hub e garantir uma cobertura de segurança adequada para sua organização.

A configuração central permite que o administrador delegado personalize o CSPM do Security Hub em várias contas e regiões da organização, em vez de configurar região por região. É possível criar uma política de configuração para toda a organização ou criar políticas de configuração diferentes para contas e UOs diferentes. As políticas especificam se o CSPM do Security Hub está habilitado ou desabilitado nas contas associadas e quais padrões e controles de segurança estão habilitados.

O administrador delegado pode designar contas como sendo gerenciadas centralmente ou autogerenciadas. As contas gerenciadas centralmente só podem ser configuradas pelo administrador delegado. As contas autogerenciadas podem especificar suas próprias configurações.

Se você não fizer a adesão à configuração central, o administrador delegado terá uma capacidade mais limitada de configurar o CSPM do Security Hub, chamada de configuração local. Sob a configuração local, o administrador delegado poderá habilitar automaticamente o CSPM do Security Hub e os padrões de segurança padrão em novas contas da organização na região atual. Contudo, as contas existentes não usam essas configurações, de forma que podem ocorrer desvios na configuração após a entrada de uma conta na organização.

Além dessas novas configurações de conta, a configuração local é específica da conta e específica da região. Cada conta da organização deve configurar o serviço, os padrões e os controles do CSPM do Security Hub separadamente em cada região. A configuração local também não oferece suporte ao uso de políticas de configuração.

Gerenciamento de contas manualmente por convite

Será necessário gerenciar manualmente as contas de membro por convite no CSPM do Security Hub se tiver uma conta autônoma ou se não estiver integrado ao Organizations. Uma conta autônoma não pode ser integrada ao Organizations, então é necessário gerenciá-la manualmente. Recomendamos a integração com o AWS Organizations e o uso da configuração central caso você adicione outras contas no futuro.

Ao usar o gerenciamento manual de contas, você designa uma conta para ser o administrador do CSPM do Security Hub. A conta do administrador pode visualizar dados nas contas dos membros e realizar determinadas ações sobre as descobertas da conta do membro. O administrador do CSPM do Security Hub convida outras contas para serem contas de membro, e o relacionamento administrador-membro é estabelecido quando uma conta de membro em potencial aceita o convite.

O gerenciamento manual de contas não oferece suporte ao uso de políticas de configuração. Sem políticas de configuração, o administrador não pode personalizar centralmente o CSPM do Security Hub definindo configurações variáveis para contas diferentes. Em vez disso, cada conta da organização deve habilitar e configurar o CSPM do Security Hub separadamente em cada região. Isso pode tornar mais difícil e demorado garantir uma cobertura de segurança adequada em todas as contas e regiões nas quais você usa o CSPM do Security Hub. Isso também pode causar desvios na configuração, pois as contas dos membros podem especificar suas próprias configurações sem a intervenção do administrador.

Para gerenciar contas por convite, consulte Gerenciamento de contas por convites no CSPM do Security Hub.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Desabilitar a configuração central

Recomendações para ambientes de várias contas