Gerenciando contas de administrador e membro no Security Hub CSPM - AWS Security Hub
Gerenciando contas com AWS OrganizationsGerenciamento de contas manualmente por convite

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Gerenciando contas de administrador e membro no Security Hub CSPM

Se seu AWS ambiente tiver várias contas, você poderá tratar as contas que usam o AWS Security Hub Cloud Security Posture Management (CSPM) como contas de membros e associá-las a uma única conta de administrador. O administrador pode monitorar sua postura geral de segurança e realizar ad ações permitidas nas contas dos membros. O administrador também pode realizar várias tarefas de gerenciamento e administração de contas em grande escala, como monitorar os custos de uso estimados e avaliar as cotas da conta.

Você pode associar contas de membros a um administrador de duas maneiras: integrando o CSPM do Security Hub AWS Organizations ou enviando e aceitando manualmente convites de associação no CSPM do Security Hub.

Gerenciando contas com AWS Organizations

AWS Organizations é um serviço global de gerenciamento de contas que permite AWS aos administradores consolidar e gerenciar várias. Contas da AWS Ele fornece os atributos de faturamento consolidado e gerenciamento de contas, projetados para atender às necessidades orçamentárias, de segurança e de conformidade. É oferecido sem custo adicional e se integra a vários Serviços da AWS, incluindo AWS Security Hub Cloud Security Posture Management (CSPM), Amazon Macie e Amazon. GuardDuty Para obter mais informações, consulte o Guia do usuário do AWS Organizations .

Quando você integra o Security Hub CSPM e AWS Organizations, a conta de gerenciamento do Organizations designa um administrador delegado do CSPM do Security Hub. O CSPM do Security Hub é habilitado automaticamente na conta de administrador delegado Região da AWS na qual foi designado.

Depois de designar um administrador delegado, recomendamos gerenciar contas no Security Hub CSPM com configuração central. Essa é a maneira mais eficiente de personalizar o CSPM do Security Hub e garantir uma cobertura de segurança adequada para sua organização.

A configuração central permite que o administrador delegado personalize o CSPM do Security Hub em várias contas e regiões da organização, em vez de configurar. Region-by-Region Você pode criar uma política de configuração para toda a organização ou criar políticas de configuração diferentes para contas e contas diferentes OUs. As políticas especificam se o CSPM do Security Hub está ativado ou desativado nas contas associadas e quais padrões e controles de segurança estão habilitados.

O administrador delegado pode designar contas como sendo gerenciadas centralmente ou autogerenciadas. As contas gerenciadas centralmente só podem ser configuradas pelo administrador delegado. As contas autogerenciadas podem especificar suas próprias configurações.

Se você não optar pela configuração central, o administrador delegado tem uma capacidade mais limitada de configurar o CSPM do Security Hub, chamada de configuração local. Na configuração local, o administrador delegado pode habilitar automaticamente o CSPM do Security Hub e os padrões de segurança padrão em novas contas da organização na região atual. Contudo, as contas existentes não usam essas configurações, de forma que podem ocorrer desvios na configuração após a entrada de uma conta na organização.

Além dessas novas configurações de conta, a configuração local é específica da conta e específica da região. Cada conta da organização deve configurar o serviço, os padrões e os controles CSPM do Security Hub separadamente em cada região. A configuração local também não oferece suporte ao uso de políticas de configuração.

Gerenciamento de contas manualmente por convite

Você deve gerenciar manualmente as contas dos membros por convite no Security Hub CSPM se tiver uma conta independente ou se não estiver integrado ao Organizations. Uma conta independente não pode ser integrada ao Organizations, então é necessário gerenciá-la manualmente. Recomendamos integrar AWS Organizations e usar a configuração central se você adicionar outras contas no futuro.

Ao usar o gerenciamento manual de contas, você designa uma conta para ser a administradora do CSPM do Security Hub. A conta do administrador pode visualizar dados nas contas dos membros e realizar determinadas ações sobre as descobertas da conta do membro. O administrador do CSPM do Security Hub convida outras contas para serem contas membros, e a relação administrador-membro é estabelecida quando uma conta de membro em potencial aceita o convite.

O gerenciamento manual de contas não oferece suporte ao uso de políticas de configuração. Sem políticas de configuração, o administrador não pode personalizar centralmente o CSPM do Security Hub definindo configurações variáveis para contas diferentes. Em vez disso, cada conta da organização deve habilitar e configurar o CSPM do Security Hub separadamente em cada região. Isso pode tornar mais difícil e demorado garantir uma cobertura de segurança adequada em todas as contas e regiões nas quais você usa o Security Hub CSPM. Isso também pode causar desvios na configuração, pois as contas dos membros podem especificar suas próprias configurações sem a intervenção do administrador.

Para gerenciar contas por convite, consulte Gerenciando contas por convite no Security Hub CSPM.