Efeito das ações da conta nos dados do CSPM do Security Hub

Essas ações da conta têm os seguintes efeitos nos dados do CSPM do AWS Security Hub.

CSPM do Security Hub desabilitado

Se você usar a configuração central, o administrador delegado (DA) poderá criar políticas de configuração do CSPM do Security Hub que desabilitem o AWS em contas e unidades organizacionais (UO) específicas. Nesse caso, o CSPM do Security Hub será desabilitado nas contas e UOs especificadas em sua região inicial e em qualquer região vinculada. Se você não usa a configuração central, deverá desabilitar o CSPM do Security Hub separadamente em cada conta e região onde ele tenha sido habilitado. Você não poderá usar a configuração central se o CSPM do Security Hub estiver desabilitado na conta do DA.

Nenhuma descoberta será gerada ou atualizada para a conta de administrador se o CSPM do Security Hub estiver desabilitado na conta do administrador. As descobertas existentes arquivadas serão excluídas após 30 dias. As descobertas existentes ativas serão excluídas após 90 dias.

As integrações com outros Serviços da AWS são removidas.

Os padrões e controles de segurança habilitados são desabilitados.

Outros dados e configurações do CSPM do Security Hub, inclusive ações personalizadas, insights e assinaturas de produtos de terceiros serão retidas por 90 dias.

Conta de membro desassociada da conta de administrador

Quando uma conta de membro é desassociada da conta de administrador, esta perde a permissão para visualizar as descobertas na conta de membro. Contudo, o CSPM do Security Hub ainda estará habilitado em ambas as contas.

Se você usar a configuração central, o DA não poderá configurar o CSPM do Security Hub para uma conta de membro que esteja desassociada da conta do DA.

Configurações personalizadas ou integrações definidas para a conta de administrador não são aplicadas às descobertas da conta de membro antiga. Por exemplo, depois que as contas forem desassociadas, você poderá ter uma ação personalizada na conta de administrador usada como padrão de evento em uma regra do Amazon EventBridge. Entretanto, essa ação personalizada não pode ser usada na conta de membro.

Na lista Contas da conta de administrador do CSPM do Security Hub, uma conta removida tem o status de Desassociada.

A conta de membro é removida de uma organização

Quando uma conta de membro é removida de uma organização, a conta de administrador do CSPM do Security Hub perde a permissão para visualizar as descobertas na conta de membro. Entretanto, o CSPM do Security Hub ainda estará habilitado em ambas as contas com as mesmas configurações que tinham antes da remoção.

Se você usar a configuração central, não poderá configurar o CSPM do Security Hub para uma conta de membro depois que ela for removida da organização à qual o administrador delegado pertence. Entretanto, a conta reterá as configurações que tinha antes da remoção, a menos que você as altere manualmente.

Na lista Contas da conta de administrador do CSPM do Security Hub, uma conta removida tem o status de Excluída.

A conta é suspensa

Quando uma Conta da AWS é suspensa, ela perde a permissão para ver suas descobertas no CSPM do Security Hub. Nenhuma descoberta será gerada ou atualizada para essa conta. A conta de administrador de uma conta suspensa pode ver as descobertas da conta.

Para uma conta da organização, o status da conta de membro também pode mudar para Conta suspensa. Isso acontece se a conta for suspensa ao mesmo tempo em que a conta de administrador tenta habilitá-la. A conta de administrador de uma conta suspensa pode ver as descobertas da conta existente. Do contrário, o status de suspensa não afetará o status da conta de membro.

Se você usar a configuração central, a associação de políticas falhará se o administrador delegado tentar associar uma política de configuração a uma conta suspensa.

Após 90 dias, a conta é encerrada ou reabilitada. Quando a conta é reativada, suas permissões do CSPM do Security Hub são restauradas. Se o status da conta de membro for Conta suspensa, a conta de administrador deverá habilitar a conta manualmente.

A conta é fechada

Quando uma Conta da AWS é fechada, o CSPM do Security Hub responde ao fechamento da forma a seguir.

Se a conta for uma conta de administrador do CSPM do Security Hub, ela será removida como conta de administrador e todas as contas de membro serão removidas. Se a conta for uma conta de membro, ela será desassociada e removida como membro da conta de administrador do CSPM do Security Hub.

O CSPM do Security Hub retém as descobertas arquivadas existentes na conta por 30 dias. Para uma descoberta de controle, o cálculo de 30 dias é baseado no valor do campo UpdatedAt da descoberta. Para outro tipo de descoberta, o cálculo é baseado no valor do campo UpdatedAt ou ProcessedAt da descoberta, o que tiver a data mais recente. Ao final do período de 30 dias, o CSPM do Security Hub excluirá permanentemente todas as descobertas da conta.

O CSPM do Security Hub retém as descobertas ativas existentes na conta por 90 dias. Para uma descoberta de controle, o cálculo de 90 dias é baseado no valor do campo UpdatedAt da descoberta. Para outro tipo de descoberta, o cálculo é baseado no valor do campo UpdatedAt ou ProcessedAt da descoberta, o que tiver a data mais recente. Ao final do período de 90 dias, o CSPM do Security Hub excluirá permanentemente todas as descobertas da conta.

Para uma retenção de longo prazo das descobertas existentes, é possível exportar as descobertas para um bucket do S3. É possível fazer isso usando uma ação personalizada com uma regra do Amazon EventBridge. Para obter mais informações, consulte Usar o EventBridge para resposta e correção automatizada.

Para obter mais informações, consulte Fechamento de uma Conta da AWS no Guia de referência do AWS Gerenciamento de contas.