Habilitar o Security Hub - AWS Security Hub
Habilitação das políticas do Security Hub para uma organização.Habilitação do Security Hub em uma conta autônoma

Habilitar o Security Hub

nota

O Security Hub está em versão de pré-visualização e está sujeito à alterações.

É possível habilitar o Security Hub para qualquer Conta da AWS. Os procedimentos neste tópico descrevem como habilitar o Security Hub a partir de uma conta gerencial de organização da AWS, uma conta de administrador delegado e uma conta autônoma.

Habilitação das políticas do Security Hub para uma organização.

Essa seção inclui três etapas. Na Etapa 1, a conta gerencial da organização da AWS habilita o Security Hub, designa um administrador delegado para sua organização e cria a política de administrador delegado. Na Etapa 2, o administrador delegado da organização habilita o Security Hub. Na Etapa 3, o administrador delegado da organização cria uma política que habilita o Security Hub para todas as contas de membro em sua organização.

Etapa 1. Habilitação do Security Hub na conta gerencial da organização da AWS

Essa etapa inclui dois procedimentos. O primeiro procedimento descreve como habilitar o Security Hub se você habilitou o CSPM do Security Hub e designou um administrador delegado no CSPM do Security Hub. O segundo procedimento descreve como habilitar o Security Hub se você não habilitou o CSPM do Security Hub e designou um administrador delegado no CSPM do Security Hub. Em ambos os procedimentos, se você pular a etapa para designar um administrador delegado, deverá pular a etapa para criar a política de administrador delegado. Só será possível criar a política de administrador delegado depois de designar um administrador delegado. Para obter informações sobre como designar um administrador delegado no Security Hub, consulte Designação de uma conta de administrador delegado no Security Hub. Para obter informações sobre como criar a política de administrador delegado no Security Hub, consulte Criação da política de administrador delegado no Security Hub.

Enable Security Hub with Security Hub CSPM

Esse procedimento pressupõe que a conta gerencial da organização da AWS tenha habilitado anteriormente o CSPM do Security Hub e designado um administrador delegado no CSPM do Security Hub.

Para habilitar o Security Hub

  1. Faça login na sua conta da AWS com as credenciais da conta gerencial da organização da AWS. Abra o console do Security Hub em https://console.aws.amazon.com/securityhub/v2/home.

  2. Na página inicial do Security Hub, selecione Security Hub e escolha Começar.

  3. (Opcional) Em Conta de administrador delegado, escolha uma conta de administrador com base nas opções fornecidas. Como prática recomendada, sugerimos que você use o mesmo administrador delegado em todos os serviços de segurança para uma governança consistente.

  4. (Opcional) Em Ativação da conta, selecione a caixa para habilitar o Security Hub para sua conta da AWS.

  5. (Opcional) Em Política de administrador delegado, escolha uma das opções a seguir para adicionar a declaração de política.

    1. (Opção 1) Escolha Atualizar isso para mim. Selecione a caixa abaixo da declaração de política para confirmar que o Security Hub criará automaticamente uma política de delegação concedendo todas as permissões necessárias ao administrador delegado.

    2. (Opção 2) Escolha Quero anexar isso manualmente. Escolha Copiar e anexar. No console do AWS Organizations, em Administrador delegado para o AWS Organizations, escolha Delegar e cole a política de recursos no editor de política de delegação. Escolha Create Policy. Abra a guia em que você está no console do Security Hub.

  6. Selecione Configurar.

Enable Security Hub without Security Hub CSPM

Esse procedimento pressupõe que a conta gerencial da organização da AWS não tenha habilitado anteriormente o CSPM do Security Hub e designado um administrador delegado no CSPM do Security Hub.

Para habilitar o Security Hub

  1. Faça login na sua conta da AWS com as credenciais da conta gerencial da sua organização e abra o console do Security Hub em https://console.aws.amazon.com/securityhub/v2/home.

  2. Na página inicial do Security Hub, selecione Security Hub e escolha Começar.

  3. (Opcional) Em Administrador delegado, selecione uma das Contas da AWS fornecidas ou Escolha uma conta. Se você selecionar Escolher uma conta, insira o número de doze dígitos da Conta da AWS que você deseja designar como administrador delegado no Security Hub.

  4. (Opcional) Em Habilitação da conta, selecione a caixa para habilitar o Security Hub para sua Conta da AWS.

  5. (Opcional) Em Política de administrador delegado, escolha uma das opções a seguir para adicionar a declaração de política:

    1. (Opção 1) Escolha Atualizar isso para mim. Selecione a caixa abaixo da declaração de política para confirmar que o Security Hub criará automaticamente uma política de delegação concedendo todas as permissões necessárias ao administrador delegado.

    2. (Opção 2) Escolha Quero anexar isso manualmente. Escolha Copiar e anexar. No console do AWS Organizations, em Administrador delegado para o AWS Organizations, escolha Delegar e cole a política de recursos no editor de política de delegação. Escolha Create Policy. Abra a guia em que você está no console do Security Hub.

  6. Selecione Configurar.

Depois de habilitar o Security Hub, um perfil vinculado ao serviço chamado AWSServiceRoleForSecurityHubV2 e um gravador vinculado ao serviço serão criados na sua conta. O gravador vinculado ao serviço é um tipo de gravador do AWS Config gerenciado por um serviço da AWS que pode registrar dados de configuração em recursos específicos do serviço. Com um gravador vinculado ao serviço, o Security Hub permite uma abordagem orientada por eventos para obter os itens de configuração de recursos necessários para cobertura de análise de exposição e geração de relatórios de inventário de recursos. Um gravador vinculado ao serviço é configurado por Conta da AWS e Região da AWS. Para obter mais informações, consulte Considerações sobre gravadores de configuração vinculados a serviços.

Etapa 2. Habilitação do Security Hub na conta de administrador delegado

Essa etapa deve ser concluída pelo administrador delegado. Depois da conta gerencial da organização da AWS designar um administrador delegado para sua organização, o administrador delegado deverá habilitar o Security Hub.

Para habilitar o Security Hub na conta de administrador delegado

  1. Faça login na sua conta da AWS com suas credenciais de administrador delegado. Abra o console do Security Hub em https://console.aws.amazon.com/securityhub/v2/home.

  2. Na página inicial do Security Hub, selecione Security Hub e escolha Começar.

  3. Escolha Habilitar.

  4. (Opcional) Em Tags, determine se deseja adicionar um par de chave-valor à configuração da conta.

  5. Escolha Ir para o Security Hub.

Depois de habilitar o Security Hub, um perfil vinculado ao serviço chamado AWSServiceRoleForSecurityHubV2 e um gravador vinculado ao serviço serão criados na sua conta. O gravador vinculado ao serviço é um tipo de gravador do AWS Config gerenciado por um serviço da AWS que pode registrar dados de configuração em recursos específicos do serviço. Com um gravador vinculado ao serviço, o Security Hub permite uma abordagem orientada por eventos para obter os itens de configuração de recursos necessários para cobertura de análise de exposição e geração de relatórios de inventário de recursos. Um gravador vinculado ao serviço é configurado por Conta da AWS e Região da AWS. Para obter mais informações, consulte Considerações sobre gravadores de configuração vinculados a serviços.

Etapa 3. Crie uma política que habilite o Security Hub em todas as contas de membros

Essa etapa deve ser concluída pelo administrador delegado. Depois que o administrador delegado de uma organização habilitar o Security Hub, ele deverá criar uma política que permita definir quais contas de membros em uma organização estão habilitadas e desabilitadas. Para obter mais informações, consulte Criação de uma política como administrador delegado para gerenciar contas de membros.

Habilitação do Security Hub em uma conta autônoma

Esse procedimento descreve como habilitar o Security Hub em uma conta autônoma. Uma conta autônoma é uma Conta da AWS que não habilitou o AWS Organizations.

Para habilitar o Security Hub em uma conta autônoma

  1. Faça login em sua conta da AWS com suas credenciais de conta autônoma. Abra o console do Security Hub em https://console.aws.amazon.com/securityhub/v2/home.

  2. Na página inicial do Security Hub, selecione Security Hub e escolha Começar.

  3. Escolha Habilitar.

Depois de habilitar o Security Hub, um perfil vinculado ao serviço chamado AWSServiceRoleForSecurityHubV2 e um gravador vinculado ao serviço serão criados na sua conta. O gravador vinculado ao serviço é um tipo de gravador do AWS Config gerenciado por um serviço da AWS que pode registrar dados de configuração em recursos específicos do serviço. Com um gravador vinculado ao serviço, o Security Hub permite uma abordagem orientada por eventos para obter os itens de configuração de recursos necessários para cobertura de análise de exposição e geração de relatórios de inventário de recursos. Um gravador vinculado ao serviço é configurado por Conta da AWS e Região da AWS. Para obter mais informações, consulte Considerações sobre gravadores de configuração vinculados a serviços.