Habilitación automática de nuevas cuentas de la organización en el CSPM de Security Hub
Cuando cuentas nuevas se unen a la organización, se agregan a la lista de la página Cuentas de la consola del CSPM de AWS Security Hub. En el caso de las cuentas de la organización, el Tipo es Por organización. De forma predeterminada, las cuentas nuevas no se convierten en cuentas de miembro del CSPM de Security Hub cuando se unen a la organización. Su estado es No es miembro. La cuenta de administrador delegado puede agregar de manera automática cuentas nuevas como miembros y habilitar el CSPM de Security Hub en estas cuentas cuando se unen a la organización.
nota
Si bien muchas Regiones de AWS están activas de forma predeterminada para su Cuenta de AWS, debe activar algunas regiones de manera manual. En el presente documento estas regiones se denominan regiones de suscripción voluntaria. Para habilitar automáticamente el CSPM de Security Hub en una cuenta nueva en una región de suscripción voluntaria, primero debe activar esa región en la cuenta. Solo el propietario de la cuenta puede activar la región de suscripción voluntaria. Para obtener más información acerca de las regiones de suscripción voluntaria, consulte Especificación de las Regiones de AWS que puede usar su cuenta.
Este proceso es diferente en función de si se utiliza la configuración centralizada (recomendada) o la configuración local.
Habilitación automática de nuevas cuentas de la organización (configuración centralizada)
Si utiliza la configuración centralizada, puede habilitar automáticamente el CSPM de Security Hub en las cuentas nuevas y las existentes de la organización mediante la creación de una política de configuración en la que el CSPM de Security Hub esté habilitado. Luego, puede asociar la política a la raíz de la organización o a unidades organizativas (OU) específicas.
Si asocia una política de configuración que habilita el CSPM de Security Hub a una UO específica, el CSPM de Security Hub se habilita automáticamente en todas las cuentas (existentes y nuevas) que pertenecen a esa UO. Las cuentas nuevas que no pertenecen a la unidad organizativa se autoadministran y no tienen habilitado el CSPM de Security Hub automáticamente. Si asocia a la raíz una política de configuración en la que el CSPM de Security Hub esté habilitado, el CSPM de Security Hub se habilitará automáticamente en todas las cuentas (existentes y nuevas) que se unan a la organización. Las excepciones son si una cuenta usa una política diferente por aplicación o herencia, o si es autoadministrada.
En su política de configuración, también puede definir qué estándares y controles de seguridad deben habilitarse en la unidad organizativa. Para generar resultados de control para los estándares habilitados, las cuentas de la unidad organizativa deben tener AWS Config habilitado y configurado para registrar los recursos necesarios. Para obtener más información acerca de cómo habilitar y configurar registros de AWS Config, consulte Habilitación y configuración de AWS Config.
Para obtener instrucciones sobre cómo crear una política de configuración, consulte Creación y asociación de políticas de configuración.
Habilitación automática de nuevas cuentas de la organización (configuración local)
Cuando utiliza la configuración local y activa la habilitación automática de los estándares predeterminados, el CSPM de Security Hub agrega cuentas nuevas de la organización como miembros y habilita el CSPM de Security Hub en estas en la región actual. Otras regiones no se ven afectadas. Además, al activar la habilitación automática, no se habilita el CSPM de Security Hub en las cuentas de la organización existentes, a menos que ya se hayan agregado como cuentas de miembro.
Después de activar la habilitación automática, los estándares de seguridad predeterminados se habilitan para las cuentas de miembro nuevas en la región actual cuando se unen a la organización. Los estándares predeterminados son las Prácticas recomendadas de seguridad básica de AWS (FSBP) y AWS Foundations Benchmark v1.2.0 de Center for Internet Security (CIS). No puede cambiar los estándares predeterminados. Si desea habilitar otros estándares en toda su organización o habilitar estándares para cuentas y unidades organizativas seleccionadas, le recomendamos que utilice la configuración centralizada.
Para generar resultados de controles para los estándares predeterminados (y otros estándares habilitados), las cuentas de su organización deben tener AWS Config habilitado y configurado para registrar los recursos necesarios. Para obtener más información acerca de cómo habilitar y configurar registros de AWS Config, consulte Habilitación y configuración de AWS Config.
Elija el método que prefiera y siga estos pasos para habilitar el CSPM de Security Hub en nuevas cuentas de la organización. Estas instrucciones solo se aplican si utiliza la configuración local.
