Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Integración de Security Hub CSPM con AWS Organizations

Para integrar AWS Security Hub CSPM y AWS Organizations, debe crear una organización en Organizations y utilizar la cuenta de administración de la organización para designar una cuenta de administrador delegada de Security Hub CSPM. Esto habilita el CSPM de Security Hub como un servicio de confianza en Organizations. También habilita el CSPM de Security Hub en la Región de AWS actual para la cuenta de administrador delegado y permite que el administrador delegado habilite el CSPM de Security Hub para las cuentas de miembro, consulte los datos de estas cuentas y realice otras acciones permitidas en ellas.

Si utiliza la configuración centralizada, el administrador delegado también puede crear políticas de configuración del CSPM de Security Hub que especifiquen cómo se deben configurar el servicio, los estándares y los controles del CSPM de Security Hub en las cuentas de la organización.

Creación de una organización

Una organización es una entidad que se crea para consolidar la suya y Cuentas de AWS poder administrarla como una sola unidad.

Puede crear una organización mediante la AWS Organizations consola o mediante un comando del SDK AWS CLI o de uno de ellos APIs. Para obtener instrucciones detalladas sobre cómo hacerlo, consulte Creación de una organización en la Guía del usuario de AWS Organizations .

Puede utilizarla AWS Organizations para ver y gestionar de forma centralizada todas las cuentas de su organización. Una organización tiene una cuenta de administración junto con cero o más cuentas miembro. Puedes organizar las cuentas en una estructura jerárquica similar a un árbol con una raíz en la parte superior y unidades organizativas (OUs) anidadas debajo de la raíz. Cada cuenta puede estar directamente debajo de la raíz o colocarse en una de las siguientes jerarquías. OUs Una unidad organizativa es un contenedor para cuentas específicas. Por ejemplo, puede crear una unidad organizativa de finanzas que incluya todas las cuentas relacionadas con las operaciones financieras.

Recomendaciones para elegir al administrador delegado del CSPM de Security Hub

Si dispone de una cuenta de administrador gracias al proceso de invitación manual y está realizando la transición a la administración de cuentas con ella AWS Organizations, le recomendamos que designe esa cuenta como administrador delegado de CSPM de Security Hub.

Aunque el CSPM APIs y la consola del Security Hub permiten que la cuenta de administración de la organización sea el administrador delegado del CSPM del Security Hub, se recomienda elegir dos cuentas diferentes. Esto se debe a que quienes acceden a la cuenta de administración de la organización para administrar la facturación suelen ser diferentes de quienes necesitan acceder al CSPM de Security Hub para administrar la seguridad.

Le recomendamos que utilice el mismo administrador delegado en todas las regiones. Si opta por la configuración centralizada, el CSPM de Security Hub designa automáticamente el mismo administrador delegado en la región de origen y en cualquier región vinculada.

Verificación de permisos para configurar al administrador delegado

Para designar y eliminar una cuenta de administrador delegado del CSPM de Security Hub, la cuenta de administración de la organización debe tener permisos para las acciones EnableOrganizationAdminAccount y DisableOrganizationAdminAccount en el CSPM de Security Hub. La cuenta de administración de Organizations también debe contar con permisos administrativos para Organizations.

Para conceder todos los permisos necesarios, asocie las siguientes políticas administradas del CSPM de Security Hub a la entidad principal de IAM de la cuenta de administración de la organización:

Designación del administrador delegado

Para designar la cuenta de administrador delegado del CSPM de Security Hub, puede usar la consola del CSPM de Security Hub, la API del CSPM de Security Hub o la AWS CLI. Security Hub CSPM establece el administrador delegado Región de AWS solo en la actual, y debe repetir la acción en otras regiones. Si comienza a usar la configuración centralizada, el CSPM de Security Hub establece automáticamente el mismo administrador delegado en la región de origen y en las regiones vinculadas.

La cuenta de administración de la organización no necesita tener habilitado el CSPM de Security Hub para designar a la cuenta de administrador delegado del CSPM de Security Hub.

Recomendamos que la cuenta de administración de la organización no sea la cuenta de administrador delegado del CSPM de Security Hub. Sin embargo, si decide usar la cuenta de administración de la organización como la cuenta de administrador delegado del CSPM de Security Hub, la cuenta de administración debe tener habilitado el CSPM de Security Hub. Si la cuenta de administración no tiene habilitado el CSPM de Security Hub, debe habilitar el CSPM de Security Hub manualmente para esa cuenta. El CSPM de Security Hub no se puede habilitar automáticamente para la cuenta de administración de la organización.

Debe designar al administrador delegado del CSPM de Security Hub mediante uno de los siguientes métodos. La designación del administrador de CSPM de Security Hub delegado con Organizations APIs no se refleja en Security Hub CSPM.

Elija el método que prefiera y siga los pasos para designar la cuenta de administrador delegado del CSPM de Security Hub.

Security Hub CSPM console

Para designar al administrador delegado durante el proceso de incorporación

1. Abra la consola CSPM de AWS Security Hub en. https://console.aws.amazon.com/securityhub/

2. Seleccione Ir al CSPM de Security Hub. Se le solicitará que inicie sesión en la cuenta de administración de la organización.

3. En la página Designar administrador delegado, en la sección Cuenta de administrador delegado, especifique la cuenta de administrador delegado. Se recomienda que elija el mismo administrador delegado que haya configurado para otros servicios de seguridad y conformidad de AWS .

4. Elija Establecer administrador delegado. Se le solicitará que inicie sesión en la cuenta de administrador delegado (si aún no lo ha hecho) para continuar con la integración con la configuración centralizada. Si no desea iniciar la configuración centralizada, seleccione Cancelar. Su administrador delegado está configurado, pero usted todavía no utiliza la configuración centralizada.

Para designar al administrador delegado desde la página Configuración

1. Abra la consola CSPM de AWS Security Hub en. https://console.aws.amazon.com/securityhub/

2. En el panel de navegación del CSPM de Security Hub, elija Configuración. A continuación, elija General.

3. Si actualmente hay asignada una cuenta de administrador del CSPM de Security Hub, debe eliminarla antes de poder designar una nueva cuenta.

   En Administrador delegado, para eliminar la cuenta actual, seleccione Eliminar.

4. Ingrese el ID de la cuenta que desea designar como administrador del CSPM de Security Hub.

   Debe designar la misma cuenta de administrador del CSPM de Security Hub en todas las regiones. Si designa una cuenta diferente de la que ha designado en otras regiones, la consola le mostrará un error.

5. Elija Delegar.

Security Hub CSPM API, AWS CLI

Desde la cuenta de administración de la organización, use la operación EnableOrganizationAdminAccount de la API del CSPM de Security Hub. Si utiliza la AWS CLI, ejecute el comando enable-organization-admin-account. Proporcione el ID de la Cuenta de AWS del administrador delegado del CSPM de Security Hub.

El siguiente ejemplo designa al administrador delegado del CSPM de Security Hub- Este ejemplo está formateado para Linux, macOS o Unix y utiliza el carácter de barra invertida (\) de continuación de línea para mejorar la legibilidad.

$ aws securityhub enable-organization-admin-account --admin-account-id 123456789012