Acciones permitidas para cuentas de administrador y cuentas de miembro en el CSPM de Security Hub
Las cuentas de administrador y las cuentas de miembro tienen acceso a las acciones del CSPM de AWS Security Hub indicadas en las siguientes tablas. En las tablas, los valores tienen los siguientes significados:
-
Cualquiera: la cuenta puede llevar a cabo la acción para todas las cuentas de miembro del mismo administrador.
-
Actual: la cuenta solo puede llevar a cabo la acción por sí misma (la cuenta en la que ha iniciado sesión).
-
Guion: indica que la cuenta no puede llevar a cabo la acción.
Como se indica en las tablas, las acciones permitidas difieren según si integra con AWS Organizations y en función del tipo de configuración que utiliza su organización. Para obtener más información acerca de la diferencia la configuración local y centralizada, consulte Administración de cuentas con AWS Organizations.
El CSPM de Security Hub no copia los resultados de las cuentas de miembro en la cuenta de administrador. En el CSPM de Security Hub, todos los resultados se ingestan en una región específica para una cuenta específica. En cada región, la cuenta del administrador puede ver y gestionar los resultados de sus cuentas de miembro en esa región.
Si establece una región de agregación, la cuenta de administrador puede ver y administrar los resultados de las cuentas de miembro de las regiones vinculadas que se replican en la región de agregación. Para obtener más información sobre la agregación entre regiones, consulte Agregación entre regiones.
Las siguientes tablas especifican los permisos predeterminados para las cuentas de administrador y las cuentas de miembro. Puede utilizar políticas de IAM personalizadas para restringir aún más el acceso a las características y funciones del CSPM de Security Hub. Para obtener orientación y ejemplos, consulte la publicación en el blog titulada Alineación de políticas de IAM con perfiles de usuario para el CSPM de AWS Security Hub
Cuando se integra con Organizations y se utiliza la configuración centralizada, las cuentas de administrador y de miembro pueden acceder a las acciones del CSPM de Security Hub de la siguiente manera.
|
Acción |
Cuenta de administrador delegado del CSPM de Security Hub |
Cuenta de miembro administrada de forma centralizada |
Cuenta de miembro autoadministrada |
|---|---|---|---|
|
Creación y administración de políticas de configuración del CSPM de Security Hub |
Para cuentas administradas automáticamente y de forma centralizada |
– |
– |
|
Visualización de cuentas de la organización |
Cualquiera |
– |
– |
|
Desvincular cuenta de miembro |
Cualquiera |
– |
– |
|
Eliminar cuenta de miembro |
Cualquier cuenta que no sea de una organización |
– |
– |
|
Desactivación del CSPM de Security Hub |
Para cuentas actuales y cuentas administradas de forma centralizada |
– |
Actuales (deben desasociarse de la cuenta de administrador) |
|
Vea los resultados y el historial de búsquedas |
Cualquiera |
Actuales |
Actuales |
|
Actualizar los resultados |
Cualquiera |
Actuales |
Actuales |
|
Ver los resultados de los hallazgos |
Cualquiera |
Actuales |
Actuales |
|
Ver los detalles de control |
Cualquiera |
Actuales |
Actuales |
|
Activación o desactivación de los resultados de control consolidados |
Cualquiera |
– |
– |
|
Habilitar y deshabilitar estándares |
Para cuentas actuales y cuentas administradas de forma centralizada |
– |
Actuales |
|
Habilitar y deshabilitar controles |
Para cuentas actuales y cuentas administradas de forma centralizada |
– |
Actuales |
|
Habilitar y deshabilitar integraciones |
Actuales |
Actuales |
Actuales |
|
Configurar agregación entre regiones |
Cualquiera |
– |
– |
|
Selección de la región de origen y las regiones vinculadas |
Cualquiera (debe detener y reiniciar la configuración centralizada para cambiar la región de origen) |
– |
– |
|
Configurar acciones personalizadas |
Actuales |
Actuales |
Actuales |
|
Configurar reglas de automatización |
Cualquiera |
– |
– |
|
Configurar hallazgos personalizados |
Actuales |
Actuales |
Actuales |
Las cuentas de administrador y de miembro pueden acceder a las acciones del CSPM de Security Hub de la siguiente manera cuando se integra con Organizations y se utiliza la configuración local.
|
Acción |
Cuenta de administrador delegado del CSPM de Security Hub |
Cuenta miembro |
|---|---|---|
|
Creación y administración de políticas de configuración del CSPM de Security Hub |
– |
– |
|
Visualización de cuentas de la organización |
Cualquiera |
– |
|
Desvincular cuenta de miembro |
Cualquiera |
– |
|
Eliminar cuenta de miembro |
– |
– |
|
Desactivación del CSPM de Security Hub |
– |
Actual (si la cuenta está desasociada del administrador delegado) |
|
Vea los resultados y el historial de búsquedas |
Cualquiera |
Actuales |
|
Actualizar los resultados |
Cualquiera |
Actuales |
|
Ver los resultados de los hallazgos |
Cualquiera |
Actuales |
|
Ver los detalles de control |
Cualquiera |
Actuales |
|
Activación o desactivación de los resultados de control consolidados |
Cualquiera |
– |
|
Habilitar y deshabilitar estándares |
Actuales |
Actuales |
|
Habilitar automáticamente el CSPM de Security Hub y los estándares predeterminados en las nuevas cuentas de la organización |
Para cuentas actuales y cuentas nuevas de la organización |
– |
|
Habilitar y deshabilitar controles |
Actuales |
Actuales |
|
Habilitar y deshabilitar integraciones |
Actuales |
Actuales |
|
Configurar agregación entre regiones |
Cualquiera |
– |
|
Configurar acciones personalizadas |
Actuales |
Actuales |
|
Configurar reglas de automatización |
Cualquiera |
– |
|
Configurar hallazgos personalizados |
Actuales |
Actuales |
Las cuentas de administrador y de miembro pueden acceder a las acciones del CSPM de Security Hub de la siguiente manera cuando se utiliza el método basado en invitaciones para administrar las cuentas manualmente en lugar de integrar con AWS Organizations.
|
Acción |
Cuenta de administrador del CSPM de Security Hub |
Cuenta miembro |
|---|---|---|
|
Creación y administración de políticas de configuración del CSPM de Security Hub |
– |
– |
|
Visualización de cuentas de la organización |
Cualquiera |
– |
|
Desvincular cuenta de miembro |
Cualquiera |
Actuales |
|
Eliminar cuenta de miembro |
Cualquiera |
– |
|
Desactivación del CSPM de Security Hub |
Actual (si no hay cuentas de miembro habilitadas) |
Actual (si la cuenta está desasociada de la cuenta de administrador) |
|
Vea los resultados y el historial de búsquedas |
Cualquiera |
Actuales |
|
Actualizar los resultados |
Cualquiera |
Actuales |
|
Ver los resultados de los hallazgos |
Cualquiera |
Actuales |
|
Ver los detalles de control |
Cualquiera |
Actuales |
|
Activación o desactivación de los resultados de control consolidados |
Cualquiera |
– |
|
Habilitar y deshabilitar estándares |
Actuales |
Actuales |
|
Habilitar automáticamente el CSPM de Security Hub y los estándares predeterminados en las nuevas cuentas de la organización |
– |
– |
|
Habilitar y deshabilitar controles |
Actuales |
Actuales |
|
Habilitar y deshabilitar integraciones |
Actuales |
Actuales |
|
Configurar agregación entre regiones |
Cualquiera |
– |
|
Configurar acciones personalizadas |
Actuales |
Actuales |
|
Configurar reglas de automatización |
Cualquiera |
– |
|
Configurar hallazgos personalizados |
Actuales |
Actuales |
