Administración del CSPM de Security Hub para varias cuentas con AWS Organizations
Puede integrar el CSPM de AWS Security Hub con AWS Organizations y, a continuación, administrar el CSPM de Security Hub para las cuentas de la organización.
Para integrar el CSPM de Security Hub con AWS Organizations, debe crear una organización en AWS Organizations. La cuenta de administración de Organizations designa una cuenta como el administrador delegado del CSPM de Security Hub para la organización. El administrador delegado puede habilitar el CSPM de Security Hub para otras cuentas de la organización, agregar esas cuentas como cuentas de miembro del CSPM de Security Hub y realizar las acciones permitidas en las cuentas de miembro. El administrador delegado del CSPM de Security Hub puede habilitar y administrar el CSPM de Security Hub para un máximo de 10 000 cuentas de miembro.
El alcance de las capacidades de configuración del administrador delegado depende de si utiliza la configuración centralizada. Con la configuración centralizada habilitada, no necesita configurar el CSPM de Security Hub por separado en cada cuenta de miembro ni en cada Región de AWS. El administrador delegado puede aplicar configuraciones específicas del CSPM de Security Hub en cuentas de miembro y unidades organizativas (UO) seleccionadas en las regiones.
La cuenta de administrador delegado del CSPM de Security Hub puede realizar las acciones siguientes en las cuentas de miembro:
-
Si utiliza la configuración centralizada, configure de forma centralizada el CSPM de Security Hub para las cuentas de miembro y las UO mediante la creación de políticas de configuración del CSPM de Security Hub. Las políticas de configuración se pueden utilizar para habilitar y desactivar el CSPM de Security Hub, habilitar y desactivar estándares, y habilitar y desactivar controles.
-
Trate automáticamente las cuentas nuevas como cuentas de miembro del CSPM de Security Hub cuando se unan a la organización. Si utiliza la configuración centralizada, una política de configuración asociada a una unidad organizativa incluye las cuentas nuevas y existentes que forman parte de la unidad organizativa.
-
Trate las cuentas existentes como cuentas de miembro del CSPM de Security Hub. Esto ocurre automáticamente si utiliza una configuración centralizada.
-
Desasociar las cuentas miembro que pertenecen a la organización. Si utiliza la configuración centralizada, solo podrá desasociar una cuenta de miembro después de designarla como autoadministrada. Como alternativa, puede asociar una política de configuración que desactive el CSPM de Security Hub en cuentas de miembro administradas de forma centralizada específicas.
Si no opta por la configuración centralizada, su organización utilizará el tipo de configuración predeterminada denominada configuración local. En la configuración local, el administrador delegado tiene una capacidad más limitada para aplicar la configuración en las cuentas de miembro. Para obtener más información, consulte Descripción de la configuración local en el CSPM de Security Hub.
Para obtener una lista completa de las acciones que el administrador delegado puede llevar a cabo en las cuentas de los miembros, consulte Acciones permitidas para cuentas de administrador y cuentas de miembro en el CSPM de Security Hub.
Los temas de esta sección explican cómo integrar el CSPM de Security Hub con AWS Organizations, así como la forma de administrar el CSPM de Security Hub para las cuentas de una organización. Cuando proceda, en cada sección, se identifican las ventajas y diferencias de administración para los usuarios de la configuración centralizada.
Temas
