Administración de cuentas de administrador y de miembro en el CSPM de Security Hub - AWSSecurity Hub
Administración de cuentas con AWS OrganizationsAdministración manual de cuentas mediante invitación

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Administración de cuentas de administrador y de miembro en el CSPM de Security Hub

Si el entorno de AWS tiene varias cuentas, puede tratar las cuentas que utilizan el CSPM de AWS Security Hub como cuentas de miembro y asociarlas a una sola cuenta de administrador. El administrador puede supervisar el estado general de seguridad y tomar medidas permitidas en las cuentas de miembro. El administrador también puede realizar diversas tareas de gestión y administración de cuentas a gran escala, como supervisar los costos de uso estimados y evaluar las cuotas de las cuentas.

Puede asociar las cuentas de miembro a un administrador de dos maneras: al integrar el CSPM de Security Hub con AWS Organizations o al enviar y aceptar manualmente las invitaciones de membresía en el CSPM de Security Hub.

Administración de cuentas con AWS Organizations

AWS Organizations es un servicio de administración de cuentas global que permite a los administradores de AWS consolidar y administrar múltiples Cuentas de AWS. Proporciona características de facturación unificada y administración de cuentas que están diseñadas para satisfacer las necesidades de presupuestos, seguridad y conformidad. Se ofrece sin costo adicional y se integra con varios Servicios de AWS, incluidos el CSPM de AWS Security Hub, Amazon Macie y Amazon GuardDuty. Para obtener más información, consulte la Guía del usuario de AWS Organizations.

Al integrar el CSPM de Security Hub y AWS Organizations, la cuenta de administración de Organizations designa un administrador delegado del CSPM de Security Hub. El CSPM de Security Hub se habilita automáticamente en la cuenta de administrador delegado en la Región de AWS en la que se designó.

Tras designar un administrador delegado, recomendamos administrar las cuentas en el CSPM de Security Hub con una configuración centralizada. Esta es la manera más eficaz de personalizar el CSPM de Security Hub y garantizar una cobertura de seguridad adecuada en la organización.

La configuración centralizada permite al administrador delegado personalizar el CSPM de Security Hub en varias cuentas y regiones de la organización, en lugar de configurarlo región por región. Puede crear una política de configuración para toda la organización o diferentes políticas de configuración para las distintas cuentas y unidades organizativas. Las políticas especifican si el CSPM de Security Hub está habilitado o desactivado en las cuentas asociadas, así como los estándares y controles de seguridad que se deben habilitar.

El administrador delegado puede designar las cuentas como administradas de manera centralizada o autoadministradas. Las cuentas administradas de manera centralizada solo las puede configurar el administrador delegado. Las cuentas autoadministradas pueden especificar su propia configuración.

Si no utiliza la configuración centralizada, el administrador delegado dispone de capacidades más limitadas para configurar el CSPM de Security Hub; a este enfoque se le denomina configuración local. En la configuración local, el administrador delegado puede habilitar automáticamente el CSPM de Security Hub y los estándares de seguridad predeterminados en las nuevas cuentas de la organización dentro de la región actual. Sin embargo, las cuentas existentes no utilizan esta configuración, por lo que se pueden producir cambios en la configuración después de que una cuenta se una a la organización.

Además de esta nueva configuración de la cuenta, la configuración local es específica de la cuenta y de la región. Cada cuenta de la organización debe configurar el servicio, los estándares y los controles del CSPM de Security Hub por separado en cada región. La configuración local tampoco admite el uso de políticas de configuración.

Administración manual de cuentas mediante invitación

Si tiene una cuenta independiente, debe administrar manualmente las cuentas de miembro mediante invitación en el CSPM de Security Hub o si no ha integrado con Organizations. Una cuenta independiente no se puede integrar con Organizations, por lo que es necesario administrarla manualmente. Recomendamos la integración con AWS Organizations y el uso de la configuración centralizada si va a agregar cuentas adicionales en el futuro.

Cuando utiliza la administración manual de cuentas, designa una cuenta como administradora del CSPM de Security Hub. La cuenta de administrador puede ver los datos de las cuentas de miembro y tomar determinadas medidas en función de los resultados de las cuentas de miembro. El administrador del CSPM de Security Hub invita a otras cuentas para que sean cuentas de miembro. La relación administrador-miembro se establece cuando una potencial cuenta de miembro acepta la invitación.

La administración manual de cuentas no admite el uso de políticas de configuración. Sin políticas de configuración, el administrador no puede personalizar el CSPM de Security Hub de forma centralizada mediante el ajuste de parámetros distintos para diferentes cuentas. En su lugar, cada cuenta de la organización debe habilitar y configurar el CSPM de Security Hub por separado en cada región. Esto puede hacer que garantizar una cobertura de seguridad adecuada en todas las cuentas y regiones donde utilice el CSPM de Security Hub sea un proceso más lento y complejo. También puede provocar cambios en la configuración, ya que las cuentas de miembro pueden especificar su propia configuración sin la intervención del administrador.

Para administrar las cuentas mediante invitación, consulte Administración de cuentas por invitación en el CSPM de Security Hub.