Gestión de la configuración de las cuentas de los miembros en una AWS organización - AWSSecurity Hub
Catálogo de configuración de Security HubHabilitar una configuración con un tipo de políticaHabilitar una configuración con un tipo de implementaciónEdición de una política de configuraciónEliminar una política de configuración

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Gestión de la configuración de las cuentas de los miembros en una AWS organización

El administrador delegado de una AWS organización puede configurar las capacidades de seguridad en las cuentas de los miembros y en las regiones. Hay dos tipos de configuraciones disponibles: políticas e implementaciones. Las políticas generan políticas de AWS Organizations para cuentas y regiones para AWS Security Hub y Amazon Inspector. Las implementaciones son una acción única para habilitar una capacidad de seguridad en cuentas y regiones seleccionadas para Amazon GuardDuty y AWS Security Hub CSPM. A diferencia de las políticas, no puede ver ni editar las implementaciones y las implementaciones no se aplicarán a las cuentas recién habilitadas. Como alternativa, las funciones de activación automática para las cuentas de los nuevos miembros están disponibles en Amazon GuardDuty y AWS Security Hub CSPM.

Catálogo de configuración de Security Hub

El catálogo de configuración de Security Hub ofrece varias opciones para ayudar a configurar las cuentas de su AWS organización para las capacidades de seguridad que proporciona.

Las siguientes son las opciones disponibles en el catálogo de configuración de Security Hub.

Security Hub (capacidades esenciales y adicionales)

Esta es la configuración recomendada para implementar en Security Hub.

Tipo: Política e implementaciones

Descripción: Esta configuración activa las funciones esenciales de administración de la seguridad, gestión de posturas, análisis de amenazas y gestión de vulnerabilidades de Security Hub. Opcionalmente, habilita capacidades adicionales.

Análisis de amenazas desde GuardDuty

Tipo: Despliegue

Descripción: Active determinadas GuardDuty funciones de Amazon para supervisar, analizar y procesar de forma continua las fuentes de AWS datos y los registros de su AWS entorno.

Gestión de la postura desde AWS Security Hub (CSPM)

Tipo: Despliegue

Descripción: Esta configuración activa los estándares y controles del Security Hub CSPM, que detecta cuando sus AWS cuentas y recursos se desvían de las mejores prácticas de seguridad.

Gestión de vulnerabilidades de Amazon Inspector

Tipo: Política

Descripción: Esta configuración activa determinadas funciones de Amazon Inspector, que detectan automáticamente cargas de trabajo, instancias, imágenes de contenedores, etc., y las escanea en busca de vulnerabilidades y exposición a la red.

Habilitar una configuración con un tipo de política

El siguiente procedimiento describe cómo crear una configuración con un tipo de política para las cuentas de su AWS organización. Para crear una política de configuración, la política de administrador delegado debe crearse en la cuenta de administración de la AWS organización. Para obtener información sobre cómo crear la política del administrador delegado en Security Hub, consulte Creación de la política del administrador delegado en Security Hub.

Para crear una política que habilite y desactive cuentas de miembro

  1. Inicie sesión con su AWS cuenta con sus credenciales de administrador delegado. Abre la consola de Security Hub en la https://console.aws.amazon.com/securityhub/versión 2/home.

  2. En el panel de navegación, elija Administración y, a continuación, Configuraciones.

  3. Elija un elemento con un tipo de política o política e impleméntelo en el catálogo de configuraciones. Para configurar completamente Security Hub, se recomienda elegir Security Hub (capacidades esenciales y adicionales).

  4. En la página Configurar Security Hub, en la sección Detalles, introduzca un nombre y una descripción para la política.

  5. En la sección Capacidades de seguridad, realice una de las siguientes acciones:

    1. (Opción 1) Seleccione Habilitar todas las capacidades. Esto activará todas las capacidades esenciales del Security Hub, el análisis de amenazas y las capacidades adicionales.

    2. (Opción 2) Elija Personalizar las capacidades. Seleccione el análisis de amenazas y las capacidades adicionales que deben activarse. No puede deseleccionar ninguna funcionalidad que forme parte de las funciones esenciales del plan Security Hub.

  6. En la sección de selección de cuentas, seleccione una de las siguientes opciones. Selecciona Todas las unidades organizativas y cuentas si quieres aplicar la configuración a todas las unidades organizativas y cuentas. Selecciona Unidades organizativas y cuentas específicas si deseas aplicar la configuración a unidades organizativas y cuentas específicas. Si selecciona esta opción, utilice la barra de búsqueda o el árbol de estructura organizacional para especificar las unidades organizativas y cuentas donde se aplicará la política. Selecciona Sin unidades organizativas ni cuentas si no deseas aplicar la configuración a ninguna unidad organizativa o cuenta.

  7. En la sección Regiones, selecciona Habilitar todas las regiones, Desactivar todas las regiones o Especificar regiones. Si selecciona Habilitar todas las regiones, puede decidir si desea habilitar automáticamente las nuevas regiones. Si selecciona Desactivar todas las regiones, puede decidir si desea desactivar automáticamente las nuevas regiones. Si selecciona Especificar regiones, debe elegir qué regiones desea habilitar y desactivar.

  8. (Opcional) Para obtener información sobre la configuración avanzada, consulte las instrucciones deAWS Organizations.

  9. (Opcional) En el caso de las etiquetas de recursos, añada etiquetas como pares clave-valor para identificar fácilmente la configuración.

  10. Elija Siguiente.

  11. Revise los cambios y luego seleccione Aplicar. Las cuentas de destino se configuran según la política. El estado de la configuración de la política se mostrará en la parte superior de la página de políticas. Cada capacidad indicará si se configuró o si hay errores de implementación. Para ver más detalles, haga clic en el enlace del mensaje de error. Para ver la política en vigor a nivel de cuenta, puede revisar la pestaña Organización en la página Configuraciones, donde puede seleccionar una cuenta.

Habilitar una configuración con un tipo de implementación

El siguiente procedimiento describe cómo crear una configuración con un tipo de implementación para las cuentas de su AWS organización.

Para crear una implementación que habilite y deshabilite las cuentas de los miembros

  1. Inicie sesión con su AWS cuenta con sus credenciales de administrador delegadas. Abre la consola de Security Hub en la https://console.aws.amazon.com/securityhub/versión 2/home.

  2. En el panel de navegación, elija Administración y, a continuación, Configuraciones.

  3. Elija un elemento con un tipo de implementación del catálogo de configuraciones. Para configurar completamente Security Hub, se recomienda elegir Security Hub (capacidades esenciales y adicionales).

  4. En la sección Capacidades de seguridad, seleccione las capacidades de seguridad que deben activarse.

  5. En la sección Selección de cuentas, selecciona una de las siguientes opciones. Selecciona Todas las unidades organizativas y cuentas si quieres aplicar la configuración a todas las unidades organizativas y cuentas. Selecciona Unidades organizativas y cuentas específicas si deseas aplicar la configuración a unidades organizativas y cuentas específicas. Si selecciona esta opción, utilice la barra de búsqueda o el árbol de estructura organizacional para especificar las unidades organizativas y cuentas donde se aplicará la política. Selecciona Sin unidades organizativas ni cuentas si no deseas aplicar la configuración a ninguna unidad organizativa o cuenta.

  6. En la sección Regiones, selecciona Habilitar todas las regiones, Desactivar todas las regiones o Especificar regiones. Si selecciona Habilitar todas las regiones, puede decidir si desea habilitar automáticamente las nuevas regiones. Si selecciona Desactivar todas las regiones, puede decidir si desea desactivar automáticamente las nuevas regiones. Si selecciona Especificar regiones, debe elegir qué regiones desea habilitar y desactivar.

  7. Elija Configurar.

Edición de una política de configuración

Puede editar las capacidades, las regiones y las cuentas asociadas a las configuraciones que tienen un tipo de política.

A continuación se describe cómo editar una política de configuración en Security Hub.

Para crear, edite una política de configuración

  1. Inicie sesión con su AWS cuenta con las credenciales de administrador delegadas. Abre la consola de Security Hub en la https://console.aws.amazon.com/securityhub/versión 2/home.

  2. En el panel de navegación, elija Administración y, a continuación, Configuraciones.

  3. En la pestaña Políticas configuradas, seleccione el botón de radio de la política que desee editar. Seleccione Editar.

  4. Para realizar cambios en la sección de selección de cuentas, selecciona una de las siguientes opciones. Selecciona Todas las unidades organizativas y cuentas si quieres aplicar la configuración a todas las unidades organizativas y cuentas. Selecciona Unidades organizativas y cuentas específicas si deseas aplicar la configuración a unidades organizativas y cuentas específicas. Si selecciona esta opción, utilice la barra de búsqueda o el árbol de estructura organizacional para especificar las unidades organizativas y cuentas donde se aplicará la política. Selecciona Sin unidades organizativas ni cuentas si no deseas aplicar la configuración a ninguna unidad organizativa o cuenta.

  5. Para realizar cambios en la sección Regiones, selecciona Activar todas las regiones, Desactivar todas las regiones o Especificar regiones. Si selecciona Habilitar todas las regiones, puede decidir si desea habilitar automáticamente las nuevas regiones. Si selecciona Desactivar todas las regiones, puede decidir si desea desactivar automáticamente las nuevas regiones. Si selecciona Especificar regiones, debe elegir qué regiones desea habilitar y desactivar.

  6. Elija Siguiente.

  7. Revise los cambios y, a continuación, seleccione Update (Actualizar). Las cuentas de destino se configuran según la política.

Eliminar una política de configuración

Puede eliminar la configuración si tiene un tipo de política. Al eliminar una política, todas las cuentas y unidades organizativas adjuntas se eliminarán de la política.

A continuación, se describe cómo eliminar una política de configuración en Security Hub.

Para crear o eliminar una política de configuración

  1. Inicie sesión con su AWS cuenta con las credenciales de administrador delegadas. Abre la consola de Security Hub en la https://console.aws.amazon.com/securityhub/versión 2/home.

  2. En el panel de navegación, elija Administración y, a continuación, Configuraciones.

  3. En la pestaña Políticas configuradas, seleccione el botón de radio de la política que desee editar. Elija el botón Eliminar.

  4. Escriba delete en el cuadro de confirmación. Elija Eliminar.