Gestion de la configuration des comptes des membres dans une AWS organisation - AWSSecurity Hub
Catalogue de configuration du Security HubActivation d'une configuration avec un type de politiqueActivation d'une configuration avec un type de déploiementModification d'une politique de configurationSupprimer une politique de configuration

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Gestion de la configuration des comptes des membres dans une AWS organisation

L'administrateur délégué d'une AWS organisation peut configurer les fonctionnalités de sécurité entre les comptes des membres et les régions. Deux types de configurations sont disponibles : les politiques et les déploiements. Les politiques génèrent AWS les politiques des organisations pour les comptes et les régions pour AWS Security Hub et Amazon Inspector. Les déploiements sont une action ponctuelle visant à activer une fonctionnalité de sécurité sur certains comptes et régions pour Amazon GuardDuty et AWS Security Hub CSPM. Contrairement aux politiques, vous ne pouvez ni afficher ni modifier les déploiements, et les déploiements ne s'appliqueront pas aux comptes nouvellement activés. Comme alternative, les fonctionnalités d'activation automatique, pour les nouveaux comptes membres, sont disponibles sur Amazon GuardDuty et AWS Security Hub CSPM.

Catalogue de configuration du Security Hub

Le catalogue de configuration de Security Hub propose plusieurs options pour vous aider à configurer les comptes de votre AWS organisation pour les fonctionnalités de sécurité fournies par.

Les options disponibles dans le catalogue de configuration du Security Hub sont les suivantes.

Security Hub (fonctionnalités essentielles et supplémentaires)

Il s'agit de la configuration recommandée pour le déploiement de Security Hub.

Type : Politique et déploiements

Description : Cette configuration active les fonctionnalités essentielles de gestion de la sécurité, de gestion des postures, d'analyse des menaces et de gestion des vulnérabilités de Security Hub. Il permet éventuellement des fonctionnalités supplémentaires.

Analyse des menaces provenant de GuardDuty

Type : Déploiement

Description : Activez certaines GuardDuty fonctionnalités Amazon pour surveiller, analyser et traiter en permanence les sources de AWS données et les journaux dans votre AWS environnement.

Gestion de la posture depuis AWS Security Hub (CSPM)

Type : Déploiement

Description : Cette configuration active les normes et les contrôles du Security Hub CSPM, qui détectent les cas où vos AWS comptes et vos ressources s'écartent des meilleures pratiques en matière de sécurité.

Gestion des vulnérabilités depuis Amazon Inspector

Type : Politique

Description : Cette configuration active certaines fonctionnalités d'Amazon Inspector qui découvrent automatiquement les charges de travail, les instances, les images de conteneurs, etc., et les scannent pour détecter les vulnérabilités et l'exposition du réseau.

Activation d'une configuration avec un type de politique

La procédure suivante décrit comment créer une configuration avec un type de politique pour les comptes de votre AWS organisation. Pour créer une politique de configuration, la politique d'administrateur délégué doit être créée dans le compte de gestion de AWS l'organisation. Pour plus d'informations sur la création de la politique d'administrateur délégué dans Security Hub, consultez la section Création de la politique d'administrateur délégué dans Security Hub.

Pour créer une politique qui active et désactive les comptes des membres

  1. Connectez-vous à l'aide de votre AWS compte avec vos informations d'identification d'administrateur délégué. Ouvrez la console Security Hub sur https://console.aws.amazon.com/securityhub/v2/home.

  2. Dans le volet de navigation, choisissez Management, puis Configurations.

  3. Choisissez un élément avec un type de politique ou de politique et un déploiement dans le catalogue de configuration. Pour configurer complètement Security Hub, il est recommandé de choisir Security Hub (fonctionnalités essentielles et supplémentaires).

  4. Sur la page Configure Security Hub, dans la section Détails, entrez le nom et la description de la politique.

  5. Dans la section Fonctionnalités de sécurité, effectuez l'une des opérations suivantes :

    1. (Option 1) Choisissez Activer toutes les fonctionnalités. Cela activera toutes les fonctionnalités essentielles du Security Hub, l'analyse des menaces et des fonctionnalités supplémentaires.

    2. (Option 2) Choisissez Personnaliser les fonctionnalités. Sélectionnez l'analyse des menaces et les fonctionnalités supplémentaires qui doivent être activées. Vous ne pouvez pas désélectionner les fonctionnalités incluses dans les fonctionnalités essentielles du plan Security Hub.

  6. Dans la section Sélection du compte, sélectionnez l'une des options suivantes. Choisissez Toutes les unités organisationnelles et tous les comptes si vous souhaitez appliquer la configuration à toutes les unités organisationnelles et à tous les comptes. Choisissez Unités organisationnelles et comptes spécifiques si vous souhaitez appliquer la configuration à des unités organisationnelles et à des comptes spécifiques. Si vous choisissez cette option, utilisez la barre de recherche ou l'arborescence de la structure organisationnelle pour spécifier les unités organisationnelles et les comptes auxquels la politique sera appliquée. Choisissez Aucune unité organisationnelle ni aucun compte si vous ne souhaitez appliquer la configuration à aucune unité organisationnelle ou à aucun compte.

  7. Dans la section Régions, choisissez Activer toutes les régions, Désactiver toutes les régions ou Spécifier les régions. Si vous choisissez Activer toutes les régions, vous pouvez déterminer si vous souhaitez activer automatiquement les nouvelles régions. Si vous choisissez Désactiver toutes les régions, vous pouvez déterminer si les nouvelles régions doivent être automatiquement désactivées. Si vous choisissez Spécifier les régions, vous devez choisir les régions que vous souhaitez activer et désactiver.

  8. (Facultatif) Pour les paramètres avancés, reportez-vous aux instructions deAWS Organizations.

  9. (Facultatif) Pour les balises Resource, ajoutez des balises sous forme de paires clé-valeur pour vous aider à identifier facilement la configuration.

  10. Choisissez Suivant.

  11. Passez en revue vos modifications, puis choisissez Appliquer. Vos comptes cibles sont configurés en fonction de la politique. L'état de configuration de votre politique s'affichera en haut de la page des politiques. Chaque fonctionnalité indiquera si elle a été configurée ou si le déploiement a échoué. En cas d'échec, cliquez sur le lien correspondant au message d'échec pour obtenir plus de détails. Pour connaître la politique effective au niveau du compte, vous pouvez consulter l'onglet Organisation de la page Configurations où vous pouvez choisir un compte.

Activation d'une configuration avec un type de déploiement

La procédure suivante décrit comment créer une configuration avec un type de déploiement pour les comptes de votre AWS organisation.

Pour créer un déploiement qui active et désactive les comptes des membres

  1. Connectez-vous à l'aide de votre AWS compte avec vos informations d'identification d'administrateur délégué. Ouvrez la console Security Hub sur https://console.aws.amazon.com/securityhub/v2/home.

  2. Dans le volet de navigation, choisissez Management, puis Configurations.

  3. Choisissez un élément avec un type de déploiement dans le catalogue de configuration. Pour configurer complètement Security Hub, il est recommandé de choisir Security Hub (fonctionnalités essentielles et supplémentaires).

  4. Dans la section Fonctionnalités de sécurité, sélectionnez les fonctionnalités de sécurité qui doivent être activées.

  5. Dans la section Sélection du compte, sélectionnez l'une des options suivantes. Choisissez Toutes les unités organisationnelles et tous les comptes si vous souhaitez appliquer la configuration à toutes les unités organisationnelles et à tous les comptes. Choisissez Unités organisationnelles et comptes spécifiques si vous souhaitez appliquer la configuration à des unités organisationnelles et à des comptes spécifiques. Si vous choisissez cette option, utilisez la barre de recherche ou l'arborescence de la structure organisationnelle pour spécifier les unités organisationnelles et les comptes auxquels la politique sera appliquée. Choisissez Aucune unité organisationnelle ni aucun compte si vous ne souhaitez appliquer la configuration à aucune unité organisationnelle ou à aucun compte.

  6. Dans la section Régions, choisissez Activer toutes les régions, Désactiver toutes les régions ou Spécifier les régions. Si vous choisissez Activer toutes les régions, vous pouvez déterminer si vous souhaitez activer automatiquement les nouvelles régions. Si vous choisissez Désactiver toutes les régions, vous pouvez déterminer si les nouvelles régions doivent être automatiquement désactivées. Si vous choisissez Spécifier les régions, vous devez choisir les régions que vous souhaitez activer et désactiver.

  7. Choisissez Configurer.

Modification d'une politique de configuration

Vous pouvez modifier les fonctionnalités, les régions et les comptes associés aux configurations dotées d'un type de politique.

Ce qui suit décrit comment modifier une politique de configuration dans Security Hub

Pour créer, modifier une politique de configuration

  1. Connectez-vous à l'aide de votre AWS compte avec vos informations d'identification d'administrateur délégué. Ouvrez la console Security Hub sur https://console.aws.amazon.com/securityhub/v2/home.

  2. Dans le volet de navigation, choisissez Management, puis Configurations.

  3. Dans l'onglet Politiques configurées, sélectionnez le bouton radio correspondant à la politique que vous souhaitez modifier. Choisissez l'option Modifier.

  4. Pour apporter des modifications dans la section Sélection du compte, sélectionnez l'une des options suivantes. Choisissez Toutes les unités organisationnelles et tous les comptes si vous souhaitez appliquer la configuration à toutes les unités organisationnelles et à tous les comptes. Choisissez Unités organisationnelles et comptes spécifiques si vous souhaitez appliquer la configuration à des unités organisationnelles et à des comptes spécifiques. Si vous choisissez cette option, utilisez la barre de recherche ou l'arborescence de la structure organisationnelle pour spécifier les unités organisationnelles et les comptes auxquels la politique sera appliquée. Choisissez Aucune unité organisationnelle ni aucun compte si vous ne souhaitez appliquer la configuration à aucune unité organisationnelle ou à aucun compte.

  5. Pour apporter des modifications dans la section Régions, choisissez Activer toutes les régions, Désactiver toutes les régions ou Spécifier les régions. Si vous choisissez Activer toutes les régions, vous pouvez déterminer si vous souhaitez activer automatiquement les nouvelles régions. Si vous choisissez Désactiver toutes les régions, vous pouvez déterminer si les nouvelles régions doivent être automatiquement désactivées. Si vous choisissez Spécifier les régions, vous devez choisir les régions que vous souhaitez activer et désactiver.

  6. Choisissez Suivant.

  7. Examinez vos modifications, puis choisissez Update (Mettre à jour). Vos comptes cibles sont configurés en fonction de la politique.

Supprimer une politique de configuration

Vous pouvez supprimer une configuration pour laquelle vous avez un type de politique. Lorsque vous supprimez une politique, tous les comptes et unités organisationnelles attachés sont supprimés de la politique.

Ce qui suit décrit comment supprimer une politique de configuration dans Security Hub.

Pour créer, supprimer une politique de configuration

  1. Connectez-vous à l'aide de votre AWS compte avec vos informations d'identification d'administrateur délégué. Ouvrez la console Security Hub sur https://console.aws.amazon.com/securityhub/v2/home.

  2. Dans le volet de navigation, choisissez Management, puis Configurations.

  3. Dans l'onglet Politiques configurées, sélectionnez le bouton radio correspondant à la politique que vous souhaitez modifier. Choisissez le bouton Supprimer.

  4. Tapez Supprimer dans le champ de confirmation. Choisissez le bouton Supprimer.