Activation de Security Hub - AWSSecurity Hub
Activer Security Hub pour une AWS organisationActiver Security Hub dans un compte autonome

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Activation de Security Hub

Vous pouvez activer Security Hub pour n'importe lequel d'entre euxCompte AWS. Cette section de la documentation décrit toutes les étapes nécessaires pour activer Security Hub pour une AWS organisation ou un compte autonome.

Activer Security Hub pour une AWS organisation

Cette section comprend trois étapes :

  • À l'étape 1, le compte de gestion de AWS l'organisation désigne un administrateur délégué pour son AWS organisation, crée la politique d'administrateur délégué et active éventuellement Security Hub pour son propre compte.

  • À l'étape 2, l'administrateur délégué de l'organisation active Security Hub pour son propre compte.

  • À l'étape 3, l'administrateur délégué de l'organisation configure tous les comptes membres de l'organisation, pour Security Hub et les autres services de sécurité pris en charge.

Étape 1. Délégation d'un compte administrateur et activation facultative de Security Hub dans le compte de gestion de l'AWSorganisation

Note

Cette étape ne doit être effectuée que dans une seule région du compte de gestion de l'organisation.

Lorsque vous attribuez le compte d'administrateur délégué pour Security Hub, le compte que vous pouvez choisir pour votre administrateur délégué dépendra de la façon dont vous avez configuré un administrateur délégué pour Security Hub CSPM. Si vous avez configuré un administrateur délégué pour Security Hub CSPM et que ce compte n'est pas le compte de gestion de l'organisation, ce compte sera automatiquement défini comme administrateur délégué du Security Hub et aucun autre compte ne pourra être choisi. Si le compte d'administrateur délégué pour Security Hub CSPM est défini comme compte de gestion de l'organisation ou s'il n'est pas défini du tout, vous pouvez choisir quel compte sera votre compte d'administrateur délégué Security Hub, à l'exception du compte de gestion de l'organisation.

Pour plus d'informations sur la désignation d'un administrateur délégué dans Security Hub, consultez la section Désignation d'un compte d'administrateur délégué dans Security Hub. Pour plus d'informations sur la création de la politique d'administrateur délégué dans Security Hub, consultez la section Création de la politique d'administrateur délégué dans Security Hub.

Pour désigner un administrateur pour Security Hub

  1. Connectez-vous à votre AWS compte à l'aide des informations d'identification du compte de gestion de votre AWS organisation. Ouvrez la console Security Hub sur https://console.aws.amazon.com/securityhub/v2/home.

  2. Sur la page d'accueil de Security Hub, sélectionnez Security Hub, puis choisissez Get started.

  3. Dans la section Administrateur délégué, choisissez un compte administrateur en fonction des options proposées. Pour garantir une gouvernance cohérente, nous recommandons d'utiliser le même administrateur délégué pour tous les services de sécurité.

  4. Cochez la case Accès sécurisé. Le choix de cette option permet à votre compte d'administrateur délégué de configurer certaines fonctionnalités, telles que la protection contre les GuardDuty programmes malveillants, sur les comptes des membres. Si vous décochez cette option, Security Hub ne sera pas en mesure d'activer ces fonctionnalités en votre nom et vous devrez les activer directement via le service auquel la fonctionnalité est associée.

  5. (Facultatif) Pour activer le compte, cochez la case permettant d'activer Security Hub pour votre AWS compte.

  6. Pour la politique d'administrateur délégué, choisissez l'une des options suivantes pour ajouter la déclaration de politique.

    1. (Option 1) Choisissez Mettre à jour ceci pour moi. Cochez la case située sous la déclaration de politique pour confirmer que Security Hub créera automatiquement une politique de délégation accordant toutes les autorisations requises à l'administrateur délégué.

    2. (Option 2) Choisissez Je souhaite le joindre manuellement. Choisissez Copier et joindre. Dans la AWS Organizations console, sous Administrateur délégué pour AWS Organizations, choisissez Déléguer et collez la politique de ressources dans l'éditeur de stratégie de délégation. Choisissez Create Policy (Créer une politique). Ouvrez l'onglet dans lequel vous vous trouvez dans la console Security Hub.

  7. Choisissez Configurer.

Étape 2. Activez Security Hub dans le compte d'administrateur délégué

Le compte d'administrateur délégué termine cette étape. Une fois que le compte de gestion de AWS l'organisation a désigné un administrateur délégué pour son organisation, celui-ci doit activer Security Hub pour son propre compte avant de l'activer pour l'ensemble de l'AWSorganisation.

Pour activer Security Hub dans le compte d'administrateur délégué

  1. Connectez-vous à votre AWS compte à l'aide de vos identifiants d'administrateur délégué. Ouvrez la console Security Hub sur https://console.aws.amazon.com/securityhub/v2/home.

  2. Sur la page d'accueil de Security Hub, sélectionnez Get started.

  3. La section consacrée aux fonctionnalités de sécurité décrit les fonctionnalités qui sont automatiquement activées et incluses dans le prix de base par ressource de Security Hub.

  4. (Facultatif) Pour les balises, déterminez s'il faut ajouter une paire clé-valeur à la configuration du compte.

  5. Choisissez Enable Security Hub pour terminer l'activation de Security Hub.

  6. (Recommandé) Dans la fenêtre contextuelle, choisissez Configurer mon organisation et passez à l'étape 3.

Après avoir activé Security Hub, un rôle lié à un service appelé AWSServiceRoleForSecurityHubV2 et un enregistreur lié à un service sont créés dans votre compte. L'enregistreur lié à un service est un type d'AWS Configenregistreur géré par un AWS service qui peut enregistrer des données de configuration sur des ressources spécifiques au service. Avec un enregistreur lié à un service, Security Hub permet une approche axée sur les événements pour obtenir les éléments de configuration des ressources nécessaires à l'analyse de l'exposition, à la couverture et à la création de rapports sur l'inventaire des ressources. Un enregistreur lié à un service est configuré par et. Compte AWS Région AWS Pour les types de ressources globaux, un enregistreur supplémentaire lié à un service est automatiquement créé dans la région d'origine pour enregistrer les modifications de configuration des ressources globales, car il enregistre AWS Config uniquement les types de ressources globaux dans leur région d'origine désignée. Pour plus d'informations, consultez Considérations relatives aux enregistreurs de configuration liés aux services et Enregistrement des ressources régionales et mondiales.

Étape 3. Créez une politique qui active Security Hub dans tous les comptes membres

Après avoir activé Security Hub dans le compte d'administrateur délégué d'une organisation, vous devez créer une politique qui définit les services et fonctionnalités qui sont activés dans les comptes des membres de l'organisation. Pour plus d'informations, consultez la section Activation d'une configuration avec un type de politique.

Activer Security Hub dans un compte autonome

Cette procédure décrit comment activer Security Hub dans un compte autonome. Un compte autonome est un compte Compte AWS qui n'a pas activé AWS les organisations.

Pour activer Security Hub dans un compte autonome

  1. Connectez-vous à votre AWS compte à l'aide des informations d'identification de votre compte. Ouvrez la console Security Hub sur https://console.aws.amazon.com/securityhub/v2/home.

  2. Sur la page d'accueil de Security Hub, sélectionnez Get started.

  3. Dans la section Fonctionnalités de sécurité, effectuez l'une des opérations suivantes :

    1. (Option 1) Choisissez Activer toutes les fonctionnalités. Cela activera toutes les fonctionnalités essentielles du Security Hub, l'analyse des menaces et des fonctionnalités supplémentaires.

    2. (Option 2) Choisissez Personnaliser les fonctionnalités. Sélectionnez l'analyse des menaces et les fonctionnalités supplémentaires qui doivent être activées. Vous ne pouvez pas désélectionner les fonctionnalités incluses dans les fonctionnalités essentielles du plan Security Hub.

  4. Dans la section Régions, choisissez Activer toutes les régions ou Activer des régions spécifiques. Si vous choisissez Activer toutes les régions, vous pouvez déterminer si vous souhaitez activer automatiquement les nouvelles régions. Si vous choisissez Activer des régions spécifiques, vous devez choisir les régions que vous souhaitez activer.

  5. (Facultatif) Pour les balises Resource, ajoutez des balises sous forme de paires clé-valeur pour vous aider à identifier facilement la configuration.

  6. Choisissez Enable Security Hub (Activer le hub de sécurité).

Après avoir activé Security Hub, un rôle lié à un service appelé AWSServiceRoleForSecurityHubV2 et un enregistreur lié à un service sont créés dans votre compte. L'enregistreur lié à un service est un type d'AWS Configenregistreur géré par un AWS service qui peut enregistrer des données de configuration sur des ressources spécifiques au service. Avec un enregistreur lié à un service, Security Hub permet une approche axée sur les événements pour obtenir les éléments de configuration des ressources nécessaires à l'analyse de l'exposition, à la couverture et à la création de rapports sur l'inventaire des ressources. Un enregistreur lié à un service est configuré par et. Compte AWS Région AWS Pour les types de ressources globaux, un enregistreur supplémentaire lié à un service est automatiquement créé dans la région d'origine pour enregistrer les modifications de configuration des ressources globales, car il enregistre AWS Config uniquement les types de ressources globaux dans leur région d'origine désignée. Pour plus d'informations, consultez Considérations relatives aux enregistreurs de configuration liés aux services et Enregistrement des ressources régionales et mondiales.