Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Verwaltung von Security Hub CSPM für mehrere Konten mit AWS Organizations
<a name="securityhub-accounts-orgs"></a>

Sie können AWS Security Hub CSPM in Security Hub CSPM integrieren und dann Security Hub CSPM für Konten in Ihrer Organisation verwalten. AWS Organizations

Um Security Hub CSPM zu integrieren AWS Organizations, erstellen Sie eine Organisation in. AWS Organizations Das Organisationsverwaltungskonto bestimmt ein Konto als delegierten Security Hub CSPM-Administrator für die Organisation. Der delegierte Administrator kann dann Security Hub CSPM für andere Konten in der Organisation aktivieren, diese Konten als Security Hub CSPM-Mitgliedskonten hinzufügen und zulässige Aktionen für die Mitgliedskonten ausführen. Der delegierte Security Hub CSPM-Administrator kann Security Hub CSPM für bis zu 10.000 Mitgliedskonten aktivieren und verwalten.

[Der Umfang der Konfigurationsmöglichkeiten des delegierten Administrators hängt davon ab, ob Sie die zentrale Konfiguration verwenden.](central-configuration-intro.md) Wenn die zentrale Konfiguration aktiviert ist, müssen Sie Security Hub CSPM nicht in jedem Mitgliedskonto separat konfigurieren und. AWS-Region Der delegierte Administrator kann spezifische Security Hub CSPM-Einstellungen in bestimmten Mitgliedskonten und Organisationseinheiten (OUs) regionsübergreifend durchsetzen.

Das delegierte Security Hub-CSPM-Administratorkonto kann die folgenden Aktionen für Mitgliedskonten ausführen:
+ Wenn Sie die zentrale Konfiguration verwenden, konfigurieren Sie Security Hub CSPM zentral für Mitgliedskonten und OUs erstellen Sie Security Hub CSPM-Konfigurationsrichtlinien. Konfigurationsrichtlinien können verwendet werden, um Security Hub CSPM zu aktivieren und zu deaktivieren, Standards zu aktivieren und zu deaktivieren und Kontrollen zu aktivieren und zu deaktivieren.
+ Behandeln Sie *neue* Konten automatisch als Security Hub CSPM-Mitgliedskonten, wenn sie der Organisation beitreten. Wenn Sie die zentrale Konfiguration verwenden, umfasst eine Konfigurationsrichtlinie, die einer Organisationseinheit zugeordnet ist, bestehende und neue Konten, die Teil der Organisationseinheit sind.
+ Behandeln Sie *bestehende* Organisationskonten als Security Hub CSPM-Mitgliedskonten. Dies geschieht automatisch, wenn Sie die zentrale Konfiguration verwenden.
+ Trennen Sie die Zuordnung von Mitgliedskonten, die zur Organisation gehören. Wenn Sie die zentrale Konfiguration verwenden, können Sie die Zuordnung eines Mitgliedskontos erst aufheben, nachdem Sie es als selbstverwaltet gekennzeichnet haben. Alternativ können Sie eine Konfigurationsrichtlinie, die Security Hub CSPM deaktiviert, bestimmten zentral verwalteten Mitgliedskonten zuordnen.

Wenn Sie sich nicht für die zentrale Konfiguration entscheiden, verwendet Ihr Unternehmen den Standardkonfigurationstyp, die als lokale Konfiguration bezeichnet wird. Bei der lokalen Konfiguration hat der delegierte Administrator eingeschränkte Möglichkeiten, Einstellungen in Mitgliedskonten durchzusetzen. Weitere Informationen finden Sie unter [Grundlegendes zur lokalen Konfiguration in Security Hub CSPM](local-configuration.md).

Eine vollständige Liste der Aktionen, die der delegierte Administrator an Mitgliedskonten ausführen kann, finden Sie unter. [Zulässige Aktionen von Administrator- und Mitgliedskonten in Security Hub CSPM](securityhub-accounts-allowed-actions.md)

In den Themen dieses Abschnitts wird erklärt, wie Security Hub CSPM in Security Hub CSPM für Konten in einer Organisation integriert AWS Organizations und verwaltet wird. Wo relevant, werden in jedem Abschnitt die Verwaltungsvorteile und Unterschiede für Benutzer der zentralen Konfiguration aufgeführt.

**Topics**
+ [Integration von Security Hub CSPM mit AWS Organizations](designate-orgs-admin-account.md)
+ [Automatisches Aktivieren von Security Hub CSPM in neuen Organisationskonten](accounts-orgs-auto-enable.md)
+ [Manuelles Aktivieren von Security Hub CSPM in neuen Organisationskonten](orgs-accounts-enable.md)
+ [Trennung der Security Hub CSPM-Mitgliedskonten von Ihrer Organisation](accounts-orgs-disassociate.md)

# Integration von Security Hub CSPM mit AWS Organizations
<a name="designate-orgs-admin-account"></a>

Um AWS Security Hub CSPM und zu integrieren AWS Organizations, erstellen Sie eine Organisation in Organizations und verwenden das Organisationsverwaltungskonto, um ein delegiertes Security Hub CSPM-Administratorkonto festzulegen. Dadurch wird Security Hub CSPM als vertrauenswürdiger Dienst in Organizations aktiviert. [Es aktiviert auch Security Hub CSPM in der aktuellen Version AWS-Region für das delegierte Administratorkonto und ermöglicht es dem delegierten Administrator, Security Hub CSPM für Mitgliedskonten zu aktivieren, Daten in Mitgliedskonten anzuzeigen und andere zulässige Aktionen für Mitgliedskonten durchzuführen.](securityhub-accounts-allowed-actions.md)

Wenn Sie die [zentrale Konfiguration](central-configuration-intro.md) verwenden, kann der delegierte Administrator auch Security Hub CSPM-Konfigurationsrichtlinien erstellen, die angeben, wie der Security Hub CSPM-Dienst, die Standards und Kontrollen in Organisationskonten konfiguriert werden sollen.

## Erstellen einer Organisation
<a name="create-organization"></a>

Eine Organisation ist eine Entität, die Sie erstellen, um Ihre Organisation zu konsolidieren, AWS-Konten sodass Sie sie als eine Einheit verwalten können.

Sie können eine Organisation entweder mithilfe der AWS Organizations Konsole oder mithilfe eines Befehls aus dem SDK AWS CLI APIs oder einem der SDKs erstellen. Ausführliche Anweisungen finden [Sie im *AWS Organizations Benutzerhandbuch* unter Organisation erstellen](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_create.html).

Sie können AWS Organizations damit alle Konten in Ihrer Organisation zentral anzeigen und verwalten. Eine Organisation besteht aus einem Verwaltungskonto und gegebenenfalls Mitgliedskonten. Sie können die Konten in einer hierarchischen, baumähnlichen Struktur mit einem Stamm an der Spitze und Organisationseinheiten (OUs) unter dem Stamm organisieren. Jedes Konto kann sich direkt unter dem Stamm befinden oder einem der Konten in der OUs Hierarchie zugeordnet werden. Eine OU ist ein Container für bestimmte Konten. Sie können beispielsweise eine Organisationseinheit für Finanzen erstellen, die alle Konten im Zusammenhang mit Finanzoperationen umfasst. 

## Empfehlungen für die Auswahl des delegierten Security Hub CSPM-Administrators
<a name="designate-admin-recommendations"></a>

Wenn Sie über ein Administratorkonto aus dem manuellen Einladungsprozess verfügen und zur Kontoverwaltung mit wechseln, empfehlen wir AWS Organizations, dieses Konto als delegierten Security Hub CSPM-Administrator festzulegen.

Obwohl das Security Hub CSPM APIs und die Konsole es dem Organisationsverwaltungskonto ermöglichen, der delegierte Security Hub CSPM-Administrator zu sein, empfehlen wir, zwei verschiedene Konten zu wählen. Dies liegt daran, dass Benutzer, die Zugriff auf das Organisationsverwaltungskonto haben, um die Abrechnung zu verwalten, sich wahrscheinlich von Benutzern unterscheiden, die für die Sicherheitsverwaltung Zugriff auf Security Hub CSPM benötigen.

Wir empfehlen, in allen Regionen denselben delegierten Administrator zu verwenden. Wenn Sie sich für die zentrale Konfiguration entscheiden, bestimmt Security Hub CSPM automatisch denselben delegierten Administrator in Ihrer Heimatregion und allen verknüpften Regionen.

## Überprüfen Sie die Berechtigungen zur Konfiguration des delegierten Administrators
<a name="designate-admin-permissions"></a>

Um ein delegiertes Security Hub CSPM-Administratorkonto zuzuweisen und zu entfernen, muss das Organisationsverwaltungskonto über Berechtigungen für die `DisableOrganizationAdminAccount` Aktionen `EnableOrganizationAdminAccount` und in Security Hub CSPM verfügen. Das Verwaltungskonto für Organizations muss auch über Administratorberechtigungen für Organizations verfügen.

Um alle erforderlichen Berechtigungen zu gewähren, fügen Sie dem IAM-Prinzipal für das Organisationsverwaltungskonto die folgenden von Security Hub verwalteten CSPM-Richtlinien hinzu:
+ [https://docs.aws.amazon.com/securityhub/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-awssecurityhubfullaccess](https://docs.aws.amazon.com/securityhub/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-awssecurityhubfullaccess)
+ [https://docs.aws.amazon.com/securityhub/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-awssecurityhuborganizationsaccess](https://docs.aws.amazon.com/securityhub/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-awssecurityhuborganizationsaccess)

## Benennen des delegierten Administrators
<a name="designate-admin-instructions"></a>

Um das delegierte Security Hub CSPM-Administratorkonto festzulegen, können Sie die Security Hub CSPM-Konsole, die Security Hub CSPM-API oder verwenden. AWS CLI Security Hub CSPM legt den delegierten Administrator AWS-Region nur in der aktuellen Region fest, und Sie müssen die Aktion in anderen Regionen wiederholen. Wenn Sie die zentrale Konfiguration verwenden, richtet Security Hub CSPM automatisch denselben delegierten Administrator in der Heimatregion und den verknüpften Regionen ein.

Das Organisationsverwaltungskonto muss Security Hub CSPM nicht aktivieren, um das delegierte Security Hub CSPM-Administratorkonto zu bestimmen.

Wir empfehlen, dass das Organisationsverwaltungskonto nicht das delegierte Security Hub CSPM-Administratorkonto ist. Wenn Sie jedoch das Organisationsverwaltungskonto als delegierten Security Hub CSPM-Administrator wählen, muss Security Hub CSPM für das Verwaltungskonto aktiviert sein. Wenn Security Hub CSPM für das Verwaltungskonto nicht aktiviert ist, müssen Sie Security Hub CSPM manuell dafür aktivieren. Security Hub CSPM kann nicht automatisch für das Organisationsverwaltungskonto aktiviert werden.

Sie müssen den delegierten Security Hub CSPM-Administrator mit einer der folgenden Methoden benennen. Die Benennung des delegierten Security Hub CSPM-Administrators mit Organizations spiegelt APIs sich nicht in Security Hub CSPM wider.

Wählen Sie Ihre bevorzugte Methode und folgen Sie den Schritten zur Benennung des delegierten Security Hub CSPM-Administratorkontos.

------
#### [ Security Hub CSPM console ]

**Um den delegierten Administrator beim Onboarding zu bestimmen**

1. Öffnen Sie die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Wählen Sie **Gehe zu Security Hub CSPM**. Sie werden aufgefordert, sich beim Organisationsverwaltungskonto anzumelden.

1. Geben Sie auf der Seite **Delegierten Administrator benennen** im Abschnitt **Delegiertes Administratorkonto** das delegierte Administratorkonto an. Wir empfehlen, denselben delegierten Administrator zu wählen, den Sie für andere AWS Sicherheits- und Compliance-Dienste eingerichtet haben.

1. Wählen Sie **Delegierten Administrator festlegen** aus. Sie werden aufgefordert, sich mit dem delegierten Administratorkonto anzumelden (falls Sie dies noch nicht getan haben), um das Onboarding mit der zentralen Konfiguration fortzusetzen. **Wenn Sie die zentrale Konfiguration nicht starten möchten, wählen Sie Abbrechen.** Ihr delegierter Administrator ist eingerichtet, aber Sie verwenden die zentrale Konfiguration noch nicht.

****Um den delegierten Administrator auf der Seite „Einstellungen“ zu bestimmen****

1. Öffnen Sie die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. **Wählen Sie im Security Hub CSPM-Navigationsbereich die Option Einstellungen aus.** **Wählen Sie dann Allgemein.**

1. Wenn derzeit ein Security Hub CSPM-Administratorkonto zugewiesen ist, müssen Sie das aktuelle Konto entfernen, bevor Sie ein neues Konto einrichten können.

   **Um das aktuelle Konto zu entfernen, **wählen Sie unter Delegierter Administrator** die Option Entfernen aus.**

1. Geben Sie die Konto-ID des Kontos ein, das Sie als **Security Hub CSPM-Administratorkonto** festlegen möchten.

   Sie müssen in allen Regionen dasselbe Security Hub CSPM-Administratorkonto angeben. Wenn Sie ein Konto angeben, das sich von dem in anderen Regionen angegebenen Konto unterscheidet, gibt die Konsole einen Fehler zurück.

1. Wählen Sie **Delegieren**.

------
#### [ Security Hub CSPM API, AWS CLI ]

Verwenden Sie vom Organisationsverwaltungskonto aus den [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_EnableOrganizationAdminAccount.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_EnableOrganizationAdminAccount.html)Betrieb der Security Hub CSPM-API. Wenn Sie den verwenden AWS CLI, führen Sie den [https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-organization-admin-account.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-organization-admin-account.html)Befehl aus. Geben Sie die AWS-Konto ID des delegierten Security Hub CSPM-Administrators an.

Im folgenden Beispiel wird der delegierte Security Hub CSPM-Administrator benannt. Dieses Beispiel ist für Linux, macOS oder Unix formatiert und verwendet den umgekehrten Schrägstrich (\$1) zur Verbesserung der Lesbarkeit.

```
$ aws securityhub enable-organization-admin-account --admin-account-id 123456789012
```

------

# Den delegierten Administrator entfernen oder ändern
<a name="remove-admin-overview"></a>

Nur das Organisationsverwaltungskonto kann das delegierte Security Hub CSPM-Administratorkonto entfernen.

Um den delegierten Security Hub CSPM-Administrator zu ändern, müssen Sie zuerst das aktuelle delegierte Administratorkonto entfernen und dann ein neues festlegen.

**Warnung**  
Wenn Sie die [zentrale Konfiguration](central-configuration-intro.md) verwenden, können Sie die Security Hub CSPM-Konsole oder Security Hub CSPM nicht verwenden, um das delegierte Administratorkonto APIs zu ändern oder zu entfernen. Wenn das Organisationsverwaltungskonto die AWS Organizations Konsole verwendet oder AWS Organizations APIs um den delegierten Security Hub CSPM-Administrator zu ändern oder zu entfernen, stoppt Security Hub CSPM automatisch die zentrale Konfiguration und löscht Ihre Konfigurationsrichtlinien und Richtlinienzuordnungen. Mitgliedskonten behalten die Konfigurationen bei, die sie hatten, bevor der delegierte Administrator geändert oder entfernt wurde.

Wenn Sie die Security Hub CSPM-Konsole verwenden, um den delegierten Administrator in einer Region zu entfernen, wird er automatisch in allen Regionen entfernt.

Die Security Hub CSPM API entfernt nur das delegierte Security Hub CSPM-Administratorkonto aus der Region, in der der API-Aufruf oder -Befehl ausgeführt wird. Sie müssen die Aktion in anderen Regionen wiederholen.

Wenn Sie das delegierte Security Hub CSPM-Administratorkonto mithilfe der Organizations API entfernen, wird es automatisch in allen Regionen entfernt.

## Den delegierten Administrator entfernen (Organizations API, AWS CLI)
<a name="remove-admin-orgs"></a>

Sie können Organizations verwenden, um den delegierten Security Hub CSPM-Administrator in allen Regionen zu entfernen.

Wenn Sie die zentrale Konfiguration zur Verwaltung von Konten verwenden, führt das Entfernen des delegierten Administratorkontos zum Löschen Ihrer Konfigurationsrichtlinien und Richtlinienverknüpfungen. Mitgliedskonten behalten die Konfigurationen bei, die sie hatten, bevor der delegierte Administrator geändert oder entfernt wurde. Diese Konten können jedoch nicht mehr mit dem entfernten delegierten Administratorkonto verwaltet werden. Sie werden zu selbstverwalteten Konten, die in jeder Region separat konfiguriert werden müssen.

Wählen Sie Ihre bevorzugte Methode und folgen Sie den Anweisungen, um das delegierte Security Hub CSPM-Administratorkonto mit zu entfernen. AWS Organizations

------
#### [ Organizations API, AWS CLI ]

**So entfernen Sie den delegierten Security Hub CSPM-Administrator**

Verwenden Sie vom Organisationsverwaltungskonto aus den [https://docs.aws.amazon.com/organizations/latest/APIReference/API_DeregisterDelegatedAdministrator.html](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DeregisterDelegatedAdministrator.html)Betrieb der Organisations-API. Wenn Sie den verwenden AWS CLI, führen Sie den [deregister-delegated-administrator](https://docs.aws.amazon.com/cli/latest/reference/organizations/deregister-delegated-administrator.html)Befehl aus. Geben Sie die Konto-ID des delegierten Administrators und den Dienstprinzipal für Security Hub CSPM an, nämlich. `securityhub.amazonaws.com`

Im folgenden Beispiel wird der delegierte Security Hub CSPM-Administrator entfernt. Dieses Beispiel ist für Linux, macOS oder Unix formatiert und verwendet den umgekehrten Schrägstrich (\$1) zur Verbesserung der Lesbarkeit.

```
$ aws organizations deregister-delegated-administrator --account-id 123456789012 --service-principal securityhub.amazonaws.com
```

------

## Den delegierten Administrator entfernen (Security Hub CSPM-Konsole)
<a name="remove-admin-console"></a>

Sie können die Security Hub CSPM-Konsole verwenden, um den delegierten Security Hub CSPM-Administrator in allen Regionen zu entfernen.

Wenn das delegierte Security Hub CSPM-Administratorkonto entfernt wird, werden die Mitgliedskonten vom entfernten delegierten Security Hub CSPM-Administratorkonto getrennt.

Security Hub CSPM ist weiterhin in den Mitgliedskonten aktiviert. Sie werden zu eigenständigen Konten, bis ein neuer Security Hub CSPM-Administrator sie als Mitgliedskonten aktiviert.

Wenn das Organisationsverwaltungskonto kein aktiviertes Konto in Security Hub CSPM ist, verwenden Sie die Option auf der Seite **Willkommen bei Security Hub CSPM**.

**So entfernen Sie das delegierte Security Hub CSPM-Administratorkonto von der Seite **Willkommen bei Security** Hub CSPM**

1. Öffnen Sie die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Wählen Sie **Gehe zu Security Hub**.

1. Wählen Sie unter **Delegierter Administrator** die Option **Entfernen** aus.

Wenn das Organisationsverwaltungskonto ein aktiviertes Konto in **Security Hub** ist, verwenden Sie die Option auf der Registerkarte **Allgemein** der Seite **Einstellungen**.

****So entfernen Sie das delegierte Security Hub CSPM-Administratorkonto von der Seite Einstellungen****

1. Öffnen Sie die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. **Wählen Sie im Security Hub CSPM-Navigationsbereich die Option Einstellungen aus.** **Wählen Sie dann Allgemein.**

1. Wählen Sie unter **Delegierter Administrator** die Option **Entfernen** aus.

## Den delegierten Administrator entfernen (Security Hub CSPM API,) AWS CLI
<a name="remove-admin-api"></a>

Sie können die Security Hub CSPM-API oder die Security Hub CSPM-Operationen verwenden, AWS CLI um den delegierten Security Hub CSPM-Administrator zu entfernen. Wenn Sie den delegierten Administrator mit einer dieser Methoden entfernen, wird er nur in der Region entfernt, in der der API-Aufruf oder -Befehl ausgeführt wurde. Security Hub CSPM aktualisiert keine anderen Regionen und entfernt auch nicht das delegierte Administratorkonto in. AWS Organizations

Wählen Sie Ihre bevorzugte Methode und gehen Sie wie folgt vor, um das delegierte Security Hub CSPM-Administratorkonto bei Security Hub CSPM zu entfernen.

------
#### [ Security Hub CSPM API, AWS CLI ]

**So entfernen Sie den delegierten Security Hub CSPM-Administrator**

Verwenden Sie vom Organisationsverwaltungskonto aus den [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisableOrganizationAdminAccount.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisableOrganizationAdminAccount.html)Betrieb der Security Hub CSPM-API. Wenn Sie den verwenden AWS CLI, führen Sie den [https://docs.aws.amazon.com/cli/latest/reference/securityhub/disable-organization-admin-account.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/disable-organization-admin-account.html)Befehl aus. Geben Sie die Konto-ID des delegierten Security Hub CSPM-Administrators an.

Im folgenden Beispiel wird der delegierte Security Hub CSPM-Administrator entfernt. Dieses Beispiel ist für Linux, macOS oder Unix formatiert und verwendet den umgekehrten Schrägstrich (\$1) zur Verbesserung der Lesbarkeit.

```
$ aws securityhub disable-organization-admin-account --admin-account-id 123456789012
```

------

# Deaktivieren der Security Hub CSPM-Integration mit AWS Organizations
<a name="disable-orgs-integration"></a>

Nachdem eine AWS Organizations Organisation in AWS Security Hub CSPM integriert wurde, kann das Verwaltungskonto der Organizations die Integration anschließend deaktivieren. Als Benutzer des Organisationsverwaltungskontos können Sie dies tun, indem Sie den vertrauenswürdigen Zugriff für Security Hub CSPM in deaktivieren. AWS Organizations

Wenn Sie den vertrauenswürdigen Zugriff für Security Hub CSPM deaktivieren, passiert Folgendes:
+ Security Hub CSPM verliert seinen Status als vertrauenswürdiger Dienst in. AWS Organizations
+ Das delegierte Security Hub CSPM-Administratorkonto verliert den Zugriff auf Security Hub CSPM-Einstellungen, Daten und Ressourcen für alle Security Hub CSPM-Mitgliedskonten insgesamt. AWS-Regionen
+ Wenn Sie die [zentrale Konfiguration](central-configuration-intro.md) verwendet haben, verwendet Security Hub CSPM sie automatisch nicht mehr für Ihr Unternehmen. Ihre Konfigurationsrichtlinien und Richtlinienzuordnungen werden gelöscht. Konten behalten die Konfigurationen bei, die sie hatten, bevor Sie den vertrauenswürdigen Zugriff deaktiviert haben.
+ Alle Security Hub CSPM-Mitgliedskonten werden zu eigenständigen Konten und behalten ihre aktuellen Einstellungen bei. Wenn Security Hub CSPM für ein Mitgliedskonto in einer oder mehreren Regionen aktiviert wurde, ist Security Hub CSPM weiterhin für das Konto in diesen Regionen aktiviert. Die aktivierten Standards und Kontrollen bleiben ebenfalls unverändert. Sie können diese Einstellungen für jedes Konto und jede Region separat ändern. Das Konto ist jedoch in keiner Region mehr einem delegierten Administrator zugeordnet.

Weitere Informationen zu den Ergebnissen der Deaktivierung des Zugriffs auf vertrauenswürdige Dienste finden Sie AWS-Services im *AWS Organizations Benutzerhandbuch* [unter AWS Organizations Zusammen mit anderen Benutzern verwenden](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html). 

Um den vertrauenswürdigen Zugriff zu deaktivieren, können Sie die AWS Organizations Konsole, die Organisations-API oder die verwenden AWS CLI. Nur ein Benutzer des Organisationsverwaltungskontos kann den vertrauenswürdigen Dienstzugriff für Security Hub CSPM deaktivieren. Einzelheiten zu den Berechtigungen, die Sie benötigen, finden Sie im *AWS Organizations Benutzerhandbuch* unter [Erforderliche Berechtigungen zur Deaktivierung des vertrauenswürdigen Zugriffs](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html#orgs_trusted_access_disable_perms).

Bevor Sie den vertrauenswürdigen Zugriff deaktivieren, empfehlen wir, mit dem delegierten Administrator Ihrer Organisation zusammenzuarbeiten, um Security Hub CSPM in Mitgliedskonten zu deaktivieren und die Security Hub CSPM-Ressourcen in diesen Konten zu bereinigen.

Wählen Sie Ihre bevorzugte Methode und folgen Sie den Schritten, um den vertrauenswürdigen Zugriff für Security Hub CSPM zu deaktivieren.

------
#### [ Organizations console ]

**So deaktivieren Sie den vertrauenswürdigen Zugriff für Security Hub CSPM**

1. Melden Sie sich AWS-Managementkonsole mit den Anmeldeinformationen des AWS Organizations Verwaltungskontos an.

1. Öffnen Sie die Organisationskonsole unter [https://console.aws.amazon.com/organizations/](https://console.aws.amazon.com/organizations/).

1. Wählen Sie im Navigationsbereich **Services**.

1. Wählen Sie unter **Integrierte Dienste** die Option **AWS Security Hub CSPM** aus.

1. Wählen Sie **Vertrauenswürdigen Zugriff deaktivieren**.

1. Bestätigen Sie, dass Sie den vertrauenswürdigen Zugriff deaktivieren möchten.

------
#### [ Organizations API ]

**So deaktivieren Sie den vertrauenswürdigen Zugriff für Security Hub CSPM**

Rufen [Sie den Vorgang „AWSServiceZugriff deaktivieren“ der API auf](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html). AWS Organizations Geben Sie für den `ServicePrincipal` Parameter den Security Hub CSPM-Dienstprinzipal () `securityhub.amazonaws.com` an.

------
#### [ AWS CLI ]

**So deaktivieren Sie den vertrauenswürdigen Zugriff für Security Hub CSPM**

Führen Sie den [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)Befehl der API aus. AWS Organizations Geben Sie für den `service-principal` Parameter den Security Hub CSPM-Dienstprinzipal () `securityhub.amazonaws.com` an.

**Beispiel:**

```
aws organizations disable-aws-service-access --service-principal securityhub.amazonaws.com
```

------

# Automatisches Aktivieren von Security Hub CSPM in neuen Organisationskonten
<a name="accounts-orgs-auto-enable"></a>

Wenn neue Konten Ihrer Organisation beitreten, werden sie der Liste auf der **Kontoseite** der AWS Security Hub CSPM-Konsole hinzugefügt. Für Organisationskonten lautet **Typ** auf **Nach Organisation**. Standardmäßig werden neue Konten nicht zu Security Hub CSPM-Mitgliedern, wenn sie der Organisation beitreten. Ihr Status ist **Kein Mitglied**. Das delegierte Administratorkonto kann automatisch neue Konten als Mitglieder hinzufügen und Security Hub CSPM in diesen Konten aktivieren, wenn sie der Organisation beitreten.

**Anmerkung**  
Obwohl viele Regionen standardmäßig für Sie aktiv AWS-Regionen sind AWS-Konto, müssen Sie bestimmte Regionen manuell aktivieren. Diese Regionen werden in diesem Dokument als Opt-in-Regionen bezeichnet. Um Security Hub CSPM automatisch in einem neuen Konto in einer Opt-in-Region zu aktivieren, muss diese Region zuerst für das Konto aktiviert sein. Nur der Kontoinhaber kann die Opt-in-Region aktivieren. Weitere Informationen zu Opt-in-Regionen findest du unter [Geben Sie an, welche Regionen für AWS-Regionen Ihr Konto verwendet werden können](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html).

Dieser Vorgang unterscheidet sich je nachdem, ob Sie die zentrale Konfiguration (empfohlen) oder die lokale Konfiguration verwenden.

## Automatische Aktivierung neuer Organisationskonten (zentrale Konfiguration)
<a name="central-configuration-auto-enable"></a>

Wenn Sie die [zentrale Konfiguration](central-configuration-intro.md) verwenden, können Sie Security Hub CSPM automatisch in neuen und bestehenden Organisationskonten aktivieren, indem Sie eine Konfigurationsrichtlinie erstellen, in der Security Hub CSPM aktiviert ist. Anschließend können Sie die Richtlinie dem Organisationsstamm oder bestimmten Organisationseinheiten zuordnen (). OUs

Wenn Sie eine Konfigurationsrichtlinie, in der Security Hub CSPM aktiviert ist, einer bestimmten OU zuordnen, wird Security Hub CSPM automatisch in allen Konten (vorhandenen und neuen) aktiviert, die zu dieser OU gehören. Neue Konten, die nicht zur Organisationseinheit gehören, werden selbst verwaltet und Security Hub CSPM ist nicht automatisch aktiviert. Wenn Sie dem Root eine Konfigurationsrichtlinie zuordnen, in der Security Hub CSPM aktiviert ist, wird Security Hub CSPM automatisch in allen Konten (vorhandenen und neuen) aktiviert, die der Organisation beitreten. Ausnahmen sind, wenn ein Konto aufgrund von Anwendung oder Vererbung eine andere Richtlinie verwendet oder wenn es sich um ein selbstverwaltetes Konto handelt.

In Ihrer Konfigurationsrichtlinie können Sie auch definieren, welche Sicherheitsstandards und Kontrollen in der Organisationseinheit aktiviert werden sollen. Um Kontrollergebnisse für aktivierte Standards zu generieren, müssen die Konten in der Organisationseinheit AWS Config aktiviert und konfiguriert sein, um die erforderlichen Ressourcen aufzuzeichnen. Weitere Informationen zur AWS Config Aufzeichnung finden Sie unter [Aktivieren und Konfigurieren AWS Config](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-prereq-config.html).

Anweisungen zum Erstellen einer Konfigurationsrichtlinie finden Sie unter[Konfigurationsrichtlinien erstellen und zuordnen](create-associate-policy.md).

## Automatisches Aktivieren neuer Organisationskonten (lokale Konfiguration)
<a name="limited-configuration-auto-enable"></a>

Wenn Sie die lokale Konfiguration verwenden und die automatische Aktivierung von Standardstandards aktivieren, fügt Security Hub CSPM *neue* Organisationskonten als Mitglieder hinzu und aktiviert Security Hub CSPM in diesen Konten in der aktuellen Region. Andere Regionen sind nicht betroffen. Darüber hinaus aktiviert die Aktivierung der automatischen Aktivierung Security Hub CSPM nicht in *bestehenden* Organisationskonten, es sei denn, sie wurden bereits als Mitgliedskonten hinzugefügt.

Nach der Aktivierung der automatischen Aktivierung werden die Standardsicherheitsstandards für neue Mitgliedskonten in der aktuellen Region aktiviert, wenn sie der Organisation beitreten. Die Standardstandards sind AWS Foundational Security Best Practices (FSBP) und Center for Internet Security (CIS) AWS Foundations Benchmark v1.2.0. Sie können die Standardstandards nicht ändern. Wenn Sie andere Standards in Ihrer Organisation aktivieren oder Standards für ausgewählte Konten aktivieren möchten OUs, empfehlen wir die zentrale Konfiguration.

Um Kontrollergebnisse für die Standardstandards (und andere aktivierte Standards) zu generieren, müssen die Konten in Ihrer Organisation AWS Config aktiviert und konfiguriert sein, um die erforderlichen Ressourcen aufzuzeichnen. Weitere Informationen zur AWS Config Aufzeichnung finden Sie unter [Aktivieren und Konfigurieren AWS Config](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-prereq-config.html).

Wählen Sie Ihre bevorzugte Methode und folgen Sie den Schritten, um Security Hub CSPM automatisch in neuen Unternehmenskonten zu aktivieren. Diese Anweisungen gelten nur, wenn Sie die lokale Konfiguration verwenden.

------
#### [ Security Hub CSPM console ]

**So aktivieren Sie automatisch neue Organisationskonten als Security Hub CSPM-Mitglieder**

1. Öffnen Sie die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Sign verwendet die Anmeldeinformationen des delegierten Administratorkontos.

1. **Wählen Sie im Security Hub CSPM-Navigationsbereich unter **Einstellungen** die Option Konfiguration aus.**

1. Aktivieren Sie im Abschnitt **Konten** die Option Konten **automatisch** aktivieren.

------
#### [ Security Hub CSPM API ]

**So aktivieren Sie automatisch neue Organisationskonten als Security Hub CSPM-Mitglieder**

Rufen Sie die [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html)API vom delegierten Administratorkonto aus auf. Stellen Sie das `AutoEnable` Feld auf ein`true`, um Security Hub CSPM automatisch in neuen Organisationskonten zu aktivieren.

------
#### [ AWS CLI ]

**So aktivieren Sie automatisch neue Organisationskonten als Security Hub CSPM-Mitglieder**

Führen Sie den [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html)Befehl über das delegierte Administratorkonto aus. Fügen Sie den `auto-enable` Parameter hinzu, um Security Hub CSPM automatisch in neuen Organisationskonten zu aktivieren.

```
aws securityhub update-organization-configuration --auto-enable
```

------

# Manuelles Aktivieren von Security Hub CSPM in neuen Organisationskonten
<a name="orgs-accounts-enable"></a>

Wenn Sie Security Hub CSPM nicht automatisch in neuen Organisationskonten aktivieren, wenn diese der Organisation beitreten, können Sie diese Konten als Mitglieder hinzufügen und Security Hub CSPM in ihnen manuell aktivieren, nachdem sie der Organisation beigetreten sind. Sie müssen Security Hub CSPM auch manuell aktivieren, da Sie zuvor AWS-Konten die Verbindung zu einer Organisation getrennt haben.

**Anmerkung**  
[Dieser Abschnitt gilt nicht für Sie, wenn Sie die zentrale Konfiguration verwenden.](central-configuration-intro.md) Wenn Sie die zentrale Konfiguration verwenden, können Sie Konfigurationsrichtlinien erstellen, die Security Hub CSPM in bestimmten Mitgliedskonten und Organisationseinheiten aktivieren ()OUs. Sie können auch spezifische Standards und Kontrollen für diese Konten und aktivieren. OUs

Sie können Security Hub CSPM nicht in einem Konto aktivieren, wenn es sich bereits um ein Mitgliedskonto in einer anderen Organisation handelt.

Sie können Security Hub CSPM auch nicht in einem Konto aktivieren, das derzeit gesperrt ist. Wenn Sie versuchen, den Dienst in einem gesperrten Konto zu aktivieren, ändert sich der Kontostatus in **Konto** gesperrt.
+ Wenn Security Hub CSPM für das Konto nicht aktiviert ist, ist Security Hub CSPM in diesem Konto aktiviert. Der Standard AWS Foundational Security Best Practices (FSBP) und der CIS AWS Foundations Benchmark v1.2.0 sind ebenfalls im Konto aktiviert, sofern Sie die Standardsicherheitsstandards nicht deaktivieren.

  Eine Ausnahme bildet das Verwaltungskonto für Organizations. Security Hub CSPM kann nicht automatisch im Verwaltungskonto der Organizations aktiviert werden. Sie müssen Security Hub CSPM manuell im Verwaltungskonto der Organizations aktivieren, bevor Sie es als Mitgliedskonto hinzufügen können.
+ Wenn Security Hub CSPM für das Konto bereits aktiviert ist, nimmt Security Hub CSPM keine weiteren Änderungen am Konto vor. Es aktiviert nur die Mitgliedschaft.

Damit Security Hub CSPM Kontrollergebnisse generieren kann, müssen Mitgliedskonten AWS Config aktiviert und konfiguriert sein, um die erforderlichen Ressourcen aufzuzeichnen. Weitere Informationen zur Konfiguration von SSH finden Sie unter [Aktivieren und Konfigurieren von AWS Config](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-prereq-config.html).

Wählen Sie Ihre bevorzugte Methode und folgen Sie den Schritten, um ein Organisationskonto als Security Hub CSPM-Mitgliedskonto zu aktivieren.

------
#### [ Security Hub CSPM console ]

**Um Organisationskonten manuell als Security Hub CSPM-Mitglieder zu aktivieren**

1. Öffnen Sie die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Melden Sie sich mit den Anmeldeinformationen des delegierten Administratorkontos an.

1. **Wählen Sie im Security Hub CSPM-Navigationsbereich unter **Einstellungen** die Option Konfiguration aus.**

1. Wählen Sie in der **Kontenliste** jedes Unternehmenskonto aus, das Sie aktivieren möchten.

1. Wählen Sie **Aktionen** und dann **Mitglied hinzufügen** aus.

------
#### [ Security Hub CSPM API ]

**Um Organisationskonten manuell als Security Hub CSPM-Mitglieder zu aktivieren**

Rufen Sie die [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateMembers.html)API vom delegierten Administratorkonto aus auf. Geben Sie für jedes zu aktivierende Konto die Konto-ID an.

Im Gegensatz zum manuellen Einladungsprozess müssen `CreateMembers` Sie bei der Aktivierung eines Unternehmenskontos keine Einladung versenden.

------
#### [ AWS CLI ]

**Um Organisationskonten manuell als Security Hub CSPM-Mitglieder zu aktivieren**

Führen Sie den [https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-members.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-members.html)Befehl über das delegierte Administratorkonto aus. Geben Sie für jedes zu aktivierende Konto die Konto-ID an.

Im Gegensatz zum manuellen Einladungsprozess `create-members` müssen Sie bei der Aktivierung eines Unternehmenskontos keine Einladung versenden.

```
aws securityhub create-members --account-details '[{"AccountId": "<accountId>"}]'
```

**Beispiel**

```
aws securityhub create-members --account-details '[{"AccountId": "123456789111"}, {"AccountId": "123456789222"}]'
```

------

# Trennung der Security Hub CSPM-Mitgliedskonten von Ihrer Organisation
<a name="accounts-orgs-disassociate"></a>

Wenn Sie keine Ergebnisse von einem AWS Security Hub CSPM-Mitgliedskonto mehr erhalten und einsehen möchten, können Sie das Mitgliedskonto von Ihrer Organisation trennen.

**Anmerkung**  
Wenn Sie die [zentrale Konfiguration verwenden, funktioniert](central-configuration-intro.md) die Trennung anders. Sie können eine Konfigurationsrichtlinie erstellen, die Security Hub CSPM in einem oder mehreren zentral verwalteten Mitgliedskonten deaktiviert. Danach sind diese Konten immer noch Teil der Organisation, generieren aber keine CSPM-Ergebnisse von Security Hub. Wenn Sie die zentrale Konfiguration verwenden, aber auch über manuell eingeladene Mitgliedskonten verfügen, können Sie die Zuordnung zu einem oder mehreren manuell eingeladenen Konten aufheben.

Mitgliedskonten, die über verwaltet werden, AWS Organizations können ihre Konten nicht vom Administratorkonto trennen. Nur das Administratorkonto kann die Zuordnung eines Mitgliedskontos aufheben.

Durch das Aufheben der Zuordnung zu einem Mitgliedskonto wird das Konto nicht geschlossen. Stattdessen wird das Mitgliedskonto aus der Organisation entfernt. Das getrennte Mitgliedskonto wird zu einem eigenständigen Konto AWS-Konto , das nicht mehr von der Security Hub CSPM-Integration mit verwaltet wird. AWS Organizations

Wählen Sie Ihre bevorzugte Methode und folgen Sie den Schritten, um ein Mitgliedskonto von der Organisation zu trennen.

------
#### [ Security Hub CSPM console ]

**Um ein Mitgliedskonto von der Organisation zu trennen**

1. Öffnen Sie die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Melden Sie sich mit den Anmeldeinformationen des delegierten Administratorkontos an.

1. Wählen Sie im Navigationsbereich unter **Einstellungen** die Option **Konfiguration** aus.

1. Wählen Sie im Abschnitt **Konten** die Konten aus, deren Verknüpfung Sie aufheben möchten. Wenn Sie die zentrale Konfiguration verwenden, können Sie auf der Registerkarte ein manuell eingerichtetes Konto auswählen, dessen Verbindung aufgehoben werden soll. `Invitation accounts` Diese Registerkarte ist nur sichtbar, wenn Sie die zentrale Konfiguration verwenden.

1. Wählen Sie **Aktionen** und anschließend **Konto trennen aus**.

------
#### [ Security Hub CSPM API ]

**Um ein Mitgliedskonto von der Organisation zu trennen**

Rufen Sie die [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisassociateMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisassociateMembers.html)API vom delegierten Administratorkonto aus auf. Sie müssen das angeben, damit die AWS-Konto IDs Mitgliedskonten die Verknüpfung aufheben können. Rufen Sie die API auf, um eine Liste der Mitgliedskonten anzuzeigen. [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListMembers.html)

------
#### [ AWS CLI ]

**Um ein Mitgliedskonto von der Organisation zu trennen**

Führen Sie den `disassociate-members` Befehl [>](https://docs.aws.amazon.com/cli/latest/reference/securityhub/disassociate-members.html) vom delegierten Administratorkonto aus. Sie müssen das angeben, damit die AWS-Konto IDs Mitgliedskonten die Verknüpfung aufheben können. Um eine Liste der Mitgliedskonten anzuzeigen, führen Sie den `list-members` Befehl [>](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-members.html) aus.

```
aws securityhub disassociate-members --account-ids "<accountIds>"
```

**Beispiel**

```
aws securityhub disassociate-members --account-ids "123456789111" "123456789222"
```

------

 Sie können auch die AWS Organizations Konsole oder verwenden AWS CLI, AWS SDKs um die Zuordnung eines Mitgliedskontos zu Ihrer Organisation aufzuheben. Weitere Informationen finden Sie im *AWS Organizations Benutzerhandbuch* unter [Entfernen eines Mitgliedskontos aus Ihrer Organisation](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_remove.html).