Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Verwaltung von Administrator- und Mitgliedskonten in Security Hub CSPM
Wenn Ihre AWS Umgebung über mehrere Konten verfügt, können Sie die Konten, die AWS Security Hub CSPM verwenden, als Mitgliedskonten behandeln und sie einem einzigen Administratorkonto zuordnen. Der Administrator kann Ihren allgemeinen Sicherheitsstatus überwachen und [zulässige Aktionen](securityhub-accounts-allowed-actions.md) für Mitgliedskonten ergreifen. Der Administrator kann auch verschiedene Aufgaben zur Kontoverwaltung und -verwaltung in großem Umfang ausführen, z. B. die Überwachung der geschätzten Nutzungskosten und die Bewertung der Kontokontingente.
Sie können Mitgliedskonten auf zwei Arten einem Administrator zuordnen, indem Sie Security Hub CSPM in Security Hub CSPM integrieren AWS Organizations oder indem Sie Mitgliedschaftseinladungen manuell in Security Hub CSPM senden und annehmen.
## Konten verwalten mit AWS Organizations
AWS Organizations ist ein globaler Kontoverwaltungsdienst, mit dem AWS Administratoren mehrere Konten konsolidieren und verwalten können. AWS-Konten Er bietet Funktionen zur Kontoverwaltung und konsolidierten Fakturierung, die auf die Erfüllung von Haushalts-, Sicherheits- und Compliance-Anforderungen zugeschnitten sind. Es wird ohne zusätzliche Kosten angeboten und lässt sich in mehrere integrieren AWS-Services, darunter AWS Security Hub CSPM, Amazon Macie und Amazon. GuardDuty Weitere Informationen finden Sie im [https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html).
Wenn Sie Security Hub CSPM und integrieren AWS Organizations, bestimmt das Verwaltungskonto der Organizations einen delegierten Security Hub CSPM-Administrator. Security Hub CSPM wird automatisch in dem delegierten Administratorkonto aktiviert, AWS-Region in dem es zugewiesen wurde.
[Nach der Benennung eines delegierten Administrators empfehlen wir, Konten in Security Hub CSPM mit zentraler Konfiguration zu verwalten.](central-configuration-intro.md) Dies ist die effizienteste Methode, Security Hub CSPM individuell anzupassen und eine angemessene Sicherheitsabdeckung für Ihr Unternehmen sicherzustellen.
Durch die zentrale Konfiguration kann der delegierte Administrator Security Hub CSPM für mehrere Unternehmenskonten und Regionen anpassen, anstatt es zu konfigurieren. Region-by-Region Sie können eine Konfigurationsrichtlinie für Ihre gesamte Organisation oder unterschiedliche Konfigurationsrichtlinien für verschiedene Konten und erstellen. OUs Die Richtlinien geben an, ob Security Hub CSPM in den zugehörigen Konten aktiviert oder deaktiviert ist und welche Sicherheitsstandards und Kontrollen aktiviert sind.
Der delegierte Administrator kann Konten als zentral verwaltete oder selbstverwaltete Konten festlegen. Zentral verwaltete Konten können nur vom delegierten Administrator konfiguriert werden. Selbstverwaltete Konten können ihre eigenen Einstellungen angeben.
*Wenn Sie sich nicht für die zentrale Konfiguration entscheiden, hat der delegierte Administrator eine eingeschränktere Möglichkeit, Security Hub CSPM zu konfigurieren, was als lokale Konfiguration bezeichnet wird.* Bei der lokalen Konfiguration kann der delegierte Administrator Security Hub CSPM und [Standardsicherheitsstandards](securityhub-auto-enabled-standards.md) automatisch in neuen Unternehmenskonten in der aktuellen Region aktivieren. Bestehende Konten verwenden diese Einstellungen jedoch nicht, sodass es nach dem Beitritt eines Kontos zur Organisation zu Konfigurationsabweichungen kommen kann.
Abgesehen von diesen neuen Kontoeinstellungen ist die lokale Konfiguration konto- und regionsspezifisch. Jedes Organisationskonto muss den Security Hub CSPM-Dienst, die Standards und Kontrollen in jeder Region separat konfigurieren. Die lokale Konfiguration unterstützt auch nicht die Verwendung von Konfigurationsrichtlinien.
## Manuelles Verwalten von Konten auf Einladung
Sie müssen Mitgliedskonten auf Einladung manuell in Security Hub CSPM verwalten, wenn Sie ein eigenständiges Konto haben oder wenn Sie nicht in Organizations integriert sind. Ein eigenständiges Konto kann nicht in Organizations integriert werden, daher muss es manuell verwaltet werden. Wir empfehlen, die zentrale Konfiguration zu integrieren AWS Organizations und diese zu verwenden, wenn Sie in future weitere Konten hinzufügen.
Wenn Sie die manuelle Kontoverwaltung verwenden, bestimmen Sie ein Konto als Security Hub CSPM-Administrator. Das Administratorkonto kann Daten in Mitgliedskonten einsehen und bestimmte Maßnahmen ergreifen, wenn die Ergebnisse des Mitgliedskontos berücksichtigt werden. Der Security Hub CSPM-Administrator lädt andere Konten als Mitgliedskonten ein, und die Beziehung zwischen Administrator und Mitglied wird hergestellt, wenn ein potenzielles Mitgliedskonto die Einladung annimmt.
Die manuelle Kontoverwaltung unterstützt die Verwendung von Konfigurationsrichtlinien nicht. Ohne Konfigurationsrichtlinien kann der Administrator Security Hub CSPM nicht zentral anpassen, indem er variable Einstellungen für verschiedene Konten konfiguriert. Stattdessen muss jedes Organisationskonto Security Hub CSPM für sich selbst in jeder Region separat aktivieren und konfigurieren. Dies kann es schwieriger und zeitaufwändiger machen, eine angemessene Sicherheitsabdeckung für alle Konten und Regionen sicherzustellen, in denen Sie Security Hub CSPM verwenden. Dies kann auch zu Konfigurationsabweichungen führen, da Mitgliedskonten ihre eigenen Einstellungen ohne Eingaben des Administrators angeben können.
Informationen zur Verwaltung von Konten auf Einladung finden Sie unter[Konten auf Einladung in Security Hub CSPM verwalten](account-management-manual.md).
# Empfehlungen für die Verwaltung mehrerer Konten in Security Hub CSPM
Im folgenden Abschnitt werden einige Einschränkungen und Empfehlungen zusammengefasst, die Sie bei der Verwaltung von Mitgliedskonten in AWS Security Hub CSPM beachten sollten.
## Maximale Anzahl von Mitgliedern pro Konto
Wenn Sie die Integration mit verwenden AWS Organizations, unterstützt Security Hub CSPM jeweils bis zu 10.000 Mitgliedskonten pro delegiertem Administratorkonto. AWS-Region Wenn Sie Security Hub CSPM manuell aktivieren und verwalten, unterstützt Security Hub CSPM bis zu 1.000 Mitgliedskonteneinladungen pro Administratorkonto in jeder Region.
## Beziehungen zwischen Administrator und Mitglied erstellen
**Anmerkung**
Wenn Sie die Security Hub CSPM-Integration mit AWS Organizations verwenden und keine Mitgliedskonten manuell eingeladen haben, gilt dieser Abschnitt nicht für Sie.
Ein Konto kann nicht gleichzeitig ein Administratorkonto und ein Mitgliedskonto sein.
Ein Mitgliedskonto kann nur einem Administratorkonto zugeordnet werden. Wenn ein Organisationskonto durch das Security Hub CSPM-Administratorkonto aktiviert wird, kann das Konto keine Einladung von einem anderen Konto annehmen. Wenn ein Konto bereits eine Einladung angenommen hat, kann das Konto nicht durch das Security Hub CSPM-Administratorkonto für die Organisation aktiviert werden. Es kann auch keine Einladungen von anderen Konten empfangen.
Für den manuellen Einladungsprozess ist die Annahme einer Mitgliedschaftseinladung optional.
### Mitgliedschaft durch AWS Organizations
Wenn Sie Security Hub CSPM mit integrieren AWS Organizations, kann das Verwaltungskonto der Organizations ein delegiertes Administratorkonto (DA) für Security Hub CSPM festlegen. Das Organisationsverwaltungskonto kann in Organizations nicht als DA festgelegt werden. Dies ist in Security Hub CSPM zwar zulässig, wir empfehlen jedoch, dass das Verwaltungskonto der Organizations *nicht das DA* sein sollte.
Wir empfehlen, dass Sie in allen Regionen dasselbe DA-Konto wählen. Wenn Sie die [zentrale Konfiguration](central-configuration-intro.md) verwenden, richtet Security Hub CSPM in allen Regionen, in denen Sie Security Hub CSPM für Ihre Organisation konfigurieren, dasselbe DA-Konto ein.
Wir empfehlen außerdem, dass Sie für alle AWS Sicherheits- und Compliance-Dienste dasselbe DA-Konto wählen, damit Sie sicherheitsrelevante Probleme von einem zentralen Punkt aus verwalten können.
### Mitgliedschaft auf Einladung
Bei Mitgliedskonten, die auf Einladung erstellt wurden, wird die Zuordnung zwischen Administrator und Mitgliedskonto nur in der Region erstellt, aus der die Einladung gesendet wurde. Das Administratorkonto muss Security Hub CSPM in jeder Region aktivieren, in der Sie es verwenden möchten. Das Administratorkonto lädt dann jedes Konto ein, ein Mitgliedskonto in dieser Region zu werden.
**Anmerkung**
Wir empfehlen, AWS Organizations anstelle von Security Hub CSPM-Einladungen zu verwenden, um Ihre Mitgliedskonten zu verwalten.
## Koordination der Administratorkonten für alle Dienste
Security Hub CSPM fasst Ergebnisse verschiedener AWS Dienste wie Amazon GuardDuty, Amazon Inspector und Amazon Macie zusammen. Security Hub CSPM ermöglicht es Benutzern auch, von einem GuardDuty Ergebnis zu einer Untersuchung in Amazon Detective überzugehen.
Die Administrator-Mitglieds-Beziehungen, die Sie in diesen anderen Diensten einrichten, gelten jedoch nicht automatisch für Security Hub CSPM. Security Hub CSPM empfiehlt, dass Sie für all diese Dienste dasselbe Konto wie das Administratorkonto verwenden. Bei diesem Administratorkonto sollte es sich um ein Konto handeln, das für Sicherheitstools verantwortlich ist. Dasselbe Konto sollte auch das Aggregatorkonto für AWS Config sein.
Beispielsweise kann ein Benutzer des GuardDuty Administratorkontos A die Ergebnisse für die GuardDuty Mitgliedskonten B und C auf der GuardDuty Konsole sehen. Wenn Konto A dann Security Hub CSPM aktiviert, sehen Benutzer von Konto A *nicht* automatisch GuardDuty Ergebnisse für die Konten B und C in Security Hub CSPM. Für diese Konten ist auch eine Beziehung zwischen Security Hub CSPM-Administrator und Mitglied erforderlich.
Machen Sie dazu Konto A zum Security Hub CSPM-Administratorkonto und aktivieren Sie die Konten B und C als Security Hub CSPM-Mitgliedskonten.
# Verwaltung von Security Hub CSPM für mehrere Konten mit AWS Organizations
Sie können AWS Security Hub CSPM in Security Hub CSPM integrieren und dann Security Hub CSPM für Konten in Ihrer Organisation verwalten. AWS Organizations
Um Security Hub CSPM zu integrieren AWS Organizations, erstellen Sie eine Organisation in. AWS Organizations Das Organisationsverwaltungskonto bestimmt ein Konto als delegierten Security Hub CSPM-Administrator für die Organisation. Der delegierte Administrator kann dann Security Hub CSPM für andere Konten in der Organisation aktivieren, diese Konten als Security Hub CSPM-Mitgliedskonten hinzufügen und zulässige Aktionen für die Mitgliedskonten ausführen. Der delegierte Security Hub CSPM-Administrator kann Security Hub CSPM für bis zu 10.000 Mitgliedskonten aktivieren und verwalten.
[Der Umfang der Konfigurationsmöglichkeiten des delegierten Administrators hängt davon ab, ob Sie die zentrale Konfiguration verwenden.](central-configuration-intro.md) Wenn die zentrale Konfiguration aktiviert ist, müssen Sie Security Hub CSPM nicht in jedem Mitgliedskonto separat konfigurieren und. AWS-Region Der delegierte Administrator kann spezifische Security Hub CSPM-Einstellungen in bestimmten Mitgliedskonten und Organisationseinheiten (OUs) regionsübergreifend durchsetzen.
Das delegierte Security Hub-CSPM-Administratorkonto kann die folgenden Aktionen für Mitgliedskonten ausführen:
+ Wenn Sie die zentrale Konfiguration verwenden, konfigurieren Sie Security Hub CSPM zentral für Mitgliedskonten und OUs erstellen Sie Security Hub CSPM-Konfigurationsrichtlinien. Konfigurationsrichtlinien können verwendet werden, um Security Hub CSPM zu aktivieren und zu deaktivieren, Standards zu aktivieren und zu deaktivieren und Kontrollen zu aktivieren und zu deaktivieren.
+ Behandeln Sie *neue* Konten automatisch als Security Hub CSPM-Mitgliedskonten, wenn sie der Organisation beitreten. Wenn Sie die zentrale Konfiguration verwenden, umfasst eine Konfigurationsrichtlinie, die einer Organisationseinheit zugeordnet ist, bestehende und neue Konten, die Teil der Organisationseinheit sind.
+ Behandeln Sie *bestehende* Organisationskonten als Security Hub CSPM-Mitgliedskonten. Dies geschieht automatisch, wenn Sie die zentrale Konfiguration verwenden.
+ Trennen Sie die Zuordnung von Mitgliedskonten, die zur Organisation gehören. Wenn Sie die zentrale Konfiguration verwenden, können Sie die Zuordnung eines Mitgliedskontos erst aufheben, nachdem Sie es als selbstverwaltet gekennzeichnet haben. Alternativ können Sie eine Konfigurationsrichtlinie, die Security Hub CSPM deaktiviert, bestimmten zentral verwalteten Mitgliedskonten zuordnen.
Wenn Sie sich nicht für die zentrale Konfiguration entscheiden, verwendet Ihr Unternehmen den Standardkonfigurationstyp, die als lokale Konfiguration bezeichnet wird. Bei der lokalen Konfiguration hat der delegierte Administrator eingeschränkte Möglichkeiten, Einstellungen in Mitgliedskonten durchzusetzen. Weitere Informationen finden Sie unter [Grundlegendes zur lokalen Konfiguration in Security Hub CSPM](local-configuration.md).
Eine vollständige Liste der Aktionen, die der delegierte Administrator an Mitgliedskonten ausführen kann, finden Sie unter. [Zulässige Aktionen von Administrator- und Mitgliedskonten in Security Hub CSPM](securityhub-accounts-allowed-actions.md)
In den Themen dieses Abschnitts wird erklärt, wie Security Hub CSPM in Security Hub CSPM für Konten in einer Organisation integriert AWS Organizations und verwaltet wird. Wo relevant, werden in jedem Abschnitt die Verwaltungsvorteile und Unterschiede für Benutzer der zentralen Konfiguration aufgeführt.
**Topics**
+ [Integration von Security Hub CSPM mit AWS Organizations](designate-orgs-admin-account.md)
+ [Automatisches Aktivieren von Security Hub CSPM in neuen Organisationskonten](accounts-orgs-auto-enable.md)
+ [Manuelles Aktivieren von Security Hub CSPM in neuen Organisationskonten](orgs-accounts-enable.md)
+ [Trennung der Security Hub CSPM-Mitgliedskonten von Ihrer Organisation](accounts-orgs-disassociate.md)
# Integration von Security Hub CSPM mit AWS Organizations
Um AWS Security Hub CSPM und zu integrieren AWS Organizations, erstellen Sie eine Organisation in Organizations und verwenden das Organisationsverwaltungskonto, um ein delegiertes Security Hub CSPM-Administratorkonto festzulegen. Dadurch wird Security Hub CSPM als vertrauenswürdiger Dienst in Organizations aktiviert. [Es aktiviert auch Security Hub CSPM in der aktuellen Version AWS-Region für das delegierte Administratorkonto und ermöglicht es dem delegierten Administrator, Security Hub CSPM für Mitgliedskonten zu aktivieren, Daten in Mitgliedskonten anzuzeigen und andere zulässige Aktionen für Mitgliedskonten durchzuführen.](securityhub-accounts-allowed-actions.md)
Wenn Sie die [zentrale Konfiguration](central-configuration-intro.md) verwenden, kann der delegierte Administrator auch Security Hub CSPM-Konfigurationsrichtlinien erstellen, die angeben, wie der Security Hub CSPM-Dienst, die Standards und Kontrollen in Organisationskonten konfiguriert werden sollen.
## Erstellen einer Organisation
Eine Organisation ist eine Entität, die Sie erstellen, um Ihre Organisation zu konsolidieren, AWS-Konten sodass Sie sie als eine Einheit verwalten können.
Sie können eine Organisation entweder mithilfe der AWS Organizations Konsole oder mithilfe eines Befehls aus dem SDK AWS CLI APIs oder einem der SDKs erstellen. Ausführliche Anweisungen finden [Sie im *AWS Organizations Benutzerhandbuch* unter Organisation erstellen](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_create.html).
Sie können AWS Organizations damit alle Konten in Ihrer Organisation zentral anzeigen und verwalten. Eine Organisation besteht aus einem Verwaltungskonto und gegebenenfalls Mitgliedskonten. Sie können die Konten in einer hierarchischen, baumähnlichen Struktur mit einem Stamm an der Spitze und Organisationseinheiten (OUs) unter dem Stamm organisieren. Jedes Konto kann sich direkt unter dem Stamm befinden oder einem der Konten in der OUs Hierarchie zugeordnet werden. Eine OU ist ein Container für bestimmte Konten. Sie können beispielsweise eine Organisationseinheit für Finanzen erstellen, die alle Konten im Zusammenhang mit Finanzoperationen umfasst.
## Empfehlungen für die Auswahl des delegierten Security Hub CSPM-Administrators
Wenn Sie über ein Administratorkonto aus dem manuellen Einladungsprozess verfügen und zur Kontoverwaltung mit wechseln, empfehlen wir AWS Organizations, dieses Konto als delegierten Security Hub CSPM-Administrator festzulegen.
Obwohl das Security Hub CSPM APIs und die Konsole es dem Organisationsverwaltungskonto ermöglichen, der delegierte Security Hub CSPM-Administrator zu sein, empfehlen wir, zwei verschiedene Konten zu wählen. Dies liegt daran, dass Benutzer, die Zugriff auf das Organisationsverwaltungskonto haben, um die Abrechnung zu verwalten, sich wahrscheinlich von Benutzern unterscheiden, die für die Sicherheitsverwaltung Zugriff auf Security Hub CSPM benötigen.
Wir empfehlen, in allen Regionen denselben delegierten Administrator zu verwenden. Wenn Sie sich für die zentrale Konfiguration entscheiden, bestimmt Security Hub CSPM automatisch denselben delegierten Administrator in Ihrer Heimatregion und allen verknüpften Regionen.
## Überprüfen Sie die Berechtigungen zur Konfiguration des delegierten Administrators
Um ein delegiertes Security Hub CSPM-Administratorkonto zuzuweisen und zu entfernen, muss das Organisationsverwaltungskonto über Berechtigungen für die `DisableOrganizationAdminAccount` Aktionen `EnableOrganizationAdminAccount` und in Security Hub CSPM verfügen. Das Verwaltungskonto für Organizations muss auch über Administratorberechtigungen für Organizations verfügen.
Um alle erforderlichen Berechtigungen zu gewähren, fügen Sie dem IAM-Prinzipal für das Organisationsverwaltungskonto die folgenden von Security Hub verwalteten CSPM-Richtlinien hinzu:
+ [https://docs.aws.amazon.com/securityhub/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-awssecurityhubfullaccess](https://docs.aws.amazon.com/securityhub/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-awssecurityhubfullaccess)
+ [https://docs.aws.amazon.com/securityhub/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-awssecurityhuborganizationsaccess](https://docs.aws.amazon.com/securityhub/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-awssecurityhuborganizationsaccess)
## Benennen des delegierten Administrators
Um das delegierte Security Hub CSPM-Administratorkonto festzulegen, können Sie die Security Hub CSPM-Konsole, die Security Hub CSPM-API oder verwenden. AWS CLI Security Hub CSPM legt den delegierten Administrator AWS-Region nur in der aktuellen Region fest, und Sie müssen die Aktion in anderen Regionen wiederholen. Wenn Sie die zentrale Konfiguration verwenden, richtet Security Hub CSPM automatisch denselben delegierten Administrator in der Heimatregion und den verknüpften Regionen ein.
Das Organisationsverwaltungskonto muss Security Hub CSPM nicht aktivieren, um das delegierte Security Hub CSPM-Administratorkonto zu bestimmen.
Wir empfehlen, dass das Organisationsverwaltungskonto nicht das delegierte Security Hub CSPM-Administratorkonto ist. Wenn Sie jedoch das Organisationsverwaltungskonto als delegierten Security Hub CSPM-Administrator wählen, muss Security Hub CSPM für das Verwaltungskonto aktiviert sein. Wenn Security Hub CSPM für das Verwaltungskonto nicht aktiviert ist, müssen Sie Security Hub CSPM manuell dafür aktivieren. Security Hub CSPM kann nicht automatisch für das Organisationsverwaltungskonto aktiviert werden.
Sie müssen den delegierten Security Hub CSPM-Administrator mit einer der folgenden Methoden benennen. Die Benennung des delegierten Security Hub CSPM-Administrators mit Organizations spiegelt APIs sich nicht in Security Hub CSPM wider.
Wählen Sie Ihre bevorzugte Methode und folgen Sie den Schritten zur Benennung des delegierten Security Hub CSPM-Administratorkontos.
------
#### [ Security Hub CSPM console ]
**Um den delegierten Administrator beim Onboarding zu bestimmen**
1. Öffnen Sie die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. Wählen Sie **Gehe zu Security Hub CSPM**. Sie werden aufgefordert, sich beim Organisationsverwaltungskonto anzumelden.
1. Geben Sie auf der Seite **Delegierten Administrator benennen** im Abschnitt **Delegiertes Administratorkonto** das delegierte Administratorkonto an. Wir empfehlen, denselben delegierten Administrator zu wählen, den Sie für andere AWS Sicherheits- und Compliance-Dienste eingerichtet haben.
1. Wählen Sie **Delegierten Administrator festlegen** aus. Sie werden aufgefordert, sich mit dem delegierten Administratorkonto anzumelden (falls Sie dies noch nicht getan haben), um das Onboarding mit der zentralen Konfiguration fortzusetzen. **Wenn Sie die zentrale Konfiguration nicht starten möchten, wählen Sie Abbrechen.** Ihr delegierter Administrator ist eingerichtet, aber Sie verwenden die zentrale Konfiguration noch nicht.
****Um den delegierten Administrator auf der Seite „Einstellungen“ zu bestimmen****
1. Öffnen Sie die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. **Wählen Sie im Security Hub CSPM-Navigationsbereich die Option Einstellungen aus.** **Wählen Sie dann Allgemein.**
1. Wenn derzeit ein Security Hub CSPM-Administratorkonto zugewiesen ist, müssen Sie das aktuelle Konto entfernen, bevor Sie ein neues Konto einrichten können.
**Um das aktuelle Konto zu entfernen, **wählen Sie unter Delegierter Administrator** die Option Entfernen aus.**
1. Geben Sie die Konto-ID des Kontos ein, das Sie als **Security Hub CSPM-Administratorkonto** festlegen möchten.
Sie müssen in allen Regionen dasselbe Security Hub CSPM-Administratorkonto angeben. Wenn Sie ein Konto angeben, das sich von dem in anderen Regionen angegebenen Konto unterscheidet, gibt die Konsole einen Fehler zurück.
1. Wählen Sie **Delegieren**.
------
#### [ Security Hub CSPM API, AWS CLI ]
Verwenden Sie vom Organisationsverwaltungskonto aus den [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_EnableOrganizationAdminAccount.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_EnableOrganizationAdminAccount.html)Betrieb der Security Hub CSPM-API. Wenn Sie den verwenden AWS CLI, führen Sie den [https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-organization-admin-account.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-organization-admin-account.html)Befehl aus. Geben Sie die AWS-Konto ID des delegierten Security Hub CSPM-Administrators an.
Im folgenden Beispiel wird der delegierte Security Hub CSPM-Administrator benannt. Dieses Beispiel ist für Linux, macOS oder Unix formatiert und verwendet den umgekehrten Schrägstrich (\$1) zur Verbesserung der Lesbarkeit.
```
$ aws securityhub enable-organization-admin-account --admin-account-id 123456789012
```
------
# Den delegierten Administrator entfernen oder ändern
Nur das Organisationsverwaltungskonto kann das delegierte Security Hub CSPM-Administratorkonto entfernen.
Um den delegierten Security Hub CSPM-Administrator zu ändern, müssen Sie zuerst das aktuelle delegierte Administratorkonto entfernen und dann ein neues festlegen.
**Warnung**
Wenn Sie die [zentrale Konfiguration](central-configuration-intro.md) verwenden, können Sie die Security Hub CSPM-Konsole oder Security Hub CSPM nicht verwenden, um das delegierte Administratorkonto APIs zu ändern oder zu entfernen. Wenn das Organisationsverwaltungskonto die AWS Organizations Konsole verwendet oder AWS Organizations APIs um den delegierten Security Hub CSPM-Administrator zu ändern oder zu entfernen, stoppt Security Hub CSPM automatisch die zentrale Konfiguration und löscht Ihre Konfigurationsrichtlinien und Richtlinienzuordnungen. Mitgliedskonten behalten die Konfigurationen bei, die sie hatten, bevor der delegierte Administrator geändert oder entfernt wurde.
Wenn Sie die Security Hub CSPM-Konsole verwenden, um den delegierten Administrator in einer Region zu entfernen, wird er automatisch in allen Regionen entfernt.
Die Security Hub CSPM API entfernt nur das delegierte Security Hub CSPM-Administratorkonto aus der Region, in der der API-Aufruf oder -Befehl ausgeführt wird. Sie müssen die Aktion in anderen Regionen wiederholen.
Wenn Sie das delegierte Security Hub CSPM-Administratorkonto mithilfe der Organizations API entfernen, wird es automatisch in allen Regionen entfernt.
## Den delegierten Administrator entfernen (Organizations API, AWS CLI)
Sie können Organizations verwenden, um den delegierten Security Hub CSPM-Administrator in allen Regionen zu entfernen.
Wenn Sie die zentrale Konfiguration zur Verwaltung von Konten verwenden, führt das Entfernen des delegierten Administratorkontos zum Löschen Ihrer Konfigurationsrichtlinien und Richtlinienverknüpfungen. Mitgliedskonten behalten die Konfigurationen bei, die sie hatten, bevor der delegierte Administrator geändert oder entfernt wurde. Diese Konten können jedoch nicht mehr mit dem entfernten delegierten Administratorkonto verwaltet werden. Sie werden zu selbstverwalteten Konten, die in jeder Region separat konfiguriert werden müssen.
Wählen Sie Ihre bevorzugte Methode und folgen Sie den Anweisungen, um das delegierte Security Hub CSPM-Administratorkonto mit zu entfernen. AWS Organizations
------
#### [ Organizations API, AWS CLI ]
**So entfernen Sie den delegierten Security Hub CSPM-Administrator**
Verwenden Sie vom Organisationsverwaltungskonto aus den [https://docs.aws.amazon.com/organizations/latest/APIReference/API_DeregisterDelegatedAdministrator.html](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DeregisterDelegatedAdministrator.html)Betrieb der Organisations-API. Wenn Sie den verwenden AWS CLI, führen Sie den [deregister-delegated-administrator](https://docs.aws.amazon.com/cli/latest/reference/organizations/deregister-delegated-administrator.html)Befehl aus. Geben Sie die Konto-ID des delegierten Administrators und den Dienstprinzipal für Security Hub CSPM an, nämlich. `securityhub.amazonaws.com`
Im folgenden Beispiel wird der delegierte Security Hub CSPM-Administrator entfernt. Dieses Beispiel ist für Linux, macOS oder Unix formatiert und verwendet den umgekehrten Schrägstrich (\$1) zur Verbesserung der Lesbarkeit.
```
$ aws organizations deregister-delegated-administrator --account-id 123456789012 --service-principal securityhub.amazonaws.com
```
------
## Den delegierten Administrator entfernen (Security Hub CSPM-Konsole)
Sie können die Security Hub CSPM-Konsole verwenden, um den delegierten Security Hub CSPM-Administrator in allen Regionen zu entfernen.
Wenn das delegierte Security Hub CSPM-Administratorkonto entfernt wird, werden die Mitgliedskonten vom entfernten delegierten Security Hub CSPM-Administratorkonto getrennt.
Security Hub CSPM ist weiterhin in den Mitgliedskonten aktiviert. Sie werden zu eigenständigen Konten, bis ein neuer Security Hub CSPM-Administrator sie als Mitgliedskonten aktiviert.
Wenn das Organisationsverwaltungskonto kein aktiviertes Konto in Security Hub CSPM ist, verwenden Sie die Option auf der Seite **Willkommen bei Security Hub CSPM**.
**So entfernen Sie das delegierte Security Hub CSPM-Administratorkonto von der Seite **Willkommen bei Security** Hub CSPM**
1. Öffnen Sie die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. Wählen Sie **Gehe zu Security Hub**.
1. Wählen Sie unter **Delegierter Administrator** die Option **Entfernen** aus.
Wenn das Organisationsverwaltungskonto ein aktiviertes Konto in **Security Hub** ist, verwenden Sie die Option auf der Registerkarte **Allgemein** der Seite **Einstellungen**.
****So entfernen Sie das delegierte Security Hub CSPM-Administratorkonto von der Seite Einstellungen****
1. Öffnen Sie die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. **Wählen Sie im Security Hub CSPM-Navigationsbereich die Option Einstellungen aus.** **Wählen Sie dann Allgemein.**
1. Wählen Sie unter **Delegierter Administrator** die Option **Entfernen** aus.
## Den delegierten Administrator entfernen (Security Hub CSPM API,) AWS CLI
Sie können die Security Hub CSPM-API oder die Security Hub CSPM-Operationen verwenden, AWS CLI um den delegierten Security Hub CSPM-Administrator zu entfernen. Wenn Sie den delegierten Administrator mit einer dieser Methoden entfernen, wird er nur in der Region entfernt, in der der API-Aufruf oder -Befehl ausgeführt wurde. Security Hub CSPM aktualisiert keine anderen Regionen und entfernt auch nicht das delegierte Administratorkonto in. AWS Organizations
Wählen Sie Ihre bevorzugte Methode und gehen Sie wie folgt vor, um das delegierte Security Hub CSPM-Administratorkonto bei Security Hub CSPM zu entfernen.
------
#### [ Security Hub CSPM API, AWS CLI ]
**So entfernen Sie den delegierten Security Hub CSPM-Administrator**
Verwenden Sie vom Organisationsverwaltungskonto aus den [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisableOrganizationAdminAccount.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisableOrganizationAdminAccount.html)Betrieb der Security Hub CSPM-API. Wenn Sie den verwenden AWS CLI, führen Sie den [https://docs.aws.amazon.com/cli/latest/reference/securityhub/disable-organization-admin-account.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/disable-organization-admin-account.html)Befehl aus. Geben Sie die Konto-ID des delegierten Security Hub CSPM-Administrators an.
Im folgenden Beispiel wird der delegierte Security Hub CSPM-Administrator entfernt. Dieses Beispiel ist für Linux, macOS oder Unix formatiert und verwendet den umgekehrten Schrägstrich (\$1) zur Verbesserung der Lesbarkeit.
```
$ aws securityhub disable-organization-admin-account --admin-account-id 123456789012
```
------
# Deaktivieren der Security Hub CSPM-Integration mit AWS Organizations
Nachdem eine AWS Organizations Organisation in AWS Security Hub CSPM integriert wurde, kann das Verwaltungskonto der Organizations die Integration anschließend deaktivieren. Als Benutzer des Organisationsverwaltungskontos können Sie dies tun, indem Sie den vertrauenswürdigen Zugriff für Security Hub CSPM in deaktivieren. AWS Organizations
Wenn Sie den vertrauenswürdigen Zugriff für Security Hub CSPM deaktivieren, passiert Folgendes:
+ Security Hub CSPM verliert seinen Status als vertrauenswürdiger Dienst in. AWS Organizations
+ Das delegierte Security Hub CSPM-Administratorkonto verliert den Zugriff auf Security Hub CSPM-Einstellungen, Daten und Ressourcen für alle Security Hub CSPM-Mitgliedskonten insgesamt. AWS-Regionen
+ Wenn Sie die [zentrale Konfiguration](central-configuration-intro.md) verwendet haben, verwendet Security Hub CSPM sie automatisch nicht mehr für Ihr Unternehmen. Ihre Konfigurationsrichtlinien und Richtlinienzuordnungen werden gelöscht. Konten behalten die Konfigurationen bei, die sie hatten, bevor Sie den vertrauenswürdigen Zugriff deaktiviert haben.
+ Alle Security Hub CSPM-Mitgliedskonten werden zu eigenständigen Konten und behalten ihre aktuellen Einstellungen bei. Wenn Security Hub CSPM für ein Mitgliedskonto in einer oder mehreren Regionen aktiviert wurde, ist Security Hub CSPM weiterhin für das Konto in diesen Regionen aktiviert. Die aktivierten Standards und Kontrollen bleiben ebenfalls unverändert. Sie können diese Einstellungen für jedes Konto und jede Region separat ändern. Das Konto ist jedoch in keiner Region mehr einem delegierten Administrator zugeordnet.
Weitere Informationen zu den Ergebnissen der Deaktivierung des Zugriffs auf vertrauenswürdige Dienste finden Sie AWS-Services im *AWS Organizations Benutzerhandbuch* [unter AWS Organizations Zusammen mit anderen Benutzern verwenden](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html).
Um den vertrauenswürdigen Zugriff zu deaktivieren, können Sie die AWS Organizations Konsole, die Organisations-API oder die verwenden AWS CLI. Nur ein Benutzer des Organisationsverwaltungskontos kann den vertrauenswürdigen Dienstzugriff für Security Hub CSPM deaktivieren. Einzelheiten zu den Berechtigungen, die Sie benötigen, finden Sie im *AWS Organizations Benutzerhandbuch* unter [Erforderliche Berechtigungen zur Deaktivierung des vertrauenswürdigen Zugriffs](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html#orgs_trusted_access_disable_perms).
Bevor Sie den vertrauenswürdigen Zugriff deaktivieren, empfehlen wir, mit dem delegierten Administrator Ihrer Organisation zusammenzuarbeiten, um Security Hub CSPM in Mitgliedskonten zu deaktivieren und die Security Hub CSPM-Ressourcen in diesen Konten zu bereinigen.
Wählen Sie Ihre bevorzugte Methode und folgen Sie den Schritten, um den vertrauenswürdigen Zugriff für Security Hub CSPM zu deaktivieren.
------
#### [ Organizations console ]
**So deaktivieren Sie den vertrauenswürdigen Zugriff für Security Hub CSPM**
1. Melden Sie sich AWS-Managementkonsole mit den Anmeldeinformationen des AWS Organizations Verwaltungskontos an.
1. Öffnen Sie die Organisationskonsole unter [https://console.aws.amazon.com/organizations/](https://console.aws.amazon.com/organizations/).
1. Wählen Sie im Navigationsbereich **Services**.
1. Wählen Sie unter **Integrierte Dienste** die Option **AWS Security Hub CSPM** aus.
1. Wählen Sie **Vertrauenswürdigen Zugriff deaktivieren**.
1. Bestätigen Sie, dass Sie den vertrauenswürdigen Zugriff deaktivieren möchten.
------
#### [ Organizations API ]
**So deaktivieren Sie den vertrauenswürdigen Zugriff für Security Hub CSPM**
Rufen [Sie den Vorgang „AWSServiceZugriff deaktivieren“ der API auf](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html). AWS Organizations Geben Sie für den `ServicePrincipal` Parameter den Security Hub CSPM-Dienstprinzipal () `securityhub.amazonaws.com` an.
------
#### [ AWS CLI ]
**So deaktivieren Sie den vertrauenswürdigen Zugriff für Security Hub CSPM**
Führen Sie den [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)Befehl der API aus. AWS Organizations Geben Sie für den `service-principal` Parameter den Security Hub CSPM-Dienstprinzipal () `securityhub.amazonaws.com` an.
**Beispiel:**
```
aws organizations disable-aws-service-access --service-principal securityhub.amazonaws.com
```
------
# Automatisches Aktivieren von Security Hub CSPM in neuen Organisationskonten
Wenn neue Konten Ihrer Organisation beitreten, werden sie der Liste auf der **Kontoseite** der AWS Security Hub CSPM-Konsole hinzugefügt. Für Organisationskonten lautet **Typ** auf **Nach Organisation**. Standardmäßig werden neue Konten nicht zu Security Hub CSPM-Mitgliedern, wenn sie der Organisation beitreten. Ihr Status ist **Kein Mitglied**. Das delegierte Administratorkonto kann automatisch neue Konten als Mitglieder hinzufügen und Security Hub CSPM in diesen Konten aktivieren, wenn sie der Organisation beitreten.
**Anmerkung**
Obwohl viele Regionen standardmäßig für Sie aktiv AWS-Regionen sind AWS-Konto, müssen Sie bestimmte Regionen manuell aktivieren. Diese Regionen werden in diesem Dokument als Opt-in-Regionen bezeichnet. Um Security Hub CSPM automatisch in einem neuen Konto in einer Opt-in-Region zu aktivieren, muss diese Region zuerst für das Konto aktiviert sein. Nur der Kontoinhaber kann die Opt-in-Region aktivieren. Weitere Informationen zu Opt-in-Regionen findest du unter [Geben Sie an, welche Regionen für AWS-Regionen Ihr Konto verwendet werden können](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html).
Dieser Vorgang unterscheidet sich je nachdem, ob Sie die zentrale Konfiguration (empfohlen) oder die lokale Konfiguration verwenden.
## Automatische Aktivierung neuer Organisationskonten (zentrale Konfiguration)
Wenn Sie die [zentrale Konfiguration](central-configuration-intro.md) verwenden, können Sie Security Hub CSPM automatisch in neuen und bestehenden Organisationskonten aktivieren, indem Sie eine Konfigurationsrichtlinie erstellen, in der Security Hub CSPM aktiviert ist. Anschließend können Sie die Richtlinie dem Organisationsstamm oder bestimmten Organisationseinheiten zuordnen (). OUs
Wenn Sie eine Konfigurationsrichtlinie, in der Security Hub CSPM aktiviert ist, einer bestimmten OU zuordnen, wird Security Hub CSPM automatisch in allen Konten (vorhandenen und neuen) aktiviert, die zu dieser OU gehören. Neue Konten, die nicht zur Organisationseinheit gehören, werden selbst verwaltet und Security Hub CSPM ist nicht automatisch aktiviert. Wenn Sie dem Root eine Konfigurationsrichtlinie zuordnen, in der Security Hub CSPM aktiviert ist, wird Security Hub CSPM automatisch in allen Konten (vorhandenen und neuen) aktiviert, die der Organisation beitreten. Ausnahmen sind, wenn ein Konto aufgrund von Anwendung oder Vererbung eine andere Richtlinie verwendet oder wenn es sich um ein selbstverwaltetes Konto handelt.
In Ihrer Konfigurationsrichtlinie können Sie auch definieren, welche Sicherheitsstandards und Kontrollen in der Organisationseinheit aktiviert werden sollen. Um Kontrollergebnisse für aktivierte Standards zu generieren, müssen die Konten in der Organisationseinheit AWS Config aktiviert und konfiguriert sein, um die erforderlichen Ressourcen aufzuzeichnen. Weitere Informationen zur AWS Config Aufzeichnung finden Sie unter [Aktivieren und Konfigurieren AWS Config](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-prereq-config.html).
Anweisungen zum Erstellen einer Konfigurationsrichtlinie finden Sie unter[Konfigurationsrichtlinien erstellen und zuordnen](create-associate-policy.md).
## Automatisches Aktivieren neuer Organisationskonten (lokale Konfiguration)
Wenn Sie die lokale Konfiguration verwenden und die automatische Aktivierung von Standardstandards aktivieren, fügt Security Hub CSPM *neue* Organisationskonten als Mitglieder hinzu und aktiviert Security Hub CSPM in diesen Konten in der aktuellen Region. Andere Regionen sind nicht betroffen. Darüber hinaus aktiviert die Aktivierung der automatischen Aktivierung Security Hub CSPM nicht in *bestehenden* Organisationskonten, es sei denn, sie wurden bereits als Mitgliedskonten hinzugefügt.
Nach der Aktivierung der automatischen Aktivierung werden die Standardsicherheitsstandards für neue Mitgliedskonten in der aktuellen Region aktiviert, wenn sie der Organisation beitreten. Die Standardstandards sind AWS Foundational Security Best Practices (FSBP) und Center for Internet Security (CIS) AWS Foundations Benchmark v1.2.0. Sie können die Standardstandards nicht ändern. Wenn Sie andere Standards in Ihrer Organisation aktivieren oder Standards für ausgewählte Konten aktivieren möchten OUs, empfehlen wir die zentrale Konfiguration.
Um Kontrollergebnisse für die Standardstandards (und andere aktivierte Standards) zu generieren, müssen die Konten in Ihrer Organisation AWS Config aktiviert und konfiguriert sein, um die erforderlichen Ressourcen aufzuzeichnen. Weitere Informationen zur AWS Config Aufzeichnung finden Sie unter [Aktivieren und Konfigurieren AWS Config](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-prereq-config.html).
Wählen Sie Ihre bevorzugte Methode und folgen Sie den Schritten, um Security Hub CSPM automatisch in neuen Unternehmenskonten zu aktivieren. Diese Anweisungen gelten nur, wenn Sie die lokale Konfiguration verwenden.
------
#### [ Security Hub CSPM console ]
**So aktivieren Sie automatisch neue Organisationskonten als Security Hub CSPM-Mitglieder**
1. Öffnen Sie die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
Sign verwendet die Anmeldeinformationen des delegierten Administratorkontos.
1. **Wählen Sie im Security Hub CSPM-Navigationsbereich unter **Einstellungen** die Option Konfiguration aus.**
1. Aktivieren Sie im Abschnitt **Konten** die Option Konten **automatisch** aktivieren.
------
#### [ Security Hub CSPM API ]
**So aktivieren Sie automatisch neue Organisationskonten als Security Hub CSPM-Mitglieder**
Rufen Sie die [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html)API vom delegierten Administratorkonto aus auf. Stellen Sie das `AutoEnable` Feld auf ein`true`, um Security Hub CSPM automatisch in neuen Organisationskonten zu aktivieren.
------
#### [ AWS CLI ]
**So aktivieren Sie automatisch neue Organisationskonten als Security Hub CSPM-Mitglieder**
Führen Sie den [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html)Befehl über das delegierte Administratorkonto aus. Fügen Sie den `auto-enable` Parameter hinzu, um Security Hub CSPM automatisch in neuen Organisationskonten zu aktivieren.
```
aws securityhub update-organization-configuration --auto-enable
```
------
# Manuelles Aktivieren von Security Hub CSPM in neuen Organisationskonten
Wenn Sie Security Hub CSPM nicht automatisch in neuen Organisationskonten aktivieren, wenn diese der Organisation beitreten, können Sie diese Konten als Mitglieder hinzufügen und Security Hub CSPM in ihnen manuell aktivieren, nachdem sie der Organisation beigetreten sind. Sie müssen Security Hub CSPM auch manuell aktivieren, da Sie zuvor AWS-Konten die Verbindung zu einer Organisation getrennt haben.
**Anmerkung**
[Dieser Abschnitt gilt nicht für Sie, wenn Sie die zentrale Konfiguration verwenden.](central-configuration-intro.md) Wenn Sie die zentrale Konfiguration verwenden, können Sie Konfigurationsrichtlinien erstellen, die Security Hub CSPM in bestimmten Mitgliedskonten und Organisationseinheiten aktivieren ()OUs. Sie können auch spezifische Standards und Kontrollen für diese Konten und aktivieren. OUs
Sie können Security Hub CSPM nicht in einem Konto aktivieren, wenn es sich bereits um ein Mitgliedskonto in einer anderen Organisation handelt.
Sie können Security Hub CSPM auch nicht in einem Konto aktivieren, das derzeit gesperrt ist. Wenn Sie versuchen, den Dienst in einem gesperrten Konto zu aktivieren, ändert sich der Kontostatus in **Konto** gesperrt.
+ Wenn Security Hub CSPM für das Konto nicht aktiviert ist, ist Security Hub CSPM in diesem Konto aktiviert. Der Standard AWS Foundational Security Best Practices (FSBP) und der CIS AWS Foundations Benchmark v1.2.0 sind ebenfalls im Konto aktiviert, sofern Sie die Standardsicherheitsstandards nicht deaktivieren.
Eine Ausnahme bildet das Verwaltungskonto für Organizations. Security Hub CSPM kann nicht automatisch im Verwaltungskonto der Organizations aktiviert werden. Sie müssen Security Hub CSPM manuell im Verwaltungskonto der Organizations aktivieren, bevor Sie es als Mitgliedskonto hinzufügen können.
+ Wenn Security Hub CSPM für das Konto bereits aktiviert ist, nimmt Security Hub CSPM keine weiteren Änderungen am Konto vor. Es aktiviert nur die Mitgliedschaft.
Damit Security Hub CSPM Kontrollergebnisse generieren kann, müssen Mitgliedskonten AWS Config aktiviert und konfiguriert sein, um die erforderlichen Ressourcen aufzuzeichnen. Weitere Informationen zur Konfiguration von SSH finden Sie unter [Aktivieren und Konfigurieren von AWS Config](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-prereq-config.html).
Wählen Sie Ihre bevorzugte Methode und folgen Sie den Schritten, um ein Organisationskonto als Security Hub CSPM-Mitgliedskonto zu aktivieren.
------
#### [ Security Hub CSPM console ]
**Um Organisationskonten manuell als Security Hub CSPM-Mitglieder zu aktivieren**
1. Öffnen Sie die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
Melden Sie sich mit den Anmeldeinformationen des delegierten Administratorkontos an.
1. **Wählen Sie im Security Hub CSPM-Navigationsbereich unter **Einstellungen** die Option Konfiguration aus.**
1. Wählen Sie in der **Kontenliste** jedes Unternehmenskonto aus, das Sie aktivieren möchten.
1. Wählen Sie **Aktionen** und dann **Mitglied hinzufügen** aus.
------
#### [ Security Hub CSPM API ]
**Um Organisationskonten manuell als Security Hub CSPM-Mitglieder zu aktivieren**
Rufen Sie die [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateMembers.html)API vom delegierten Administratorkonto aus auf. Geben Sie für jedes zu aktivierende Konto die Konto-ID an.
Im Gegensatz zum manuellen Einladungsprozess müssen `CreateMembers` Sie bei der Aktivierung eines Unternehmenskontos keine Einladung versenden.
------
#### [ AWS CLI ]
**Um Organisationskonten manuell als Security Hub CSPM-Mitglieder zu aktivieren**
Führen Sie den [https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-members.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-members.html)Befehl über das delegierte Administratorkonto aus. Geben Sie für jedes zu aktivierende Konto die Konto-ID an.
Im Gegensatz zum manuellen Einladungsprozess `create-members` müssen Sie bei der Aktivierung eines Unternehmenskontos keine Einladung versenden.
```
aws securityhub create-members --account-details '[{"AccountId": ""}]'
```
**Beispiel**
```
aws securityhub create-members --account-details '[{"AccountId": "123456789111"}, {"AccountId": "123456789222"}]'
```
------
# Trennung der Security Hub CSPM-Mitgliedskonten von Ihrer Organisation
Wenn Sie keine Ergebnisse von einem AWS Security Hub CSPM-Mitgliedskonto mehr erhalten und einsehen möchten, können Sie das Mitgliedskonto von Ihrer Organisation trennen.
**Anmerkung**
Wenn Sie die [zentrale Konfiguration verwenden, funktioniert](central-configuration-intro.md) die Trennung anders. Sie können eine Konfigurationsrichtlinie erstellen, die Security Hub CSPM in einem oder mehreren zentral verwalteten Mitgliedskonten deaktiviert. Danach sind diese Konten immer noch Teil der Organisation, generieren aber keine CSPM-Ergebnisse von Security Hub. Wenn Sie die zentrale Konfiguration verwenden, aber auch über manuell eingeladene Mitgliedskonten verfügen, können Sie die Zuordnung zu einem oder mehreren manuell eingeladenen Konten aufheben.
Mitgliedskonten, die über verwaltet werden, AWS Organizations können ihre Konten nicht vom Administratorkonto trennen. Nur das Administratorkonto kann die Zuordnung eines Mitgliedskontos aufheben.
Durch das Aufheben der Zuordnung zu einem Mitgliedskonto wird das Konto nicht geschlossen. Stattdessen wird das Mitgliedskonto aus der Organisation entfernt. Das getrennte Mitgliedskonto wird zu einem eigenständigen Konto AWS-Konto , das nicht mehr von der Security Hub CSPM-Integration mit verwaltet wird. AWS Organizations
Wählen Sie Ihre bevorzugte Methode und folgen Sie den Schritten, um ein Mitgliedskonto von der Organisation zu trennen.
------
#### [ Security Hub CSPM console ]
**Um ein Mitgliedskonto von der Organisation zu trennen**
1. Öffnen Sie die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
Melden Sie sich mit den Anmeldeinformationen des delegierten Administratorkontos an.
1. Wählen Sie im Navigationsbereich unter **Einstellungen** die Option **Konfiguration** aus.
1. Wählen Sie im Abschnitt **Konten** die Konten aus, deren Verknüpfung Sie aufheben möchten. Wenn Sie die zentrale Konfiguration verwenden, können Sie auf der Registerkarte ein manuell eingerichtetes Konto auswählen, dessen Verbindung aufgehoben werden soll. `Invitation accounts` Diese Registerkarte ist nur sichtbar, wenn Sie die zentrale Konfiguration verwenden.
1. Wählen Sie **Aktionen** und anschließend **Konto trennen aus**.
------
#### [ Security Hub CSPM API ]
**Um ein Mitgliedskonto von der Organisation zu trennen**
Rufen Sie die [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisassociateMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisassociateMembers.html)API vom delegierten Administratorkonto aus auf. Sie müssen das angeben, damit die AWS-Konto IDs Mitgliedskonten die Verknüpfung aufheben können. Rufen Sie die API auf, um eine Liste der Mitgliedskonten anzuzeigen. [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListMembers.html)
------
#### [ AWS CLI ]
**Um ein Mitgliedskonto von der Organisation zu trennen**
Führen Sie den `disassociate-members` Befehl [>](https://docs.aws.amazon.com/cli/latest/reference/securityhub/disassociate-members.html) vom delegierten Administratorkonto aus. Sie müssen das angeben, damit die AWS-Konto IDs Mitgliedskonten die Verknüpfung aufheben können. Um eine Liste der Mitgliedskonten anzuzeigen, führen Sie den `list-members` Befehl [>](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-members.html) aus.
```
aws securityhub disassociate-members --account-ids ""
```
**Beispiel**
```
aws securityhub disassociate-members --account-ids "123456789111" "123456789222"
```
------
Sie können auch die AWS Organizations Konsole oder verwenden AWS CLI, AWS SDKs um die Zuordnung eines Mitgliedskontos zu Ihrer Organisation aufzuheben. Weitere Informationen finden Sie im *AWS Organizations Benutzerhandbuch* unter [Entfernen eines Mitgliedskontos aus Ihrer Organisation](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_remove.html).
# Konten auf Einladung in Security Hub CSPM verwalten
Sie können mehrere AWS Security Hub CSPM-Konten auf zwei Arten zentral verwalten: durch die Integration von Security Hub CSPM in AWS Organizations oder durch manuelles Senden und Akzeptieren von Mitgliedschaftseinladungen. Sie müssen den manuellen Prozess verwenden, wenn Sie ein eigenständiges Konto haben oder nicht integrieren möchten. AWS Organizations Bei der manuellen Kontoverwaltung lädt der Security Hub CSPM-Administrator Konten ein, Mitglieder zu werden. Die Beziehung zwischen Administrator und Mitglied wird hergestellt, wenn ein potenzielles Mitglied die Einladung annimmt. Ein Security Hub CSPM-Administratorkonto kann Security Hub CSPM für bis zu 1.000 Mitgliedskonten verwalten, die auf Einladung basieren.
**Anmerkung**
Wenn Sie in Security Hub CSPM eine Organisation erstellen, die auf Einladung basiert, können Sie anschließend auf die Verwendung von CSPM [umsteigen](accounts-transition-to-orgs.md). AWS Organizations Wenn Sie mehr als ein Mitgliedskonto haben, empfehlen wir, AWS Organizations anstelle von Security Hub CSPM-Einladungen zu verwenden, um Ihre Mitgliedskonten zu verwalten. Weitere Informationen finden Sie unter [Verwaltung von Security Hub CSPM für mehrere Konten mit AWS Organizations](securityhub-accounts-orgs.md).
Die regionsübergreifende Aggregation von Ergebnissen und anderen Daten ist für Konten verfügbar, die Sie über den manuellen Einladungsprozess einladen. Der Administrator muss jedoch das Mitgliedskonto aus der Aggregationsregion und allen verknüpften Regionen einladen, damit die regionsübergreifende Aggregation funktioniert. Darüber hinaus muss für das Mitgliedskonto Security Hub CSPM in der Aggregationsregion und allen verknüpften Regionen aktiviert sein, damit der Administrator die Ergebnisse des Mitgliedskontos einsehen kann.
Konfigurationsrichtlinien werden für manuell eingeladene Mitgliedskonten nicht unterstützt. Stattdessen müssen Sie die Security Hub CSPM-Einstellungen in jedem Mitgliedskonto und AWS-Region bei Verwendung des manuellen Einladungsprozesses separat konfigurieren.
Sie müssen den manuellen Einladungsprozess auch für Konten verwenden, die nicht zu Ihrer Organisation gehören. Beispielsweise könnten Sie in Ihrer Organisation kein Testkonto einrichten. Oder vielleicht möchten Sie Konten mehrerer Organisationen unter einem einzigen Security Hub CSPM-Administratorkonto konsolidieren. Das Security Hub CSPM-Administratorkonto muss Einladungen an Konten senden, die anderen Organisationen gehören.
Auf der **Konfigurationsseite** der Security Hub CSPM-Konsole werden Konten, die auf Einladung hinzugefügt wurden, auf der Registerkarte **Einladungskonten** aufgeführt. Wenn Sie die [zentrale Konfiguration](central-configuration-intro.md) verwenden, aber auch Konten außerhalb Ihrer Organisation einladen, können Sie sich auf dieser Registerkarte die Ergebnisse von Konten ansehen, die auf Einladungen basieren. Der Security Hub CSPM-Administrator kann jedoch mithilfe von Konfigurationsrichtlinien keine Konten, die auf Einladungen basieren, regionsübergreifend konfigurieren.
In den Themen in diesem Abschnitt wird erklärt, wie Mitgliedskonten mithilfe von Einladungen verwaltet werden.
**Topics**
+ [Mitgliedskonten in Security Hub CSPM hinzufügen und einladen](securityhub-accounts-add-invite.md)
+ [Auf eine Einladung antworten, ein Security Hub CSPM-Mitgliedskonto zu werden](securityhub-invitation-respond.md)
+ [Aufheben der Zuordnung von Mitgliedskonten in Security Hub CSPM](securityhub-disassociate-members.md)
+ [Löschen von Mitgliedskonten in Security Hub CSPM](securityhub-delete-member-accounts.md)
+ [Trennung von einem Security Hub CSPM-Administratorkonto](securityhub-disassociate-from-admin.md)
+ [Umstellung auf Organizations zur Verwaltung von Konten in Security Hub CSPM](accounts-transition-to-orgs.md)
# Mitgliedskonten in Security Hub CSPM hinzufügen und einladen
**Anmerkung**
Wir empfehlen, AWS Organizations anstelle von Security Hub CSPM-Einladungen zu verwenden, um Ihre Mitgliedskonten zu verwalten. Weitere Informationen finden Sie unter [Verwaltung von Security Hub CSPM für mehrere Konten mit AWS Organizations](securityhub-accounts-orgs.md).
Ihr Konto wird zum AWS Security Hub CSPM-Administrator für Konten, die Ihre Einladung annehmen, ein Security Hub CSPM-Mitgliedskonto zu werden.
Wenn Sie eine Einladung von einem anderen Konto annehmen, wird Ihr Konto zu einem Mitgliedskonto und dieses Konto wird zu Ihrem Administrator.
Wenn es sich bei Ihrem Konto um ein Administratorkonto handelt, können Sie eine Einladung, ein Mitgliedskonto zu werden, nicht annehmen.
Das Hinzufügen eines Mitgliedskontos besteht aus den folgenden Schritten:
1. Das Administratorkonto fügt das Mitgliedskonto zu seiner Liste der Mitgliedskonten hinzu.
1. Das Administratorkonto sendet eine Einladung an das Mitgliedskonto.
1. Das Mitgliedskonto akzeptiert die Einladung.
## Mitgliedskonten hinzufügen
Von der Security Hub CSPM-Konsole aus können Sie Konten zu Ihrer Liste der Mitgliedskonten hinzufügen. In der Security Hub CSPM-Konsole können Sie Konten einzeln auswählen oder eine `.csv` Datei hochladen, die die Kontoinformationen enthält.
Für jedes Konto müssen Sie die Konto-ID und eine E-Mail-Adresse angeben. Die E-Mail-Adresse sollte die E-Mail-Adresse sein, an die Sie sich bei Sicherheitsproblemen im Konto wenden können. Sie wird nicht zur Verifizierung des Kontos verwendet.
Wählen Sie Ihre bevorzugte Methode und folgen Sie den Schritten zum Hinzufügen von Mitgliedskonten.
------
#### [ Security Hub CSPM console ]
**Um Konten zu deiner Liste von Mitgliedskonten hinzuzufügen**
1. Öffnen Sie die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
Melden Sie sich mit den Anmeldeinformationen des Administratorkontos an.
1. Wählen Sie im linken Bereich **Settings (Einstellungen)** aus.
1. Wählen Sie auf der Seite **Einstellungen** die Option **Konten** und dann **Konten hinzufügen** aus. Sie können dann entweder einzelne Konten hinzufügen oder eine `.csv` Datei hochladen, die die Liste der Konten enthält.
1. Gehen Sie wie folgt vor, um die Konten auszuwählen:
+ Um die Konten einzeln hinzuzufügen, **geben Sie unter Konten eingeben** die Konto-ID und die E-Mail-Adresse des hinzuzufügenden Kontos ein, und wählen Sie dann **Hinzufügen** aus.
Wiederholen Sie diesen Vorgang für jedes Konto.
+ Um eine Datei mit kommagetrennten Werten (.csv) zum Hinzufügen mehrerer Konten zu verwenden, erstellen Sie zunächst die Datei. Die Datei muss die Konto-ID und die E-Mail-Adresse für jedes hinzuzufügende Konto enthalten.
In Ihrer `.csv` Liste muss eines pro Zeile erscheinen. Die erste Zeile der `.csv` Datei muss den Header enthalten. In der Kopfzeile befindet sich die erste Spalte **Account ID** und die zweite Spalte ist**Email**.
Jede weitere Zeile muss eine gültige Konto-ID und eine gültige E-Mail-Adresse für das Konto enthalten, das Sie hinzufügen möchten.
Hier ist ein Beispiel für eine `.csv` Datei, wenn sie in einem Texteditor angezeigt wird.
```
Account ID,Email
111111111111,user@example.com
```
In einem Tabellenkalkulationsprogramm werden die Felder in separaten Spalten angezeigt. Das zugrunde liegende Format ist immer noch durch Kommas getrennt. Sie müssen das Konto IDs als Zahlen ohne Dezimalzahlen formatieren. Beispielsweise kann die Konto-ID 444455556666 nicht als 444455556666.0 formatiert werden. Stellen Sie außerdem sicher, dass bei der Zahlenformatierung keine führenden Nullen aus der Konto-ID entfernt werden.
Um die Datei auszuwählen, wählen Sie auf der Konsole die Option **Liste hochladen (.csv**). Wählen Sie dann „**Durchsuchen**“.
Nachdem Sie die Datei ausgewählt haben, wählen Sie **Konten hinzufügen**.
1. Wenn Sie mit dem Hinzufügen von Konten fertig sind, wählen Sie unter **Hinzuzufügende Konten** die Option **Weiter** aus.
------
#### [ Security Hub CSPM API ]
**Um Konten zu Ihrer Liste von Mitgliedskonten hinzuzufügen**
Rufen Sie die [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateMembers.html)API vom Administratorkonto aus auf. Für jedes Mitgliedskonto, das hinzugefügt werden soll, müssen Sie die AWS-Konto ID angeben.
------
#### [ AWS CLI ]
**Um Konten zu Ihrer Liste von Mitgliedskonten hinzuzufügen**
Führen Sie den [https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-members.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-members.html)Befehl vom Administratorkonto aus. Für jedes Mitgliedskonto, das hinzugefügt werden soll, müssen Sie die AWS-Konto ID angeben.
```
aws securityhub create-members --account-details '[{"AccountId": ""}]'
```
**Beispiel**
```
aws securityhub create-members --account-details '[{"AccountId": "123456789111"}, {"AccountId": "123456789222"}]'
```
------
## Mitgliedskonten einladen
Nachdem Sie die Mitgliedskonten hinzugefügt haben, senden Sie eine Einladung an das Mitgliedskonto. Sie können eine Einladung auch erneut an ein Konto senden, das Sie vom Administrator getrennt haben.
------
#### [ Security Hub CSPM console ]
**Um Konten potenzieller Mitglieder einzuladen**
1. Öffnen Sie die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
Melden Sie sich mit den Anmeldeinformationen des Administratorkontos an.
1. Wählen Sie im Navigationsbereich **Einstellungen** und dann **Konten** aus.
1. Wählen Sie für das einzuladende Konto **Invite (Einladen)** in der Spalte **Status** aus.
1. Wenn Sie zur Bestätigung aufgefordert werden, wählen Sie **Einladen** aus.
**Anmerkung**
**Um Einladungen an getrennte Konten erneut zu senden, wählen Sie auf der Seite Konten jedes getrennte Konto aus.** **Wählen Sie unter **Aktionen** die Option Einladung erneut senden aus.**
------
#### [ Security Hub CSPM API ]
**Um Konten potenzieller Mitglieder einzuladen**
Rufen Sie die [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_InviteMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_InviteMembers.html)API vom Administratorkonto aus auf. Für jedes Konto, das eingeladen werden soll, müssen Sie die AWS-Konto ID angeben.
------
#### [ AWS CLI ]
**Um Konten potenzieller Mitglieder einzuladen**
Führen Sie den [https://docs.aws.amazon.com/cli/latest/reference/securityhub/invite-members.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/invite-members.html)Befehl vom Administratorkonto aus. Für jedes Konto, das eingeladen werden soll, müssen Sie die AWS-Konto ID angeben.
```
aws securityhub invite-members --account-ids
```
**Beispiel**
```
aws securityhub invite-members --account-ids "123456789111" "123456789222"
```
------
# Auf eine Einladung antworten, ein Security Hub CSPM-Mitgliedskonto zu werden
**Anmerkung**
Wir empfehlen, AWS Organizations anstelle von Security Hub CSPM-Einladungen zu verwenden, um Ihre Mitgliedskonten zu verwalten. Weitere Informationen finden Sie unter [Verwaltung von Security Hub CSPM für mehrere Konten mit AWS Organizations](securityhub-accounts-orgs.md).
Sie können eine Einladung als AWS Security Hub CSPM-Mitgliedskonto annehmen oder ablehnen.
Wenn Sie eine Einladung annehmen, wird Ihr Konto zu einem Security Hub CSPM-Mitgliedskonto. Das Konto, das die Einladung gesendet hat, wird zu Ihrem Security Hub CSPM-Administratorkonto. Der Benutzer des Administratorkontos kann die Ergebnisse für Ihr Mitgliedskonto in Security Hub CSPM einsehen.
Wenn Sie die Einladung ablehnen, wird Ihr Konto in der Liste der **Mitgliedskonten** des Administratorkontos als Kündigt markiert.
Sie können nur eine Einladung annehmen, ein Mitgliedskonto zu werden.
Bevor Sie eine Einladung annehmen oder ablehnen können, müssen Sie Security Hub CSPM aktivieren.
Denken Sie daran, dass alle Security Hub CSPM-Konten AWS Config aktiviert und konfiguriert sein müssen, um alle Ressourcen aufzuzeichnen. Einzelheiten zu den Anforderungen für finden Sie AWS Config unter [Aktivierung und Konfiguration](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-prereq-config.html). AWS Config
## Eine Einladung annehmen
Sie können vom Administratorkonto aus eine Einladung senden, ein Security Hub CSPM-Mitgliedskonto zu werden. Sie können die Einladung dann annehmen, nachdem Sie sich mit dem Mitgliedskonto angemeldet haben.
Wählen Sie Ihre bevorzugte Methode und folgen Sie den Schritten, um eine Einladung als Mitgliedskonto anzunehmen.
------
#### [ Security Hub CSPM console ]
**Um eine Einladung zur Mitgliedschaft anzunehmen**
1. Öffnen Sie die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. **Wählen Sie im Navigationsbereich **Einstellungen** und dann Konten aus.**
1. Aktivieren Sie im Abschnitt **Administratorkonto** die Option **Annehmen** und wählen Sie dann **Einladung annehmen** aus.
------
#### [ Security Hub CSPM API ]
**Um eine Einladung zur Mitgliedschaft anzunehmen**
Rufen Sie die [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AcceptAdministratortInvitation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AcceptAdministratortInvitation.html)API auf. Sie müssen die Einladungs-ID und die AWS-Konto ID des Administratorkontos angeben. Verwenden Sie den [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListInvitations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListInvitations.html)Vorgang, um Details zur Einladung abzurufen.
------
#### [ AWS CLI ]
**Um eine Einladung zur Mitgliedschaft anzunehmen**
Führen Sie den Befehl [https://docs.aws.amazon.com/cli/latest/reference/securityhub/accept-administrator-invitation.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/accept-administrator-invitation.html) aus. Sie müssen die Einladungs-ID und die AWS-Konto ID des Administratorkontos angeben. Führen Sie den [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-invitations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-invitations.html)Befehl aus, um Details zur Einladung abzurufen.
```
aws securityhub accept-administrator-invitation --administrator-id --invitation-id
```
**Beispiel**
```
aws securityhub accept-administrator-invitation --administrator-id 123456789012 --invitation-id 7ab938c5d52d7904ad09f9e7c20cc4eb
```
------
**Anmerkung**
Die Security Hub CSPM-Konsole wird weiterhin verwendet. `AcceptInvitation` Sie wird irgendwann auf Verwendung umgestellt. `AcceptAdministratorInvitation` Alle IAM-Richtlinien, die speziell den Zugriff auf diese Funktion regeln, müssen weiterhin verwendet `AcceptInvitation` werden. Sie sollten Ihre Richtlinien auch ergänzen`AcceptAdministratorInvitation`, um sicherzustellen, dass nach Beginn der Nutzung `AcceptAdministratorInvitation` der Konsole die richtigen Berechtigungen vorhanden sind.
## Eine Einladung ablehnen
Sie können eine Einladung als Security Hub CSPM-Mitgliedskonto ablehnen. Wenn Sie eine Einladung in der Security Hub CSPM-Konsole ablehnen, wird Ihr Konto in der Liste der **Mitgliedskonten** des Administratorkontos als Signiert markiert. Der Status **Kündigt** wird nur angezeigt, wenn Sie sich mit dem Administratorkonto bei der Security Hub CSPM-Konsole anmelden. Die Einladung bleibt jedoch unverändert in der Konsole für das Mitgliedskonto, bis Sie sich beim Administratorkonto anmelden und die Einladung löschen.
Um eine Einladung abzulehnen, müssen Sie sich bei dem Mitgliedskonto anmelden, das die Einladung erhalten hat.
Wählen Sie Ihre bevorzugte Methode und folgen Sie den Schritten, um eine Einladung als Mitgliedskonto abzulehnen.
------
#### [ Security Hub CSPM console ]
**Um eine Einladung zur Mitgliedschaft abzulehnen**
1. Öffnen Sie die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. **Wählen Sie im Navigationsbereich **Einstellungen** und dann Konten aus.**
1. Wählen Sie im Abschnitt **Administratorkonto** die Option **Einladung ablehnen** aus.
------
#### [ Security Hub CSPM API ]
**Um eine Einladung zur Mitgliedschaft abzulehnen**
Rufen Sie die [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DeclineInvitations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DeclineInvitations.html)API auf. Sie müssen die AWS-Konto ID des Administratorkontos angeben, das die Einladung ausgestellt hat. Verwenden Sie den [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListInvitations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListInvitations.html)Vorgang, um Informationen zu Ihren Einladungen anzuzeigen.
------
#### [ AWS CLI ]
**Um eine Einladung zur Mitgliedschaft abzulehnen**
Führen Sie den Befehl [https://docs.aws.amazon.com/cli/latest/reference/securityhub/decline-invitations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/decline-invitations.html) aus. Sie müssen die AWS-Konto ID des Administratorkontos angeben, das die Einladung ausgestellt hat. Führen Sie den [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-invitations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-invitations.html)Befehl aus, um Informationen zu Ihren Einladungen anzuzeigen.
```
aws securityhub decline-invitations --account-ids ""
```
**Beispiel**
```
aws securityhub decline-invitations --account-ids "123456789012"
```
------
# Aufheben der Zuordnung von Mitgliedskonten in Security Hub CSPM
**Anmerkung**
Wir empfehlen, AWS Organizations anstelle von Security Hub CSPM-Einladungen zu verwenden, um Ihre Mitgliedskonten zu verwalten. Weitere Informationen finden Sie unter [Verwaltung von Security Hub CSPM für mehrere Konten mit AWS Organizations](securityhub-accounts-orgs.md).
Ein AWS Security Hub CSPM-Administratorkonto kann die Zuordnung zu einem Mitgliedskonto aufheben, sodass keine Ergebnisse mehr von diesem Konto empfangen und angezeigt werden. Sie müssen die Zuordnung zu einem Mitgliedskonto aufheben, bevor Sie es löschen können.
Wenn Sie die Zuordnung zu einem Mitgliedskonto aufheben, verbleibt es in Ihrer Liste der Mitgliedskonten mit dem Status **Entfernt (Getrennt)**. Ihr Konto wird aus den Administratorkontoinformationen für das Mitgliedskonto entfernt.
Um weiterhin Ergebnisse für das Konto zu erhalten, können Sie die Einladung erneut versenden. Um das Mitgliedskonto vollständig zu entfernen, können Sie das Mitgliedskonto löschen.
Wählen Sie Ihre bevorzugte Methode und folgen Sie den Schritten, um ein manuell eingeladenes Mitgliedskonto vom Administratorkonto zu trennen.
------
#### [ Security Hub CSPM console ]
**So trennen Sie die Zuordnung eines manuell eingeladenen Mitgliedskontos**
1. Öffnen Sie die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
Melden Sie sich mit den Anmeldeinformationen des Administratorkontos an.
1. Wählen Sie im Navigationsbereich unter **Einstellungen** die Option **Konfiguration** aus.
1. Wählen Sie im Abschnitt **Konten** die Konten aus, deren Verknüpfung Sie aufheben möchten.
1. Wählen Sie „**Aktionen**“ und anschließend „Konto **trennen“.**
------
#### [ Security Hub CSPM API ]
**Um die Verbindung zu einem manuell eingeladenen Mitgliedskonto zu trennen**
Rufen Sie die [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisassociateMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisassociateMembers.html)API vom Administratorkonto aus auf. Sie müssen die AWS-Konto IDs Mitgliedskonten angeben, deren Verknüpfung Sie aufheben möchten. Verwenden Sie den [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListMembers.html)Vorgang, um eine Liste der Mitgliedskonten anzuzeigen.
------
#### [ AWS CLI ]
**Um die Zuordnung zu einem manuell eingeladenen Mitgliedskonto aufzuheben**
Führen Sie den [https://docs.aws.amazon.com/cli/latest/reference/securityhub/disassociate-members.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/disassociate-members.html)Befehl vom Administratorkonto aus. Sie müssen die AWS-Konto IDs Mitgliedskonten angeben, deren Verknüpfung Sie aufheben möchten. Führen Sie den [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-members.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-members.html)Befehl aus, um eine Liste der Mitgliedskonten anzuzeigen.
```
aws securityhub disassociate-members --account-ids
```
**Beispiel**
```
aws securityhub disassociate-members --account-ids "123456789111" "123456789222"
```
------
# Löschen von Mitgliedskonten in Security Hub CSPM
**Anmerkung**
Wir empfehlen, AWS Organizations anstelle von Security Hub CSPM-Einladungen zu verwenden, um Ihre Mitgliedskonten zu verwalten. Weitere Informationen finden Sie unter [Verwaltung von Security Hub CSPM für mehrere Konten mit AWS Organizations](securityhub-accounts-orgs.md).
Als AWS Security Hub CSPM-Administratorkonto können Sie Mitgliedskonten löschen, die auf Einladung hinzugefügt wurden. Bevor Sie ein aktiviertes Konto löschen können, müssen Sie die Verknüpfung mit dem Konto aufheben.
Wenn Sie ein Mitgliedskonto löschen, wird es vollständig aus der Liste entfernt. Um die Mitgliedschaft des Kontos wiederherzustellen, müssen Sie es hinzufügen und erneut einladen, als ob es sich um ein völlig neues Mitgliedskonto handeln würde.
Sie können keine Konten löschen, die zu einer Organisation gehören und die mithilfe der Integration mit verwaltet werden AWS Organizations.
Wählen Sie Ihre bevorzugte Methode und folgen Sie den Schritten zum Löschen manuell eingeladener Mitgliedskonten.
------
#### [ Security Hub CSPM console ]
**Um ein manuell eingeladenes Mitgliedskonto zu löschen**
1. Öffnen Sie die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
Melden Sie sich mit dem Administratorkonto an.
1. Wählen Sie im Navigationsbereich **Einstellungen** und dann **Konfiguration** aus.
1. Wählen Sie den Tab **Einladungskonten** aus. Wählen Sie dann die Konten aus, die Sie löschen möchten.
1. Wählen Sie **Aktionen** und anschließend **Löschen** aus. Diese Option ist nur verfügbar, wenn Sie die Kontoverknüpfung aufgehoben haben. Sie müssen die Zuordnung zu einem Mitgliedskonto aufheben, bevor es gelöscht werden kann.
------
#### [ Security Hub CSPM API ]
**Um ein manuell eingeladenes Mitgliedskonto zu löschen**
Rufen Sie die [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DeleteMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DeleteMembers.html)API vom Administratorkonto aus auf. Sie müssen die AWS-Konto IDs Mitgliedskonten angeben, die Sie löschen möchten. Rufen Sie die [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListMembers.html)API auf, um die Liste der Mitgliedskonten abzurufen.
------
#### [ AWS CLI ]
**Um ein manuell eingeladenes Mitgliedskonto zu löschen**
Führen Sie den [https://docs.aws.amazon.com/cli/latest/reference/securityhub/delete-members.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/delete-members.html)Befehl vom Administratorkonto aus. Sie müssen die AWS-Konto IDs Mitgliedskonten angeben, die Sie löschen möchten. Führen Sie den [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-members.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-members.html)Befehl aus, um die Liste der Mitgliedskonten abzurufen.
```
aws securityhub delete-members --account-ids
```
**Beispiel**
```
aws securityhub delete-members --account-ids "123456789111" "123456789222"
```
------
# Trennung von einem Security Hub CSPM-Administratorkonto
**Anmerkung**
Wir empfehlen, AWS Organizations anstelle von Security Hub CSPM-Einladungen zu verwenden, um Ihre Mitgliedskonten zu verwalten. Weitere Informationen finden Sie unter [Verwaltung von Security Hub CSPM für mehrere Konten mit AWS Organizations](securityhub-accounts-orgs.md).
Wenn Ihr Konto auf Einladung als AWS Security Hub CSPM-Mitgliedskonto hinzugefügt wurde, können Sie die Verbindung zwischen dem Mitgliedskonto und dem Administratorkonto trennen. Nachdem Sie die Zuordnung zu einem Mitgliedskonto aufgehoben haben, sendet Security Hub CSPM keine Ergebnisse aus dem Konto an das Administratorkonto.
Mitgliedskonten, die mithilfe der Integration mit verwaltet werden, AWS Organizations können ihre Konten nicht vom Administratorkonto trennen. Nur der delegierte Security Hub CSPM-Administrator kann die Zuordnung von Mitgliedskonten aufheben, die mit Organizations verwaltet werden.
**Wenn Sie die Verbindung zu Ihrem Administratorkonto trennen, verbleibt Ihr Konto in der Mitgliederliste des Administratorkontos mit dem Status Kündigt.** Das Administratorkonto erhält jedoch keine Ergebnisse für Ihr Konto.
Nachdem Sie sich vom Administratorkonto getrennt haben, bleibt die Einladung, Mitglied zu werden, weiterhin bestehen. Sie können die Einladung in future erneut annehmen.
------
#### [ Security Hub CSPM console ]
**Um die Verbindung zu Ihrem Administratorkonto zu trennen**
1. Öffnen Sie die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. **Wählen Sie im Navigationsbereich **Einstellungen** und dann Konten aus.**
1. Deaktivieren Sie im Abschnitt **Administratorkonto** die Option **Annehmen** und wählen Sie dann **Aktualisieren** aus.
------
#### [ Security Hub CSPM API ]
**Um die Verbindung zu Ihrem Administratorkonto zu trennen**
Rufen Sie die API auf [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisassociateFromAdministratorAccount.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisassociateFromAdministratorAccount.html).
------
#### [ AWS CLI ]
**Um die Verbindung zu Ihrem Administratorkonto zu trennen**
Führen Sie den Befehl [https://docs.aws.amazon.com/cli/latest/reference/securityhub/disassociate-from-administrator-account.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/disassociate-from-administrator-account.html) aus.
```
aws securityhub disassociate-from-administrator-account
```
------
**Anmerkung**
Die Security Hub CSPM-Konsole wird weiterhin verwendet. `DisassociateFromMasterAccount` Sie wird irgendwann auf Verwendung umgestellt. `DisassociateFromAdministratorAccount` Alle IAM-Richtlinien, die speziell den Zugriff auf diese Funktion regeln, müssen weiterhin verwendet `DisassociateFromMasterAccount` werden. Sie sollten Ihre Richtlinien auch ergänzen`DisassociateFromAdministratorAccount`, um sicherzustellen, dass nach Beginn der Nutzung `DisassociateFromAdministratorAccount` der Konsole die richtigen Berechtigungen vorhanden sind.
# Umstellung auf Organizations zur Verwaltung von Konten in Security Hub CSPM
Wenn Sie Konten manuell in AWS Security Hub CSPM verwalten, müssen Sie potenzielle Mitgliedskonten einladen und jedes Mitgliedskonto in jedem Konto separat konfigurieren. AWS-Region
Durch die Integration von Security Hub CSPM und AWS Organizations können Sie das Senden von Einladungen überflüssig machen und mehr Kontrolle darüber gewinnen, wie Security Hub CSPM in Ihrem Unternehmen konfiguriert und angepasst wird. Aus diesem Grund empfehlen wir, AWS Organizations anstelle von Security Hub CSPM-Einladungen zur Verwaltung Ihrer Mitgliedskonten zu verwenden. Weitere Informationen finden Sie unter [Verwaltung von Security Hub CSPM für mehrere Konten mit AWS Organizations](securityhub-accounts-orgs.md).
Es ist möglich, einen kombinierten Ansatz zu verwenden, bei dem Sie die AWS Organizations Integration verwenden, aber auch Konten außerhalb Ihrer Organisation manuell einladen. Wir empfehlen jedoch, ausschließlich die Organizations-Integration zu verwenden. Die [zentrale Konfiguration](central-configuration-intro.md), eine Funktion, mit der Sie Security Hub CSPM über mehrere Konten und Regionen hinweg verwalten können, ist nur bei der Integration mit Organizations verfügbar.
In diesem Abschnitt wird beschrieben, wie Sie von der manuellen Kontoverwaltung auf Einladungsbasis zur Verwaltung von Konten mit übergehen können. AWS Organizations
## Integration von Security Hub CSPM mit AWS Organizations
Zunächst müssen Sie Security Hub CSPM und integrieren. AWS Organizations
Sie können diese Dienste integrieren, indem Sie die folgenden Schritte ausführen:
+ Erstellen Sie eine Organisation in AWS Organizations. Anweisungen finden Sie im *AWS Organizations Benutzerhandbuch* unter [Organisation erstellen](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_create.html#create-org).
+ Geben Sie im Verwaltungskonto Organizations ein delegiertes Security Hub-CSPM-Administratorkonto an.
**Anmerkung**
Das Organisationsverwaltungskonto *kann nicht* als DA-Konto festgelegt werden.
Detaillierte Anweisungen finden Sie unter [Integration von Security Hub CSPM mit AWS Organizations](designate-orgs-admin-account.md).
Indem Sie die vorherigen Schritte ausführen, gewähren Sie [vertrauenswürdigen Zugriff](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-securityhub.html#integrate-enable-ta-securityhub) für Security Hub CSPM in. AWS Organizations Dadurch wird auch Security Hub CSPM in der aktuellen Version AWS-Region für das delegierte Administratorkonto aktiviert.
Der delegierte Administrator kann die Organisation in Security Hub CSPM verwalten, indem er in erster Linie die Konten der Organisation als Security Hub CSPM-Mitgliedskonten hinzufügt. Der Administrator kann auch auf bestimmte Security Hub CSPM-Einstellungen, Daten und Ressourcen für diese Konten zugreifen.
Wenn Sie zur Kontoverwaltung mit Organizations wechseln, werden Konten, die auf Einladung basieren, nicht automatisch zu Security Hub CSPM-Mitgliedern. Nur die Konten, die Sie zu Ihrer neuen Organisation hinzufügen, können Security Hub CSPM-Mitglieder werden.
Nach der Aktivierung der Integration können Sie Konten bei Organizations verwalten. Weitere Informationen finden Sie unter [Verwaltung von Security Hub CSPM für mehrere Konten mit AWS Organizations](securityhub-accounts-orgs.md). Die Kontoverwaltung variiert je nach Konfigurationstyp Ihrer Organisation.
# Zulässige Aktionen von Administrator- und Mitgliedskonten in Security Hub CSPM
Administrator- und Mitgliedskonten haben Zugriff auf die in den folgenden Tabellen aufgeführten AWS Security Hub CSPM-Aktionen. In den Tabellen haben die Werte die folgenden Bedeutungen:
+ **Beliebig —** Das Konto kann die Aktion für jedes Mitgliedskonto unter demselben Administrator ausführen.
+ **Aktuell —** Das Konto kann die Aktion nur für sich selbst ausführen (das Konto, bei dem Sie derzeit angemeldet sind).
+ **Dash —** Zeigt an, dass das Konto die Aktion nicht ausführen kann.
Wie in den Tabellen angegeben, hängen die zulässigen Aktionen davon ab, ob Sie eine Integration vornehmen AWS Organizations und welchen Konfigurationstyp Ihre Organisation verwendet. Informationen zum Unterschied zwischen zentraler und lokaler Konfiguration finden Sie unter[Konten verwalten mit AWS Organizations](securityhub-accounts.md#securityhub-orgs-account-management-overview).
Security Hub CSPM kopiert die Ergebnisse des Mitgliedskontos nicht in das Administratorkonto. In Security Hub CSPM werden alle Ergebnisse für ein bestimmtes Konto in einer bestimmten Region erfasst. In jeder Region kann das Administratorkonto die Ergebnisse für seine Mitgliedskonten in dieser Region einsehen und verwalten.
Wenn Sie eine Aggregationsregion festlegen, kann das Administratorkonto die Ergebnisse von Mitgliedskonten aus verknüpften Regionen anzeigen und verwalten, die in die Aggregationsregion repliziert werden. [Weitere Informationen zur regionsübergreifenden Aggregation finden Sie unter Regionsübergreifende Aggregation.](https://docs.aws.amazon.com/securityhub/latest/userguide/finding-aggregation.html)
In den folgenden Tabellen werden die Standardberechtigungen für Administrator- und Mitgliedskonten angegeben. Sie können benutzerdefinierte IAM-Richtlinien verwenden, um den Zugriff auf die Features und Funktionen von Security Hub CSPM weiter einzuschränken. Anleitungen und Beispiele finden Sie im Blogbeitrag [Aligning IAM-Policies to user personas for AWS Security](https://aws.amazon.com/blogs/security/aligning-iam-policies-to-user-personas-for-aws-security-hub/) Hub CSPM.
## Zulässige Aktionen, wenn Sie in Organizations integrieren und die zentrale Konfiguration verwenden
Administrator- und Mitgliedskonten können wie folgt auf Security Hub CSPM-Aktionen zugreifen, wenn Sie eine Integration mit Organizations durchführen und die zentrale Konfiguration verwenden.
| Action | Delegiertes Security Hub-CSPM-Administratorkonto | Zentral verwaltetes Mitgliedskonto | Selbstverwaltetes Mitgliedskonto |
| --- | --- | --- | --- |
| Security Hub CSPM-Konfigurationsrichtlinien erstellen und verwalten | Für selbst und zentral verwaltete Konten | – | – |
| Organisationskonten anzeigen | Beliebig | – | – |
| Mitgliedskonto trennen | Beliebig | – | – |
| Mitgliedskonto löschen | Jedes Konto, das nicht zur Organisation gehört | – | – |
| Security Hub CSPM deaktivieren | Für Girokonten und zentral verwaltete Konten | – | Aktuell (muss vom Administratorkonto getrennt werden) |
| Ergebnisse und Fundverlauf anzeigen | Beliebig | Aktuell | Aktuell |
| Ergebnisse aktualisieren | Beliebig | Aktuell | Aktuell |
| Insight-Ergebnisse anzeigen | Beliebig | Aktuell | Aktuell |
| Kontrolldetails anzeigen | Beliebig | Aktuell | Aktuell |
| Schalten Sie konsolidierte Kontrollergebnisse ein oder aus | Beliebig | – | – |
| Aktivieren und deaktivieren Sie Standards | Für Girokonten und zentral verwaltete Konten | – | Aktuell |
| Steuerungen aktivieren und deaktivieren | Für Girokonten und zentral verwaltete Konten | – | Aktuell |
| Integrationen aktivieren und deaktivieren | Aktuell | Aktuell | Aktuell |
| Konfigurieren Sie die regionsübergreifende Aggregation | Beliebig | – | – |
| Wählen Sie die Heimatregion und die verknüpften Regionen | Beliebig (Sie müssen die zentrale Konfiguration beenden und neu starten, um die Heimatregion zu ändern) | – | – |
| Konfigurieren Sie benutzerdefinierte Aktionen | Aktuell | Aktuell | Aktuell |
| Konfigurieren Sie Automatisierungsregeln | Beliebig | – | – |
| Konfigurieren Sie benutzerdefinierte Einblicke | Aktuell | Aktuell | Aktuell |
## Zulässige Aktionen, wenn Sie eine Integration mit Organizations durchführen und die lokale Konfiguration verwenden
Administrator- und Mitgliedskonten können wie folgt auf Security Hub CSPM-Aktionen zugreifen, wenn Sie eine Integration mit Organizations durchführen und die lokale Konfiguration verwenden.
| Action | Delegiertes Security Hub-CSPM-Administratorkonto | Mitgliedskonto |
| --- | --- | --- |
| Security Hub CSPM-Konfigurationsrichtlinien erstellen und verwalten | – | – |
| Organisationskonten anzeigen | Beliebig | – |
| Mitgliedskonto trennen | Beliebig | – |
| Mitgliedskonto löschen | – | – |
| Security Hub CSPM deaktivieren | – | Aktuell (wenn das Konto vom delegierten Administrator getrennt ist) |
| Ergebnisse und Fundverlauf anzeigen | Beliebig | Aktuell |
| Ergebnisse aktualisieren | Beliebig | Aktuell |
| Insight-Ergebnisse anzeigen | Beliebig | Aktuell |
| Kontrolldetails anzeigen | Beliebig | Aktuell |
| Schalten Sie konsolidierte Kontrollergebnisse ein oder aus | Beliebig | – |
| Aktivieren und deaktivieren Sie Standards | Aktuell | Aktuell |
| Automatisches Aktivieren von Security Hub CSPM und Standardstandards in neuen Unternehmenskonten | Für Girokonten und neue Organisationskonten | – |
| Steuerelemente aktivieren und deaktivieren | Aktuell | Aktuell |
| Aktiviere und deaktiviere Integrationen | Aktuell | Aktuell |
| Konfigurieren Sie die regionsübergreifende Aggregation | Beliebig | – |
| Konfigurieren Sie benutzerdefinierte Aktionen | Aktuell | Aktuell |
| Konfigurieren Sie Automatisierungsregeln | Beliebig | – |
| Konfigurieren Sie benutzerdefinierte Einblicke | Aktuell | Aktuell |
## Zulässige Aktionen für Konten, die auf Einladungen basieren
Administrator- und Mitgliedskonten können wie folgt auf Security Hub CSPM-Aktionen zugreifen, wenn Sie die einladungsbasierte Methode verwenden, um Konten manuell zu verwalten, anstatt sie zu integrieren. AWS Organizations
| Action | Security Hub CSPM-Administratorkonto | Mitgliedskonto |
| --- | --- | --- |
| Security Hub CSPM-Konfigurationsrichtlinien erstellen und verwalten | – | – |
| Organisationskonten anzeigen | Beliebig | – |
| Mitgliedskonto trennen | Beliebig | Aktuell |
| Mitgliedskonto löschen | Beliebig | – |
| Security Hub CSPM deaktivieren | Aktuell (wenn keine aktivierten Mitgliedskonten vorhanden sind) | Aktuell (wenn das Konto vom Administratorkonto getrennt ist) |
| Ergebnisse und Fundverlauf anzeigen | Beliebig | Aktuell |
| Ergebnisse aktualisieren | Beliebig | Aktuell |
| Insight-Ergebnisse anzeigen | Beliebig | Aktuell |
| Kontrolldetails anzeigen | Beliebig | Aktuell |
| Schalten Sie konsolidierte Kontrollergebnisse ein oder aus | Beliebig | – |
| Aktivieren und deaktivieren Sie Standards | Aktuell | Aktuell |
| Automatisches Aktivieren von Security Hub CSPM und Standardstandards in neuen Unternehmenskonten | – | – |
| Steuerungen aktivieren und deaktivieren | Aktuell | Aktuell |
| Aktiviere und deaktiviere Integrationen | Aktuell | Aktuell |
| Konfigurieren Sie die regionsübergreifende Aggregation | Beliebig | – |
| Konfigurieren Sie benutzerdefinierte Aktionen | Aktuell | Aktuell |
| Konfigurieren Sie Automatisierungsregeln | Beliebig | – |
| Konfigurieren Sie benutzerdefinierte Einblicke | Aktuell | Aktuell |
# Auswirkung von Kontoaktionen auf Security Hub CSPM-Daten
Diese Kontoaktionen haben die folgenden Auswirkungen auf die AWS Security Hub CSPM-Daten.
## Security Hub CSPM deaktiviert
Wenn Sie die [zentrale Konfiguration](central-configuration-intro.md) verwenden, kann der delegierte Administrator (DA) Security Hub CSPM-Konfigurationsrichtlinien erstellen, die AWS Security Hub CSPM in bestimmten Konten und Organisationseinheiten deaktivieren (). OUs In diesem Fall ist Security Hub CSPM in den angegebenen Konten sowie OUs in Ihrer Heimatregion und allen verknüpften Regionen deaktiviert. Wenn Sie die zentrale Konfiguration nicht verwenden, müssen Sie Security Hub CSPM in jedem Konto und jeder Region, in der Sie es aktiviert haben, separat deaktivieren. Sie können die zentrale Konfiguration nicht verwenden, wenn Security Hub CSPM im DA-Konto deaktiviert ist.
Für das Administratorkonto werden keine Ergebnisse generiert oder aktualisiert, wenn Security Hub CSPM im Administratorkonto deaktiviert ist. Bestehende archivierte Ergebnisse werden nach 30 Tagen gelöscht. Bestehende aktive Ergebnisse werden nach 90 Tagen gelöscht.
Integrationen mit anderen AWS-Services werden entfernt.
Aktivierte Sicherheitsstandards und Kontrollen sind deaktiviert.
Andere Security Hub CSPM-Daten und -Einstellungen, einschließlich benutzerdefinierter Aktionen, Einblicke und Abonnements für Produkte von Drittanbietern, werden 90 Tage lang aufbewahrt.
## Das Mitgliedskonto wurde vom Administratorkonto getrennt
Wenn die Verknüpfung eines Mitgliedskontos mit dem Administratorkonto getrennt wird, verliert das Administratorkonto die Berechtigung, Ergebnisse im Mitgliedskonto einzusehen. Security Hub CSPM ist jedoch weiterhin in beiden Konten aktiviert.
Wenn Sie die zentrale Konfiguration verwenden, kann der DA Security Hub CSPM nicht für ein Mitgliedskonto konfigurieren, das vom DA-Konto getrennt ist.
Benutzerdefinierte Einstellungen oder Integrationen, die für das Administratorkonto definiert sind, werden nicht auf Ergebnisse aus dem früheren Mitgliedskonto angewendet. Wenn die Konten beispielsweise getrennt wurden, haben Sie möglicherweise eine benutzerdefinierte Aktion im Administratorkonto, die als Ereignismuster in einer EventBridge Amazon-Regel verwendet wird. Diese benutzerdefinierte Aktion kann jedoch nicht im Mitgliedskonto verwendet werden.
**In der **Kontenliste** für das Security Hub CSPM-Administratorkonto hat ein entferntes Konto den Status Getrennt.**
## Das Mitgliedskonto wurde aus einer Organisation entfernt
Wenn ein Mitgliedskonto aus einer Organisation entfernt wird, verliert das Security Hub CSPM-Administratorkonto die Berechtigung, Ergebnisse im Mitgliedskonto einzusehen. Security Hub CSPM ist jedoch weiterhin in beiden Konten mit denselben Einstellungen aktiviert, die sie vor dem Entfernen hatten.
Wenn Sie die zentrale Konfiguration verwenden, können Sie Security Hub CSPM nicht für ein Mitgliedskonto konfigurieren, nachdem es aus der Organisation entfernt wurde, zu der der delegierte Administrator gehört. Das Konto behält jedoch die Einstellungen bei, die es vor der Entfernung hatte, sofern Sie sie nicht manuell ändern.
**In der **Kontenliste** für das Security Hub CSPM-Administratorkonto hat ein entferntes Konto den Status Gelöscht.**
## Das Konto ist gesperrt
Wenn ein gesperrt AWS-Konto wird, verliert das Konto die Erlaubnis, seine Ergebnisse in Security Hub CSPM einzusehen. Für dieses Konto werden keine Ergebnisse generiert oder aktualisiert. Das Administratorkonto für ein gesperrtes Konto kann die vorhandenen Ergebnisse für das Konto einsehen.
Bei einem Unternehmenskonto kann sich der Status des Mitgliedskontos auch in **Konto gesperrt** ändern. Dies ist der Fall, wenn das Konto gleichzeitig gesperrt wird, während das Administratorkonto versucht, das Konto zu aktivieren. Das Administratorkonto für ein **gesperrtes** Konto kann die Ergebnisse für dieses Konto nicht einsehen. Andernfalls hat der Status „Gesperrt“ keinen Einfluss auf den Status des Mitgliedskontos.
Wenn Sie die zentrale Konfiguration verwenden, schlägt die Richtlinienzuweisung fehl, wenn der delegierte Administrator versucht, einem gesperrten Konto eine Konfigurationsrichtlinie zuzuordnen.
Nach 90 Tagen wird das Konto entweder gekündigt oder reaktiviert. Wenn das Konto reaktiviert wird, werden seine Security Hub CSPM-Berechtigungen wiederhergestellt. Wenn das Mitgliedskonto den Status **Konto gesperrt** hat, muss das Administratorkonto das Konto manuell aktivieren.
## Das Konto ist geschlossen
Wenn ein geschlossen AWS-Konto wird, reagiert Security Hub CSPM wie folgt auf das Schließen.
Wenn es sich bei dem Konto um ein Security Hub CSPM-Administratorkonto handelt, wird es als Administratorkonto entfernt und alle Mitgliedskonten werden entfernt. Wenn es sich bei dem Konto um ein Mitgliedskonto handelt, wird es getrennt und als Mitglied aus dem Security Hub CSPM-Administratorkonto entfernt.
Security Hub CSPM bewahrt bestehende archivierte Ergebnisse 30 Tage lang im Konto auf. Bei einem Kontrollbefund basiert die Berechnung von 30 Tagen auf dem Wert für das `UpdatedAt` Feld, in dem das Ergebnis festgestellt wurde. Bei einem anderen Befundtyp basiert die Berechnung auf dem Wert für das `ProcessedAt` Feld `UpdatedAt` oder des Ergebnisses, je nachdem, welches Datum das späteste ist. Nach Ablauf dieser 30-tägigen Frist löscht Security Hub CSPM den Befund dauerhaft aus dem Konto.
Security Hub CSPM speichert bestehende aktive Ergebnisse 90 Tage lang im Konto. Bei einem Kontrollbefund basiert die Berechnung von 90 Tagen auf dem Wert für das `UpdatedAt` Feld, in dem das Ergebnis festgestellt wurde. Bei einem anderen Befundtyp basiert die Berechnung auf dem Wert für das `ProcessedAt` Feld `UpdatedAt` oder des Ergebnisses, je nachdem, welches Datum das späteste ist. Am Ende dieses 90-Tage-Zeitraums löscht Security Hub CSPM den Befund dauerhaft aus dem Konto.
Zur längerfristigen Aufbewahrung vorhandener Ergebnisse können Sie die Ergebnisse in einen S3-Bucket exportieren. Sie können dies tun, indem Sie eine benutzerdefinierte Aktion mit einer EventBridge Amazon-Regel verwenden. Weitere Informationen finden Sie unter [Verwendung EventBridge für automatisierte Reaktionen und Problembehebungen](securityhub-cloudwatch-events.md).
**Wichtig**
Für Kunden, die sich angemeldet haben AWS GovCloud (US) Regions, erstellen Sie eine Sicherungskopie und löschen Sie dann Ihre Versicherungsdaten und andere Kontoressourcen, bevor Sie Ihr Konto schließen. Nachdem Sie Ihr Konto geschlossen haben, haben Sie keinen Zugriff mehr auf die Ressourcen und Daten.
Weitere Informationen finden Sie unter [Schließen](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/close-account.html) und AWS-Konto im *AWS -Kontenverwaltung Referenzhandbuch*.