AWS Security Hub y AWS Organizations - AWS Organizations
Roles vinculados al servicioPrincipal del servicioHabilitar el acceso de confianzaDeshabilitar el acceso de confianzaActivación de un administrador delegado para Security HubDesactivación de un administrador delegado para Security Hub

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

AWS Security Hub y AWS Organizations

AWS Security Hub le proporciona una visión completa de su estado de seguridad en AWS y le ayuda a comprobar su entorno con los estándares y las prácticas recomendadas del sector de la seguridad.

Security Hub recopila los datos de seguridad de todas su Cuentas de AWS, los Servicios de AWS que utiliza y los productos de socios de terceros compatibles. Lo ayuda a analizar sus tendencias de seguridad y a identificar los problemas de seguridad de mayor prioridad.

Cuando utiliza Security Hub y AWS Organizations, puede habilitar automáticamente Security Hub para todas sus cuentas, incluidas las cuentas nuevas a medida que se agregan. Esto aumenta la cobertura de las comprobaciones y hallazgos de Security Hub, lo que proporciona una imagen más completa y precisa de su posición general de seguridad.

Para obtener más información sobre Security Hub, consulte la Guía del usuario de AWS Security Hub.

Utilice la siguiente información para ayudarle a integrar AWS Security Hub con AWS Organizations.

Roles vinculados al servicio creados al habilitar la integración

El siguientes Rol vinculado al servicio se crea automáticamente en la cuenta de administración de su organización cuando habilita el acceso de confianza. Este rol permite a Security Hub realizar operaciones compatibles dentro de las cuentas de su organización.

Puede eliminar o modificar este rol solo si deshabilita el acceso de confianza entre Security Hub y Organizations, o si elimina la cuenta de miembro de la organización.

  • AWSServiceRoleForSecurityHub

Los principales de servicios utilizados por los roles vinculados a servicios

El rol vinculado al servicio de la sección anterior solo puede ser asumido por las entidades de servicio autorizadas por las relaciones de confianza definidas para el rol. Los roles vinculados a servicios utilizados por Security Hub otorgan acceso a las siguientes entidades de servicio:

  • securityhub.amazonaws.com

Habilitación del acceso de confianza Security Hub

Para obtener información acerca de los permisos necesarios para habilitar el acceso de confianza, consulte Permisos necesarios para habilitar el acceso de confianza.

Cuando designa un administrador delegado para Security Hub, Security Hub habilita automáticamente el acceso de confianza para Security Hub en su organización.

Desactivación del acceso de confianza con Security Hub

Para obtener más información sobre los permisos que necesita, consulte Permissions required to disable trusted access en la Guía del usuario de AWS Organizations.

Antes de deshabilitar el acceso de confianza, recomendamos colaborar con el administrador delegado de su organización para deshabilitar Security Hub en las cuentas de miembro y limpiar los recursos de Security Hub en esas cuentas.

Para deshabilitar el acceso de confianza, puede utilizar la consola de AWS Organizations, la API de Organizations o la AWS CLI. Solo un administrador de la cuenta de administración de Organizations puede deshabilitar el acceso de confianza con Security Hub.

Para obtener instrucciones sobre cómo deshabilitar el acceso de confianza con Security Hub, consulte Disabling Security Hub integration with AWS Organizations.

Activación de un administrador delegado para Security Hub

Cuando designa una cuenta de miembro como administrador delegado para la organización, los usuarios y las funciones de esa cuenta pueden realizar acciones administrativas para Security Hub que, de lo contrario, solo pueden ser realizadas por usuarios o roles en la cuenta de administración de la organización. Esto le ayuda a separar la gestión de la organización de la gestión de Security Hub.

Para obtener información, consulte Designación de una cuenta de administrador de Security Hub en la Guía del usuario de AWS Security Hub.

Para designar una cuenta de miembro como administrador delegado para Security Hub

  1. Inicie sesión en Organizations mediante la cuenta de administración de su organización.

  2. Lleve a cabo una de las siguientes operaciones:

    • Si su cuenta de administración no tiene habilitado Security Hub, en la consola de Security Hub, elija Ir a Security Hub.

    • Si su cuenta de administración tiene habilitado Security Hub, en la consola de Security Hub, en General, elija Configuración.

  3. En Administrador delegado, ingrese el ID de la cuenta.

Desactivación de un administrador delegado para Security Hub

Solo la cuenta de administración de la organización puede eliminar la cuenta de administrador delegado de Security Hub.

Para cambiar al administrador delegado de Security Hub, primero debe eliminar la cuenta de administrador delegado actual y, luego, designar una nueva.

Si utiliza la consola de Security Hub para eliminar al administrador delegado en una región, este se elimina en todas las regiones.

La API de Security Hub solo elimina la cuenta de administrador delegado de Security Hub de la región en la que se emite el comando o la llamada a la API. Debe repetir la acción en las demás regiones.

Si utiliza la API de Organizations para eliminar la cuenta de administrador delegado de Security Hub, se eliminará automáticamente de todas las regiones.

Para obtener instrucciones sobre cómo deshabilitar el administrador delegado de Security Hub, consulte Removing or changing the delegated administrator.