Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Habilitación automática de nuevas cuentas de la organización en Security Hub
Cuando se incorporan nuevas cuentas a su organización, se añaden a la lista de la página Cuentas de la AWS Security Hub consola. En el caso de las cuentas de la organización, el Tipo es Por organización. De forma predeterminada, las cuentas nuevas no se convierten en miembros de Security Hub cuando se unen a la organización. Su estado es No es miembro. La cuenta de administrador delegado puede agregar de manera automática cuentas nuevas como miembros y habilitar Security Hub en estas cuentas cuando se unen a la organización.
nota
Aunque muchas de Regiones de AWS ellas están activas de forma predeterminada en su Cuenta de AWS caso, debe activar algunas regiones de forma manual. En el presente documento estas regiones se denominan regiones de suscripción voluntaria. Para habilitar automáticamente Security Hub en una cuenta nueva en una región de suscripción voluntaria, primero debe activar esa región en la cuenta. Solo el propietario de la cuenta puede activar la región de suscripción voluntaria. Para obtener más información sobre las regiones con las que puedes suscribirte, consulta Cómo especificar qué regiones puede usar Regiones de AWS tu cuenta.
Este proceso es diferente en función de si se utiliza la configuración centralizada (recomendada) o la configuración local.
Habilitación automática de nuevas cuentas de la organización (configuración centralizada)
Si utiliza la configuración centralizada, puede habilitar automáticamente Security Hub en las cuentas nuevas y las existentes de la organización mediante la creación de una política de configuración en la que Security Hub esté habilitado. A continuación, puede asociar la política a la raíz de la organización o a unidades organizativas específicas (OUs).
Si asocia una política de configuración en la que Security Hub está habilitado en una unidad organizativa específica, Security Hub se habilita automáticamente en todas las cuentas (existentes y nuevas) que pertenezcan a dicha unidad. Las cuentas nuevas que no pertenecen a la unidad organizativa se autoadministran y no tienen habilitado Security Hub automáticamente. Si asocia a la raíz una política de configuración en la que Security Hub esté habilitado, Security Hub se habilitará automáticamente en todas las cuentas (existentes y nuevas) que se unan a la organización. Las excepciones son si una cuenta usa una política diferente por aplicación o herencia, o si es autoadministrada.
En su política de configuración, también puede definir qué estándares y controles de seguridad deben habilitarse en la unidad organizativa. Para generar resultados de control para los estándares habilitados, las cuentas de la OU deben estar AWS Config habilitadas y configuradas para registrar los recursos necesarios. Para obtener más información sobre el AWS Config registro, consulte Habilitación y configuración AWS Config.
Para obtener instrucciones sobre cómo crear una política de configuración, consulte Creación y asociación de políticas de configuración.
Habilitación automática de nuevas cuentas de la organización (configuración local)
Cuando utiliza la configuración local y activa la habilitación automática de los estándares predeterminados, Security Hub agrega cuentas nuevas de la organización como miembros y habilita Security Hub en ellas en la región actual. Otras regiones no se ven afectadas. Además, al activar la habilitación automática, no se habilita Security Hub en las cuentas de la organización existentes, a menos que ya se hayan agregado como cuentas de miembro.
Después de activar la habilitación automática, los estándares de seguridad predeterminados se habilitan para las cuentas de miembro nuevas en la región actual cuando se unen a la organización. Los estándares predeterminados son AWS Foundational Security Best Practices (FSBP) y Center for Internet Security (CIS) AWS Foundations Benchmark v1.2.0. No puede cambiar los estándares predeterminados. Si desea habilitar otros estándares en toda su organización o habilitar los estándares para determinadas cuentas, le recomendamos que utilice una configuración centralizada. OUs
Para generar resultados de control para los estándares predeterminados (y otros estándares habilitados), las cuentas de su organización deben estar AWS Config habilitadas y configuradas para registrar los recursos necesarios. Para obtener más información sobre el AWS Config registro, consulte Habilitar y configurar AWS Config.
Elija el método que prefiera y siga estos pasos para habilitar Security Hub en nuevas cuentas de la organización. Estas instrucciones solo se aplican si utiliza la configuración local.
