Habilitación automática de nuevas cuentas de la organización en Security Hub - AWS Security Hub

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Habilitación automática de nuevas cuentas de la organización en Security Hub

Cuando se incorporan nuevas cuentas a su organización, se añaden a la lista de la página Cuentas del AWS Security Hub console. En el caso de las cuentas de la organización, el Tipo es Por organización. De forma predeterminada, las cuentas nuevas no se convierten en miembros de Security Hub cuando se unen a la organización. Su estado es No es miembro. La cuenta de administrador delegado puede añadir automáticamente nuevas cuentas como miembros y habilitar Security Hub en estas cuentas cuando se unan a la organización.

nota

Aunque muchos Regiones de AWS están activos de forma predeterminada para su Cuenta de AWS, debe activar determinadas regiones manualmente. En este documento, estas regiones se denominan regiones de suscripción voluntaria. Para activar automáticamente Security Hub en una cuenta nueva de una región que haya optado por participar, la cuenta debe tener esa región activada primero. Solo el propietario de la cuenta puede activar la región de suscripción. Para obtener más información sobre las regiones de suscripción voluntaria, consulte Especificar cuáles Regiones de AWS su cuenta puede usar.

Este proceso es diferente en función de si se utiliza la configuración centralizada (recomendada) o la configuración local.

Habilitación automática de nuevas cuentas de la organización (configuración centralizada)

Si usa la configuración central, puede habilitar automáticamente Security Hub en las cuentas nuevas y existentes de la organización mediante la creación de una política de configuración en la que Security Hub esté habilitado. A continuación, puede asociar la política a la raíz de la organización o a unidades organizativas específicas (OUs).

Si asocia una política de configuración en la que Security Hub está habilitado en una unidad organizativa específica, Security Hub se habilita automáticamente en todas las cuentas (existentes y nuevas) que pertenezcan a dicha unidad. Las cuentas nuevas que no pertenecen a la unidad organizativa se autoadministran y no tienen habilitado Security Hub automáticamente. Si asocia a la raíz una política de configuración en la que Security Hub esté habilitado, Security Hub se habilitará automáticamente en todas las cuentas (existentes y nuevas) que se unan a la organización. Las excepciones son si una cuenta usa una política diferente por aplicación o herencia, o si es autoadministrada.

En su política de configuración, también puede definir qué estándares y controles de seguridad deben habilitarse en la unidad organizativa. Para generar resultados de control para los estándares habilitados, las cuentas de la OU deben tener AWS Config habilitadas y configuradas para registrar los recursos necesarios. Para obtener más información acerca de AWS Config grabación, consulte Habilitación y configuración AWS Config.

Para obtener instrucciones sobre cómo crear una política de configuración, consulte Creación y asociación de políticas de configuración.

Habilitación automática de nuevas cuentas de la organización (configuración local)

Al usar la configuración local y activar la activación automática de los estándares predeterminados, Security Hub agrega nuevas cuentas de la organización como miembros y habilita Security Hub en ellas en la región actual. Otras regiones no se ven afectadas. Además, al activar la habilitación automática, no se habilita Security Hub en las cuentas de la organización existentes, a menos que ya se hayan agregado como cuentas de miembro.

Tras activar la activación automática, se habilitan los estándares de seguridad predeterminados para las cuentas de los nuevos miembros de la región actual cuando se unen a la organización. Los estándares predeterminados son AWS Prácticas recomendadas de seguridad fundamentales (FSBP) y Center for Internet Security () CIS AWS Foundations Benchmark v1.2.0. No puede cambiar los estándares predeterminados. Si desea habilitar otros estándares en toda su organización o habilitar los estándares para cuentas seleccionadasOUs, le recomendamos que utilice la configuración central.

Para generar conclusiones de control para los estándares predeterminados (y otros estándares habilitados), las cuentas de su organización deben tener AWS Config habilitadas y configuradas para registrar los recursos necesarios. Para obtener más información acerca de AWS Config grabación, consulte Habilitación y configuración AWS Config.

Elija el método que prefiera y siga estos pasos para habilitar Security Hub en nuevas cuentas de la organización. Estas instrucciones solo se aplican si utiliza la configuración local.

Security Hub console
Habilitación automática de nuevas cuentas de la organización como cuentas de miembro
  1. Abra el icono AWS Security Hub consola en https://console.aws.amazon.com/securityhub/.

    Inicie sesión con las credenciales de la cuenta de administrador delegado.

  2. En el panel de navegación de Security Hub, en Configuración, elija Configuración.

  3. En la sección Cuentas, active Habilitación automática de cuentas.

Security Hub API

Habilitación automática de nuevas cuentas de la organización como cuentas de miembro

Invoque UpdateOrganizationConfigurationAPIdesde la cuenta de administrador delegado. Defina el campo AutoEnable en true para habilitar automáticamente Security Hub en las nuevas cuentas de la organización.

AWS CLI

Habilitación automática de nuevas cuentas de la organización como cuentas de miembro

Ejecute el comando update-organization-configuration desde la cuenta de administrador delegado. Incluya el parámetro auto-enable para habilitar automáticamente Security Hub en las nuevas cuentas de la organización.

aws securityhub update-organization-configuration --auto-enable