Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés. # Creación y asociación de políticas de configuración La cuenta de administrador de CSPM de AWS Security Hub delegada puede crear políticas de configuración que especifiquen cómo se configuran el CSPM, los estándares y los controles de Security Hub en cuentas y unidades organizativas específicas (). OUs Una política de configuración solo entra en vigor después de que el administrador delegado la asocie al menos a una cuenta o unidad organizativa () OUs o a la raíz. El administrador delegado también puede asociar una configuración autogestionada a las cuentas o a la OUs raíz. Si es la primera vez que crea una política de configuración, le recomienda que revise antes [Cómo funcionan las políticas de configuración del CSPM de Security Hub](configuration-policies-overview.md). Elija el método de acceso que prefiera y siga los pasos para crear y asociar una política de configuración o una configuración autoadministrada. Al utilizar la consola CSPM de Security Hub, puede asociar una configuración a varias cuentas o OUs al mismo tiempo. Al utilizar la API CSPM de Security Hub o AWS CLI, puede asociar una configuración a una sola cuenta o unidad organizativa en cada solicitud. **nota** Si usa la configuración centralizada, el CSPM de Security Hub desactiva automáticamente los controles que implican recursos globales en todas las regiones, excepto en la región de origen. Los controles que elija habilitar a través de una política de configuración están habilitados en todas las regiones en las que están disponibles. Para limitar los resultados de estos controles a una sola región, puede actualizar la configuración de la AWS Config grabadora y desactivar el registro de recursos globales en todas las regiones, excepto en la región de origen. Si un control habilitado que implica recursos globales no es compatible en la región de origen, el CSPM de Security Hub intenta habilitarlo en una región vinculada donde sí se admita. Con la configuración centralizada, no se obtiene cobertura para un control que no está disponible ni en la región de origen ni en ninguna de las regiones vinculadas. Para obtener una lista de los controles que implican recursos globales, consulte [Controles que utilizan recursos globales](controls-to-disable.md#controls-to-disable-global-resources). ------ #### [ Security Hub CSPM console ] **Creación y asociación de políticas de configuración** 1. Abra la consola CSPM de AWS Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) Inicie sesión con las credenciales de la cuenta de administrador delegado del CSPM de Security Hub en la región de origen. 1. En el panel de navegación, seleccione **Configuración** y la pestaña **Políticas**. A continuación, seleccione **Crear política**. 1. En la página **Configurar organización**, si es la primera vez que crea una política de configuración, verá tres opciones en **Tipo de configuración**. Si ya ha creado al menos una política de configuración, solo verá la opción **Política personalizada**. + Elija **Usar la configuración CSPM de Security Hub AWS recomendada en toda mi organización** para usar nuestra política recomendada. La política recomendada habilita el CSPM de Security Hub en todas las cuentas de la organización, habilita el estándar AWS Foundational Security Best Practices (FSBP) y habilita todos los controles FSBP nuevos y existentes. Los controles utilizan valores de parámetros predeterminados. + Para crear una política de configuración más tarde, seleccione **Aún no lo tengo todo listo para configurarla**. + Seleccione **Política personalizada** para crear una política de configuración personalizada. Especifique si desea habilitar o desactivar el CSPM de Security Hub, qué estándares desea habilitar y qué controles desea habilitar dentro de esos estándares. Si lo desea, especifique [valores de parámetros personalizados](custom-control-parameters.md) para uno o más controles habilitados que admitan parámetros personalizados. 1. En la sección **Cuentas**, elija las cuentas de destino o las cuentas raíz a las que desea que se aplique la política de configuración. OUs + Seleccione **Todas las cuentas** si desea aplicar la política de configuración a la raíz. Esto incluye todas las cuentas de OUs la organización a las que no se les haya aplicado o heredado otra política. + Elija **Cuentas específicas** si desea aplicar la política de configuración a cuentas específicas o OUs. Introduzca la cuenta IDs o seleccione las cuentas y la estructura OUs de la organización. Puede aplicar la política a un máximo de 15 objetivos (cuentas o root) al crearla. OUs Para especificar un número mayor, edite la política después de crearla y aplíquela a destinos adicionales. + Seleccione **Solo el administrador delegado** para aplicar la política de configuración a la cuenta de administrador delegado actual. 1. Elija **Siguiente**. 1. En la página **Revisar y aplicar**, revise los detalles de la política de configuración. A continuación, seleccione **Crear y aplicar política**. Tanto en su región de origen como en las regiones vinculadas, esta acción anula los ajustes de configuración existentes de las cuentas asociadas a esta política de configuración. Las cuentas se pueden asociar a la política de configuración mediante una aplicación o la herencia de un nodo principal. Las cuentas secundarias y OUs los destinos aplicados heredarán automáticamente esta política de configuración, a menos que se excluyan específicamente, se autoadministren o utilicen una política de configuración diferente. ------ #### [ Security Hub CSPM API ] **Creación y asociación de políticas de configuración** 1. Invoque la API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateConfigurationPolicy.html) desde la cuenta de administrador delegado del CSPM de Security Hub en la región de origen. 1. En `Name`, especifique un nombre para la política de configuración. Si lo desea, en el caso de `Description`, proporcione una descripción de la política de configuración. 1. En el campo `ServiceEnabled`, especifique si desea que el CSPM de Security Hub esté habilitado o desactivado en esta política de configuración. 1. En el campo `EnabledStandardIdentifiers`, especifique qué estándares del CSPM de Security Hub desea habilitar en esta política de configuración. 1. Para el objeto `SecurityControlsConfiguration`, especifique qué controles desea habilitar o deshabilitar en esta política de configuración. Elegir `EnabledSecurityControlIdentifiers` significa que los controles especificados están habilitados. Otros controles que forman parte de los estándares habilitados (como los controles recién lanzados) están deshabilitados. Elegir `DisabledSecurityControlIdentifiers` significa que los controles especificados están deshabilitados. Otros controles que forman parte de los estándares habilitados (como los controles recién lanzados) están habilitados. 1. Si lo desea, en el campo `SecurityControlCustomParameters`, especifique los controles habilitados para los que desee personalizar los parámetros. Indique `CUSTOM` en el campo `ValueType` y el valor del parámetro personalizado para el campo `Value`. El valor debe ser del tipo de datos correcto y estar dentro de los rangos válidos que especifique el CSPM de Security Hub. Solo algunos controles admiten valores de parámetros personalizados. Para obtener más información, consulte [Comprensión de los parámetros de control en el CSPM de Security Hub](custom-control-parameters.md). 1. Para aplicar su política de configuración a las cuentas o OUs, invoque la [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html)API desde la cuenta de administrador delegado CSPM de Security Hub en la región de origen. 1. En el campo `ConfigurationPolicyIdentifier`, indique el nombre de recurso de Amazon (ARN) o el identificador único universal (UUID) de la política. La API `CreateConfigurationPolicy` devuelve el ARN y el UUID. En una configuración autoadministrada, el campo `ConfigurationPolicyIdentifier` es igual a `SELF_MANAGED_SECURITY_HUB`. 1. En el campo `Target`, indique el ID de raíz, unidad organizativa, o cuenta donde desea que se aplique esta política de configuración. Solo puede proporcionar un objetivo en cada solicitud de API. Las cuentas secundarias y OUs del destino seleccionado heredarán automáticamente esta política de configuración, a menos que se autoadministren o utilicen una política de configuración diferente. **Ejemplo de solicitud de API para crear una política de configuración:** ``` { "Name": "SampleConfigurationPolicy", "Description": "Configuration policy for production accounts", "ConfigurationPolicy": { "SecurityHub": { "ServiceEnabled": true, "EnabledStandardIdentifiers": [ "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0", "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0" ], "SecurityControlsConfiguration": { "DisabledSecurityControlIdentifiers": [ "CloudTrail.2" ], "SecurityControlCustomParameters": [ { "SecurityControlId": "ACM.1", "Parameters": { "daysToExpiration": { "ValueType": "CUSTOM", "Value": { "Integer": 15 } } } } ] } } } } ``` **Ejemplo de solicitud de API para asociar una política de configuración:** ``` { "ConfigurationPolicyIdentifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Target": {"OrganizationalUnitId": "ou-examplerootid111-exampleouid111"} } ``` ------ #### [ AWS CLI ] **Creación y asociación de políticas de configuración** 1. Ejecute el comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-configuration-policy.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-configuration-policy.html) desde la cuenta de administrador delegado del CSPM de Security Hub en la región de origen. 1. En `name`, especifique un nombre para la política de configuración. Si lo desea, en el caso de `description`, proporcione una descripción de la política de configuración. 1. En el campo `ServiceEnabled`, especifique si desea que el CSPM de Security Hub esté habilitado o desactivado en esta política de configuración. 1. En el campo `EnabledStandardIdentifiers`, especifique qué estándares del CSPM de Security Hub desea habilitar en esta política de configuración. 1. En el campo `SecurityControlsConfiguration`, especifique qué controles desea habilitar o deshabilitar en esta política de configuración. Elegir `EnabledSecurityControlIdentifiers` significa que los controles especificados están habilitados. Otros controles que forman parte de los estándares habilitados (como los controles recién lanzados) están deshabilitados. Elegir `DisabledSecurityControlIdentifiers` significa que los controles especificados están deshabilitados. Se han habilitado otros controles que se aplican a los estándares habilitados (como los controles recién lanzados). 1. Si lo desea, en el campo `SecurityControlCustomParameters`, especifique los controles habilitados para los que desee personalizar los parámetros. Indique `CUSTOM` en el campo `ValueType` y el valor del parámetro personalizado para el campo `Value`. El valor debe ser del tipo de datos correcto y estar dentro de los rangos válidos que especifique el CSPM de Security Hub. Solo algunos controles admiten valores de parámetros personalizados. Para obtener más información, consulte [Comprensión de los parámetros de control en el CSPM de Security Hub](custom-control-parameters.md). 1. Para aplicar la política de configuración a las cuentas o OUs, ejecute el [https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html)comando desde la cuenta de administrador delegado CSPM de Security Hub en la región de origen. 1. En el campo `configuration-policy-identifier`, indique el nombre de recurso de Amazon (ARN) o el ID de la política de configuración. El comando `create-configuration-policy` devuelve este ARN e ID. 1. En el campo `target`, indique el ID de raíz, unidad organizativa, o cuenta donde desea que se aplique esta política de configuración. Solo puede proporcionar un destino cada vez que ejecute el comando. Las entidades secundarias de los destinos seleccionados heredarán automáticamente esta política de configuración, a menos que se autoadministren o utilicen una política de configuración diferente. **Ejemplo de comando para crear una política de configuración:** ``` aws securityhub --region us-east-1 create-configuration-policy \ --name "SampleConfigurationPolicy" \ --description "Configuration policy for production accounts" \ --configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}}]}}}' ``` **Ejemplo de comando para asociar una política de configuración:** ``` aws securityhub --region us-east-1 start-configuration-policy-association \ --configuration-policy-identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \ --target '{"OrganizationalUnitId": "ou-examplerootid111-exampleouid111"}' ``` ------ La API `StartConfigurationPolicyAssociation` devuelve un campo llamado `AssociationStatus`. Este campo indica si la asociación de una política está pendiente o si su estado es correcto o incorrecto. El estado puede tardar hasta 24 horas minutos en cambiar de `PENDING` a `SUCCESS` o `FAILURE`. Para obtener más información sobre el estado de una asociación, consulte [Revisión del estado de asociación de una política de configuración](view-policy.md#configuration-association-status).