Integración de Security Hub con AWS Organizations - AWS Security Hub
Creación de una organizaciónRecomendaciones para elegir al administrador delegado de Security HubVerificación de permisos para configurar al administrador delegadoDesignación del administrador delegado

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Integración de Security Hub con AWS Organizations

Para integrar AWS Security Hub y AWS Organizations crear una organización en Organizations y utilizar la cuenta de administración de la organización para designar una cuenta de administrador delegada de Security Hub. Esto habilita Security Hub como un servicio de confianza en Organizations. También habilita Security Hub en la Región de AWS actual para la cuenta de administrador delegado y permite al administrador delegado habilitar Security Hub para las cuentas de los miembros, ver los datos de estas cuentas y llevar a cabo otras acciones permitidas en ellas.

Si utiliza la configuración centralizada, el administrador delegado también puede crear políticas de configuración de Security Hub que especifiquen cómo se deben configurar el servicio, los estándares y los controles de Security Hub en las cuentas de la organización.

Creación de una organización

Una organización es una entidad que se crea para consolidar la suya y Cuentas de AWS poder administrarla como una sola unidad.

Puede crear una organización mediante la AWS Organizations consola o mediante un comando de AWS CLI o uno de los SDKAPIs. Para obtener instrucciones detalladas sobre cómo hacerlo, consulte Creación de una organización en la Guía del usuario de AWS Organizations .

Puede utilizarla AWS Organizations para ver y gestionar de forma centralizada todas las cuentas de su organización. Una organización tiene una cuenta de administración junto con cero o más cuentas miembro. Puedes organizar las cuentas en una estructura jerárquica similar a un árbol con una raíz en la parte superior y unidades organizativas (OUs) anidadas debajo de la raíz. Cada cuenta puede estar directamente debajo de la raíz o colocarse en una de las siguientes jerarquías. OUs Una unidad organizativa es un contenedor para cuentas específicas. Por ejemplo, puede crear una unidad organizativa de finanzas que incluya todas las cuentas relacionadas con las operaciones financieras.

Recomendaciones para elegir al administrador delegado de Security Hub

Si dispone de una cuenta de administrador gracias al proceso de invitación manual y está realizando la transición a la administración de cuentas con ella AWS Organizations, le recomendamos que designe esa cuenta como administrador delegado de Security Hub.

Aunque el Security Hub APIs y la consola permiten que la cuenta de administración de la organización sea el administrador delegado del Security Hub, se recomienda elegir dos cuentas diferentes. Esto se debe a que es probable que los usuarios que tienen acceso a la cuenta de administración de la organización para administrar la facturación sean distintos de los usuarios que necesitan acceder a Security Hub para administrar la seguridad.

Le recomendamos que utilice el mismo administrador delegado en todas las regiones. Si opta por la configuración centralizada, Security Hub designa automáticamente el mismo administrador delegado en su región de origen y en cualquier región vinculada.

Verificación de permisos para configurar al administrador delegado

Para designar y eliminar una cuenta de administrador delegado de Security Hub, la cuenta de administración de la organización debe tener permisos para ejecutar las acciones EnableOrganizationAdminAccount y DisableOrganizationAdminAccount en Security Hub. La cuenta de administración de Organizations también debe contar con permisos administrativos para Organizations.

Para conceder todos los permisos necesarios, adjunta las siguientes políticas gestionadas por Security Hub a la cuenta IAM principal de administración de la organización:

Designación del administrador delegado

Para designar la cuenta de administrador delegada de Security Hub, puede usar la consola de Security Hub, Security Hub API o AWS CLI. Security Hub establece al administrador delegado Región de AWS solo en la actual, y debes repetir la acción en otras regiones. Si comienza a utilizar la configuración centralizada, Security Hub establece automáticamente el mismo administrador delegado en la región de origen y en las regiones vinculadas.

La cuenta de administración de la organización no tiene que habilitar Security Hub para designar la cuenta de administrador delegado de Security Hub.

Recomendamos que la cuenta de administración de la organización no sea la misma cuenta de administrador delegado de Security Hub. Sin embargo, si decide usar la cuenta de administración de la organización como administrador delegado de Security Hub, la cuenta de administración debe tener Security Hub habilitado. Si la cuenta de administración no tiene habilitado Security Hub, tendrá que hacerlo manualmente. Security Hub no se puede habilitar automáticamente para la cuenta de administración de la organización.

Debe designar al administrador delegado de Security Hub mediante uno de los siguientes métodos. La designación del administrador delegado del Security Hub con Organizations APIs no se refleja en Security Hub.

Elija el método que prefiera y siga los pasos para designar la cuenta de administrador delegado de Security Hub.

Security Hub console
Para designar al administrador delegado durante el proceso de incorporación

  1. Abra la AWS Security Hub consola en. https://console.aws.amazon.com/securityhub/

  2. Seleccione Ir a Security Hub. Se le solicitará que inicie sesión en la cuenta de administración de la organización.

  3. En la página Designar administrador delegado, en la sección Cuenta de administrador delegado, especifique la cuenta de administrador delegado. Se recomienda que elija el mismo administrador delegado que haya configurado para otros servicios de seguridad y conformidad de AWS .

  4. Elija Establecer administrador delegado. Se le solicitará que inicie sesión en la cuenta de administrador delegado (si aún no lo ha hecho) para continuar con la integración con la configuración centralizada. Si no desea iniciar la configuración centralizada, seleccione Cancelar. Su administrador delegado está configurado, pero usted todavía no utiliza la configuración centralizada.

Para designar al administrador delegado desde la página Configuración

  1. Abra la AWS Security Hub consola en https://console.aws.amazon.com/securityhub/.

  2. En el panel de navegación de Security Hub, elija Configuración. A continuación, elija General.

  3. Si actualmente hay asignada una cuenta de administrador de Security Hub, debe eliminarla antes de poder designar una nueva cuenta.

    En Administrador delegado, para eliminar la cuenta actual, seleccione Eliminar.

  4. Ingrese el ID de la cuenta que desea designar como administrador de Security Hub.

    Debe designar la misma cuenta de administrador para todas las regiones de Security Hub. Si designa una cuenta diferente de la que ha designado en otras regiones, la consola le mostrará un error.

  5. Elija Delegar.

Security Hub API, AWS CLI

Desde la cuenta de administración de la organización, utilice la EnableOrganizationAdminAccountfuncionamiento del Security HubAPI. Si está utilizando el AWS CLI, ejecute el enable-organization-admin-accountcomando Proporcione el ID de la Cuenta de AWS para el administrador delegado de Security Hub.

El siguiente ejemplo designa al administrador delegado de Security Hub. Este ejemplo está formateado para Linux, macOS o Unix y utiliza el carácter de barra invertida (\) de continuación de línea para mejorar la legibilidad.

$ aws securityhub enable-organization-admin-account --admin-account-id 123456789012