Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Descripción de la agregación entre regiones en Security Hub
nota
La región de agregación ahora se denomina región de origen. Algunas API operaciones de Security Hub siguen utilizando el antiguo término Región de agregación.
Mediante el uso de la agregación entre regiones en AWS Security Hub, puede agregar hallazgos, encontrar actualizaciones, información, controlar los estados de cumplimiento y las puntuaciones de seguridad de varios Regiones de AWS a una sola región de origen. A continuación, podrá gestionar todos estos datos desde la región de origen.
Supongamos que estableces EE.UU. Este (Norte de Virginia) como región de origen y EE.UU. Oeste (Oregón) y EE.UU. Oeste (Norte de California) como regiones vinculadas. Al ver la página Resultados en Este de EE. UU. (Norte de Virginia), verá los resultados de las tres regiones. Las actualizaciones de esos resultados también se reflejan en las tres regiones.
nota
En AWS GovCloud (US), La agregación entre regiones solo se admite para los hallazgos, las actualizaciones de las búsquedas y la información de todos los países AWS GovCloud (US). Específicamente, solo puede agregar hallazgos, actualizaciones e información entre AWS GovCloud (Este de EE. UU.) y AWS GovCloud (EEUU-Oeste). En las regiones de China, solo se admite agregación entre regiones de los resultados, las actualizaciones de resultados y los hallazgos de las regiones de China. En concreto, solo puede agregar resultados, actualizaciones de resultados y hallazgos entre China (Pekín) y China (Ningxia).
Si un control está activado en una región vinculada pero desactivado en la región de origen, podrá ver el estado de conformidad del control desde la región de origen, pero no podrá activar ni desactivar ese control desde la región de origen. La excepción es si utilizas una configuración central. Si utiliza la configuración central, el administrador delegado del Security Hub puede configurar los controles en la región de origen y en las regiones vinculadas desde la región de origen.
Si ha establecido una región de origen, las puntuaciones de seguridad tienen en cuenta los estados de control en todas regiones vinculadas. Para ver las puntuaciones de seguridad y los estados de conformidad entre regiones, añada los siguientes permisos a la IAM función que utiliza Security Hub:
Tipos de datos que se agregan
Cuando la agregación entre regiones está habilitada con una o más regiones vinculadas, Security Hub replica los siguientes datos de las regiones vinculadas a la región de origen. Esto ocurre en todas las cuentas que tienen habilitada la agregación entre regiones.
Resultados
Información
Estados de control de la conformidad
Puntuaciones de seguridad
Además de los nuevos datos de la lista anterior, Security Hub también replica las actualizaciones de estos datos entre las regiones vinculadas y la región de origen. Las actualizaciones que se producen en una región vinculada se replican en la región de origen. Las actualizaciones que se producen en la región de origen se replican en la región vinculada. Si hay actualizaciones contradictorias en la región de origen y en la región vinculada, se utilizará la actualización más reciente.
La agregación entre regiones no aumenta el costo de Security Hub. No se le cobrará nada cuando Security Hub replique nuevos datos o actualizaciones.
En la región de origen, la página de resumen ofrece una vista de los hallazgos activos en todas las regiones vinculadas. Para más información, consulte Visualización de un resumen de los resultados entre regiones por gravedad. Otros paneles de la página Resumen que analizan los resultados también muestran información de todas las regiones vinculadas.
Los puntajes de seguridad en la región de origen se calculan comparando el número de controles aprobados con el número de controles habilitados en todas las regiones vinculadas. Además, si un control está activado en al menos una región vinculada, estará visible en las páginas de detalles de las normas de seguridad de la región de origen. El estado de cumplimiento de los controles en las páginas de detalles de las normas refleja los resultados de las regiones vinculadas. Si una comprobación de seguridad asociada a un control falla en una o más regiones vinculadas, el estado de conformidad de ese control aparece como Fallido en las páginas de detalles de las normas de la región de origen. El número de controles de seguridad incluye los resultados de todas las regiones vinculadas.
Security Hub solo agrega datos de las regiones en las que haya alguna cuenta que tenga activado Security Hub. Security Hub no se habilita automáticamente para ninguna cuenta en función de la configuración de agregación entre regiones.
Es posible activar la agregación entre regiones sin seleccionar ninguna región vinculada. En este caso, no se produce ninguna replicación de datos.
Agregación de cuentas de administrador y de miembros
Las cuentas independientes, las cuentas de miembros y las cuentas de administrador pueden configurar la agregación entre regiones. Si la configura un administrador, la presencia de la cuenta de administrador es esencial para que la agregación entre regiones funcione en las cuentas administradas. Si la cuenta de administrador se elimina o se disocia de una cuenta de miembro, se detiene la agregación entre regiones de la cuenta de miembro. Esto es cierto incluso si la cuenta tenía habilitada la agregación entre regiones antes de que comenzara la relación entre el administrador y el miembro.
Cuando una cuenta de administrador habilita la agregación entre regiones, Security Hub replica los datos que la cuenta de administrador genera en todas las regiones vinculadas a la región de origen. Además, Security Hub identifica las cuentas de los miembros que están asociadas a ese administrador y cada cuenta de miembro hereda la configuración de agregación entre regiones del administrador. Security Hub replica los datos que genera una cuenta de miembro en todas las regiones vinculadas a la región de origen.
El administrador puede acceder a los datos de seguridad de todas las cuentas de los miembros de las regiones administradas y gestionarlos. Sin embargo, como administrador de Security Hub, debe iniciar sesión en la región de origen para ver los datos agregados de todas las cuentas de los miembros y las regiones vinculadas.
Como cuenta de miembro de Security Hub, debe iniciar sesión en la región de origen para ver los datos agregados de su cuenta de todas las regiones vinculadas. Las cuentas de miembros no tienen permisos para ver los datos de otras cuentas de miembros.
Una cuenta de administrador puede invitar manualmente a las cuentas de los miembros o actuar como administradora delegada de una organización que esté integrada con AWS Organizations. En el caso de una cuenta de miembro invitada manualmente, el administrador debe invitar a la cuenta de la región de origen y de todas las regiones vinculadas para que la agregación entre regiones funcione. Además, la cuenta de miembro debe tener activado Security Hub en la región de origen y en todas las regiones vinculadas para que el administrador pueda ver los resultados de la cuenta de miembro. Si no utilizas la región de origen para otros fines, puedes inhabilitar los estándares e integraciones del Security Hub en esa región para evitar cargos.
Si planea utilizar la agregación entre regiones y tiene varias cuentas de administrador, le recomendamos que siga estas prácticas recomendadas:
-
Cada cuenta de administrador tiene cuentas de miembro diferentes.
-
Cada cuenta de administrador tiene las mismas cuentas de miembro en todas las regiones.
-
Cada cuenta de administrador usa una región de origen diferente.
nota
Para entender cómo la agregación entre regiones afecta a la configuración central, consulteImpacto de la configuración central en la agregación entre regiones.
