Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
nota
La región de agregación ahora se denomina región de origen. Algunas operaciones de la API de Security Hub siguen utilizando el antiguo término región de agregación.
Al utilizar la agregación entre regiones AWS Security Hub, puede agregar hallazgos, encontrar actualizaciones, información, controlar los estados de cumplimiento y los puntajes de seguridad de varias regiones Regiones de AWS a una sola región de origen. A continuación, puede administrar todos estos datos desde la región de origen.
Supongamos que establece este de EE. UU.(norte de Virginia) como región de origen y oeste de EE. UU. (Oregón) y oeste de EE. UU. (norte de California) como regiones vinculadas. Al ver la página Resultados en Este de EE. UU. (Norte de Virginia), verá los resultados de las tres regiones. Las actualizaciones de esos resultados también se reflejan en las tres regiones.
nota
En AWS GovCloud (US), la agregación entre regiones solo se admite para los hallazgos, las actualizaciones de búsquedas y la información de todas las regiones. AWS GovCloud (US) En concreto, solo puede agregar los hallazgos, las actualizaciones y los conocimientos entre AWS GovCloud (EE. UU. este) y (EE. UU., oeste). AWS GovCloud En las regiones de China, solo se admite agregación entre regiones de los resultados, las actualizaciones de resultados y los hallazgos de las regiones de China. En concreto, solo puede agregar resultados, actualizaciones de resultados y hallazgos entre China (Pekín) y China (Ningxia).
Si un control está activado en una región vinculada pero deshabilitado en la región de origen, podrá ver el estado de conformidad del control desde la región de origen, pero no podrá habilitar ni deshabilitar ese control desde la región de origen. La única excepción es si se utiliza la configuración centralizada. Si utiliza la configuración centralizada, el administrador delegado de Security Hub puede configurar controles en la región de origen y en las regiones vinculadas desde la región de origen.
Si ha establecido una región de origen, las puntuaciones de seguridad tienen en cuenta los estados de control en todas las regiones vinculadas. Para ver las puntuaciones de seguridad y los estados de cumplimiento entre regiones, agregue los siguientes permisos a su rol de IAM que usa Security Hub:
Tipos de datos que se agregan
Cuando la agregación entre regiones está habilitada con una o más regiones vinculadas, Security Hub replica los siguientes datos de las regiones vinculadas a la región de origen. Esto ocurre en todas las cuentas que tienen habilitada la agregación entre regiones.
Resultados
Información
Estados de control de la conformidad
Puntuaciones de seguridad
Además de los nuevos datos que se muestran en la lista anterior, Security Hub también replica las actualizaciones de estos datos entre las regiones vinculadas y la región de origen. Las actualizaciones que se producen en una región vinculada se replican en la región de origen. Las actualizaciones que se producen en la región de origen se replican de vuelta en la región vinculada. Si hay actualizaciones contradictorias en la región de origen y en la región vinculada, se utiliza la actualización más reciente.
La agregación entre regiones no aumenta el costo de Security Hub. No se le cobrará nada cuando Security Hub replique nuevos datos o actualizaciones.
En la región de origen, la página Resumen ofrece una vista de los resultados activos en las regiones vinculadas. Para más información, consulte Visualización de un resumen de los resultados entre regiones por gravedad. Otros paneles de la página Resumen que analizan los resultados también muestran información de todas las regiones vinculadas.
Las puntuaciones de seguridad en la región de origen se calculan comparando el número de controles aprobados con el número de controles habilitados en todas las regiones vinculadas. Además, si un control está activado en al menos una región vinculada, estará visible en las páginas de detalles de las normas de seguridad de la región de origen. El estado de cumplimiento de los controles en las páginas de detalles de las normas refleja los resultados de las regiones vinculadas. Si un control de seguridad asociado a un control falla en una o más regiones vinculadas, el estado de conformidad de ese control aparece como Con fallos en las páginas de detalles de las normas de la región de origen. El número de controles de seguridad incluye los resultados de todas las regiones vinculadas.
Security Hub solo agrega datos de las regiones en las que haya alguna cuenta que tenga activado Security Hub. Security Hub no se habilita automáticamente para ninguna cuenta en función de la configuración de agregación entre regiones.
Es posible activar la agregación entre regiones sin seleccionar ninguna región vinculada. En este caso, no se replican los datos.
Agregación de cuentas de administrador y de miembros
La agregación entre regiones se configura mediante cuentas independientes, cuentas de miembros y cuentas de administrador. Si un administrador realiza la configuración, la presencia de la cuenta de administrador es esencial para que la agregación entre regiones funcione en las cuentas administradas. Si la cuenta de administrador se elimina o se desvincula de una cuenta de miembro, se detiene la agregación entre regiones para la cuenta de miembro. Esto se cumple incluso si la cuenta tenía activada la agregación entre regiones antes de que se iniciara la asociación administrador-miembro.
Cuando una cuenta de administrador habilita la agregación entre regiones, Security Hub replica los datos que la cuenta de administrador genera en todas las regiones vinculadas a la región de origen. Además, Security Hub identifica las cuentas de miembros que están asociadas a ese administrador, y cada cuenta de miembro hereda la configuración de agregación entre regiones del administrador. Security Hub replica los datos que genera una cuenta de miembro en todas las regiones vinculadas a la región de origen.
El administrador puede acceder a los resultados de seguridad y administrarlos desde todas las cuentas de miembros de las regiones administradas. Sin embargo, como administrador de Security Hub, debe iniciar sesión en la región de origen para ver los datos agregados de todas las cuentas de miembros y las regiones vinculadas.
Como cuenta de miembro de Security Hub, debe iniciar sesión en la región de origen para ver los datos agregados de su cuenta desde todas las regiones vinculadas. Las cuentas de miembros no tienen permisos para ver los datos de otras cuentas de miembros.
Una cuenta de administrador puede invitar manualmente a las cuentas de los miembros o actuar como administradora delegada de una organización con la que esté integrada. AWS Organizations En el caso de una cuenta de miembro invitada de forma manual, el administrador debe invitar a la cuenta de la región de origen y de todas las regiones vinculadas para que la agregación entre regiones funcione. Además, la cuenta de miembro debe tener activado Security Hub en la región de origen y en todas las regiones vinculadas para que el administrador pueda ver los resultados de la cuenta de miembro. Si no utiliza la región de origen para otros fines, puede deshabilitar los estándares e integraciones de Security Hub en esa región para evitar cargos.
Si tiene pensado utilizar la agregación entre regiones y posee varias cuentas de administrador, se recomienda que siga estas prácticas:
-
Cada cuenta de administrador tiene cuentas de miembro diferentes.
-
Cada cuenta de administrador tiene las mismas cuentas de miembro en todas las regiones.
-
Cada cuenta de administrador utiliza una región de origen diferente.
nota
Para entender el impacto de la agregación entre regiones en la configuración centralizada, consulte Impacto de la configuración centralizada en la agregación entre regiones.
