Habilitación manual de Security Hub en las cuentas nuevas de la organización - AWS Security Hub

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Habilitación manual de Security Hub en las cuentas nuevas de la organización

Si no habilita de manera automática Security Hub en las cuentas nuevas de la organización cuando se unen a ella, puede agregar esas cuentas como miembros y habilitar manualmente Security Hub en ellas después de que se unen a la organización. También debe habilitar manualmente Security Hub en Cuentas de AWS que desasoció de una organización.

nota

Esta sección no se aplica a su caso si utiliza la configuración centralizada. Si utiliza la configuración centralizada, puede crear políticas de configuración que habiliten Security Hub en cuentas de miembro y unidades organizativas (OU) específicas. También puede habilitar estándares y controles específicos en esas cuentas y unidades organizativas.

No puede habilitar Security Hub en una cuenta si ya es una cuenta de miembro de otra organización.

Tampoco puede habilitar Security Hub en una cuenta que esté suspendida. Si intenta habilitar el servicio en una cuenta suspendida, el estado de la cuenta cambia a Cuenta suspendida.

  • Si la cuenta no tiene habilitado Security Hub, Security Hub se habilita para esa cuenta. El estándar de las Prácticas recomendadas de seguridad básica de AWS (FSBP) y CIS Foundations Benchmark v1.2.0 de AWS también están habilitados en la cuenta, a menos que desactive los estándares de seguridad predeterminados.

    La excepción a esto es la cuenta de administración de Organizations. Security Hub no se puede habilitar automáticamente para la cuenta de administración de Organizations. Debe habilitar Security Hub de forma manual en la cuenta de administración de Organizations antes de poder agregarla como una cuenta de miembro.

  • Si la cuenta ya tiene habilitado Security Hub, Security Hub no hace ningún otro cambio en la cuenta. Solo habilita la membresía.

Para que Security Hub genere resultados de controles, las cuentas de miembro deben tener AWS Config habilitado y configurado para registrar los recursos necesarios. Para obtener más información, consulte Habilitación y configuración de AWS Config.

Elija el método que prefiera y siga los pasos para habilitar una cuenta de organización como cuenta de miembro de Security Hub.

Security Hub console
Habilitación manual de cuentas de la organización como miembros de Security Hub

  1. Abra la consola de AWS Security Hub en https://console.aws.amazon.com/securityhub/.

    Inicie sesión con las credenciales de la cuenta de administrador delegado.

  2. En el panel de navegación de Security Hub, en Configuración, elija Configuración.

  3. En la lista Cuentas, seleccione cada cuenta de la organización que desee habilitar.

  4. Elija Acciones y Agregar miembro.

Security Hub API

Habilitación manual de cuentas de la organización como miembros de Security Hub

Invoque la API CreateMembers desde la cuenta de administrador delegado. Debe indicar el ID de cada cuenta que desee habilitar.

A diferencia del proceso de invitación manual, al invocar CreateMembers para habilitar una cuenta de la organización, no es necesario enviar una invitación.

AWS CLI

Habilitación manual de cuentas de la organización como miembros de Security Hub

Ejecute el comando create-members desde la cuenta de administrador delegado. Debe indicar el ID de cada cuenta que desee habilitar.

A diferencia del proceso de invitación manual, al ejecutar create-members para habilitar una cuenta de la organización, no es necesario enviar una invitación.

aws securityhub create-members --account-details '[{"AccountId": "<accountId>"}]'

Ejemplo

aws securityhub create-members --account-details '[{"AccountId": "123456789111"}, {"AccountId": "123456789222"}]'