Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Administrar Security Hub CSPM para varias cuentas con AWS Organizations
<a name="securityhub-accounts-orgs"></a>

Puede integrar AWS Security Hub CSPM con Security Hub CSPM y AWS Organizations, a continuación, administrarlo para las cuentas de su organización.

Para integrar Security Hub CSPM con AWS Organizations, debe crear una organización en. AWS Organizations La cuenta de administración de Organizations designa una cuenta como el administrador delegado del CSPM de Security Hub para la organización. El administrador delegado puede habilitar el CSPM de Security Hub para otras cuentas de la organización, agregar esas cuentas como cuentas de miembro del CSPM de Security Hub y realizar las acciones permitidas en las cuentas de miembro. El administrador delegado del CSPM de Security Hub puede habilitar y administrar el CSPM de Security Hub para un máximo de 10 000 cuentas de miembro.

El alcance de las capacidades de configuración del administrador delegado depende de si utiliza la [configuración centralizada](central-configuration-intro.md). Con la configuración centralizada habilitada, no necesita configurar el CSPM de Security Hub por separado en cada cuenta de miembro ni en cada Región de AWS. El administrador delegado puede aplicar ajustes específicos de CSPM de Security Hub en determinadas cuentas de miembros y unidades organizativas (OUs) de todas las regiones.

La cuenta de administrador delegado del CSPM de Security Hub puede realizar las acciones siguientes en las cuentas de miembro:
+ Si utiliza una configuración central, configure el Security Hub CSPM de forma centralizada para las cuentas de los miembros y cree políticas OUs de configuración del Security Hub CSPM. Las políticas de configuración se pueden utilizar para habilitar y desactivar el CSPM de Security Hub, habilitar y desactivar estándares, y habilitar y desactivar controles.
+ Trate automáticamente las cuentas *nuevas* como cuentas de miembro del CSPM de Security Hub cuando se unan a la organización. Si utiliza la configuración centralizada, una política de configuración asociada a una unidad organizativa incluye las cuentas nuevas y existentes que forman parte de la unidad organizativa.
+ Trate las cuentas *existentes* como cuentas de miembro del CSPM de Security Hub. Esto ocurre automáticamente si utiliza una configuración centralizada.
+ Desasociar las cuentas miembro que pertenecen a la organización. Si utiliza la configuración centralizada, solo podrá desasociar una cuenta de miembro después de designarla como autoadministrada. Como alternativa, puede asociar una política de configuración que desactive el CSPM de Security Hub en cuentas de miembro administradas de forma centralizada específicas.

Si no opta por la configuración centralizada, su organización utilizará el tipo de configuración predeterminada denominada configuración local. En la configuración local, el administrador delegado tiene una capacidad más limitada para aplicar la configuración en las cuentas de miembro. Para obtener más información, consulte [Descripción de la configuración local en el CSPM de Security Hub](local-configuration.md).

Para obtener una lista completa de las acciones que el administrador delegado puede llevar a cabo en las cuentas de los miembros, consulte [Acciones permitidas para cuentas de administrador y cuentas de miembro en el CSPM de Security Hub](securityhub-accounts-allowed-actions.md).

En los temas de esta sección se explica cómo integrar el Security Hub CSPM AWS Organizations y cómo administrar el Security Hub CSPM para las cuentas de una organización. Cuando proceda, en cada sección, se identifican las ventajas y diferencias de administración para los usuarios de la configuración centralizada.

**Topics**
+ [Integración de Security Hub CSPM con AWS Organizations](designate-orgs-admin-account.md)
+ [Habilitación automática de nuevas cuentas de la organización en el CSPM de Security Hub](accounts-orgs-auto-enable.md)
+ [Habilitación manual del CSPM de Security Hub en las cuentas nuevas de la organización](orgs-accounts-enable.md)
+ [Desasociación de cuentas de miembro del CSPM de Security Hub de la organización](accounts-orgs-disassociate.md)

# Integración de Security Hub CSPM con AWS Organizations
<a name="designate-orgs-admin-account"></a>

Para integrar AWS Security Hub CSPM y AWS Organizations, debe crear una organización en Organizations y utilizar la cuenta de administración de la organización para designar una cuenta de administrador delegada de Security Hub CSPM. Esto habilita el CSPM de Security Hub como un servicio de confianza en Organizations. También habilita el CSPM de Security Hub en la Región de AWS actual para la cuenta de administrador delegado y permite que el administrador delegado habilite el CSPM de Security Hub para las cuentas de miembro, consulte los datos de estas cuentas y realice otras [acciones permitidas](securityhub-accounts-allowed-actions.md) en ellas.

Si utiliza la [configuración centralizada](central-configuration-intro.md), el administrador delegado también puede crear políticas de configuración del CSPM de Security Hub que especifiquen cómo se deben configurar el servicio, los estándares y los controles del CSPM de Security Hub en las cuentas de la organización.

## Creación de una organización
<a name="create-organization"></a>

Una organización es una entidad que se crea para consolidar la suya y Cuentas de AWS poder administrarla como una sola unidad.

Puede crear una organización mediante la AWS Organizations consola o mediante un comando del SDK AWS CLI o de uno de ellos APIs. Para obtener instrucciones detalladas sobre cómo hacerlo, consulte [Creación de una organización](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_create.html) en la *Guía del usuario de AWS Organizations *.

Puede utilizarla AWS Organizations para ver y gestionar de forma centralizada todas las cuentas de su organización. Una organización tiene una cuenta de administración junto con cero o más cuentas miembro. Puedes organizar las cuentas en una estructura jerárquica similar a un árbol con una raíz en la parte superior y unidades organizativas (OUs) anidadas debajo de la raíz. Cada cuenta puede estar directamente debajo de la raíz o colocarse en una de las siguientes jerarquías. OUs Una unidad organizativa es un contenedor para cuentas específicas. Por ejemplo, puede crear una unidad organizativa de finanzas que incluya todas las cuentas relacionadas con las operaciones financieras. 

## Recomendaciones para elegir al administrador delegado del CSPM de Security Hub
<a name="designate-admin-recommendations"></a>

Si dispone de una cuenta de administrador gracias al proceso de invitación manual y está realizando la transición a la administración de cuentas con ella AWS Organizations, le recomendamos que designe esa cuenta como administrador delegado de CSPM de Security Hub.

Aunque el CSPM APIs y la consola del Security Hub permiten que la cuenta de administración de la organización sea el administrador delegado del CSPM del Security Hub, se recomienda elegir dos cuentas diferentes. Esto se debe a que quienes acceden a la cuenta de administración de la organización para administrar la facturación suelen ser diferentes de quienes necesitan acceder al CSPM de Security Hub para administrar la seguridad.

Le recomendamos que utilice el mismo administrador delegado en todas las regiones. Si opta por la configuración centralizada, el CSPM de Security Hub designa automáticamente el mismo administrador delegado en la región de origen y en cualquier región vinculada.

## Verificación de permisos para configurar al administrador delegado
<a name="designate-admin-permissions"></a>

Para designar y eliminar una cuenta de administrador delegado del CSPM de Security Hub, la cuenta de administración de la organización debe tener permisos para las acciones `EnableOrganizationAdminAccount` y `DisableOrganizationAdminAccount` en el CSPM de Security Hub. La cuenta de administración de Organizations también debe contar con permisos administrativos para Organizations.

Para conceder todos los permisos necesarios, asocie las siguientes políticas administradas del CSPM de Security Hub a la entidad principal de IAM de la cuenta de administración de la organización:
+ [https://docs.aws.amazon.com/securityhub/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-awssecurityhubfullaccess](https://docs.aws.amazon.com/securityhub/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-awssecurityhubfullaccess)
+ [https://docs.aws.amazon.com/securityhub/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-awssecurityhuborganizationsaccess](https://docs.aws.amazon.com/securityhub/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-awssecurityhuborganizationsaccess)

## Designación del administrador delegado
<a name="designate-admin-instructions"></a>

Para designar la cuenta de administrador delegado del CSPM de Security Hub, puede usar la consola del CSPM de Security Hub, la API del CSPM de Security Hub o la AWS CLI. Security Hub CSPM establece el administrador delegado Región de AWS solo en la actual, y debe repetir la acción en otras regiones. Si comienza a usar la configuración centralizada, el CSPM de Security Hub establece automáticamente el mismo administrador delegado en la región de origen y en las regiones vinculadas.

La cuenta de administración de la organización no necesita tener habilitado el CSPM de Security Hub para designar a la cuenta de administrador delegado del CSPM de Security Hub.

Recomendamos que la cuenta de administración de la organización no sea la cuenta de administrador delegado del CSPM de Security Hub. Sin embargo, si decide usar la cuenta de administración de la organización como la cuenta de administrador delegado del CSPM de Security Hub, la cuenta de administración debe tener habilitado el CSPM de Security Hub. Si la cuenta de administración no tiene habilitado el CSPM de Security Hub, debe habilitar el CSPM de Security Hub manualmente para esa cuenta. El CSPM de Security Hub no se puede habilitar automáticamente para la cuenta de administración de la organización.

Debe designar al administrador delegado del CSPM de Security Hub mediante uno de los siguientes métodos. La designación del administrador de CSPM de Security Hub delegado con Organizations APIs no se refleja en Security Hub CSPM.

Elija el método que prefiera y siga los pasos para designar la cuenta de administrador delegado del CSPM de Security Hub.

------
#### [ Security Hub CSPM console ]

**Para designar al administrador delegado durante el proceso de incorporación**

1. Abra la consola CSPM de AWS Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Seleccione **Ir al CSPM de Security Hub**. Se le solicitará que inicie sesión en la cuenta de administración de la organización.

1. En la página **Designar administrador delegado**, en la sección **Cuenta de administrador delegado**, especifique la cuenta de administrador delegado. Se recomienda que elija el mismo administrador delegado que haya configurado para otros servicios de seguridad y conformidad de AWS .

1. Elija **Establecer administrador delegado**. Se le solicitará que inicie sesión en la cuenta de administrador delegado (si aún no lo ha hecho) para continuar con la integración con la configuración centralizada. Si no desea iniciar la configuración centralizada, seleccione **Cancelar**. Su administrador delegado está configurado, pero usted todavía no utiliza la configuración centralizada.

**Para designar al administrador delegado desde la página **Configuración****

1. Abra la consola CSPM de AWS Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. En el panel de navegación del CSPM de Security Hub, elija **Configuración**. A continuación, elija **General**.

1. Si actualmente hay asignada una cuenta de administrador del CSPM de Security Hub, debe eliminarla antes de poder designar una nueva cuenta.

   En **Administrador delegado**, para eliminar la cuenta actual, seleccione **Eliminar.**

1. Ingrese el ID de la cuenta que desea designar como administrador del **CSPM de Security Hub**.

   Debe designar la misma cuenta de administrador del CSPM de Security Hub en todas las regiones. Si designa una cuenta diferente de la que ha designado en otras regiones, la consola le mostrará un error.

1. Elija **Delegar**.

------
#### [ Security Hub CSPM API, AWS CLI ]

Desde la cuenta de administración de la organización, use la operación [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_EnableOrganizationAdminAccount.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_EnableOrganizationAdminAccount.html) de la API del CSPM de Security Hub. Si utiliza la AWS CLI, ejecute el comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-organization-admin-account.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-organization-admin-account.html). Proporcione el ID de la Cuenta de AWS del administrador delegado del CSPM de Security Hub.

El siguiente ejemplo designa al administrador delegado del CSPM de Security Hub- Este ejemplo está formateado para Linux, macOS o Unix y utiliza el carácter de barra invertida (\$1) de continuación de línea para mejorar la legibilidad.

```
$ aws securityhub enable-organization-admin-account --admin-account-id 123456789012
```

------

# Eliminación o cambio del administrador delegado
<a name="remove-admin-overview"></a>

Solo la cuenta de administración de la organización puede eliminar la cuenta de administrador delegado del CSPM de Security Hub.

Para cambiar al administrador delegado del CSPM de Security Hub, primero debe eliminar la cuenta de administrador delegado actual y luego designar una nueva.

**aviso**  
Cuando usa la [configuración central](central-configuration-intro.md), no puede usar la consola CSPM de Security Hub ni la CSPM de Security Hub APIs para cambiar o eliminar la cuenta de administrador delegado. Si la cuenta de administración de la organización usa la AWS Organizations consola o AWS Organizations APIs para cambiar o eliminar el administrador de CSPM de Security Hub delegado, Security Hub CSPM detiene automáticamente la configuración central y elimina las políticas de configuración y las asociaciones de políticas. Las cuentas de los miembros retienen la configuración que tenían antes de que se cambiara o eliminara el administrador delegado.

Si utiliza la consola del CSPM de Security Hub para eliminar al administrador delegado en una región, este se elimina automáticamente en todas las regiones.

La API del CSPM de Security Hub solo elimina la cuenta de administrador delegado del CSPM de Security Hub en la región donde se emite la llamada a la API o el comando. Debe repetir la acción en las demás regiones.

Si utiliza la API de Organizations para eliminar la cuenta de administrador delegado del CSPM de Security Hub, esta se elimina automáticamente en todas las regiones.

## Eliminar el administrador delegado (Organizations API, AWS CLI)
<a name="remove-admin-orgs"></a>

Puede usar Organizations para eliminar al administrador delegado del CSPM de Security Hub en todas las regiones.

Si utiliza la configuración centralizada para administrar las cuentas, al eliminar la cuenta de administrador delegado, se eliminarán las políticas de configuración y las asociaciones de políticas. Las cuentas de miembro retienen las configuraciones que tenían antes de que se cambiara o eliminara el administrador delegado. Sin embargo, la cuenta de administrador delegado eliminada ya no puede administrar estas cuentas. Se convierten en cuentas autoadministradas que deben configurarse por separado en cada región.

Elija el método que prefiera y siga las instrucciones para eliminar la cuenta de administrador de CSPM de Security Hub delegada con ella. AWS Organizations

------
#### [ Organizations API, AWS CLI ]

**Para eliminar al administrador delegado del CSPM de Security Hub**

Desde la cuenta de administración de la organización, use la operación [https://docs.aws.amazon.com/organizations/latest/APIReference/API_DeregisterDelegatedAdministrator.html](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DeregisterDelegatedAdministrator.html) de la API de Organizations. Si utiliza la AWS CLI, ejecute el comando [deregister-delegated-administrator](https://docs.aws.amazon.com/cli/latest/reference/organizations/deregister-delegated-administrator.html). Proporcione el ID de la cuenta del administrador delegado y la entidad principal de servicio para el CSPM de Security Hub, que es `securityhub.amazonaws.com`.

El siguiente ejemplo elimina al administrador delegado del CSPM de Security Hub. Este ejemplo está formateado para Linux, macOS o Unix y utiliza el carácter de barra invertida (\$1) de continuación de línea para mejorar la legibilidad.

```
$ aws organizations deregister-delegated-administrator --account-id 123456789012 --service-principal securityhub.amazonaws.com
```

------

## Eliminación del administrador delegado (consola del CSPM de Security Hub)
<a name="remove-admin-console"></a>

Puede usar la consola del CSPM de Security Hub para eliminar al administrador delegado del CSPM de Security Hub en todas las regiones.

Cuando se elimina la cuenta de administrador delegado del CSPM de Security Hub, las cuentas de miembro se desasocian de esa cuenta de administrador delegado eliminada.

El CSPM de Security Hub permanece habilitado en las cuentas de miembro. Estas se convierten en cuentas independientes hasta que un nuevo administrador del CSPM de Security Hub las habilite nuevamente como cuentas de miembro.

Si la cuenta de administración de la organización no es una cuenta habilitada en el CSPM de Security Hub, use la opción de la página **Le damos la bienvenida al CSPM de Security Hub**.

**Para eliminar la cuenta del administrador delegado del CSPM de Security Hub desde la página **Le damos la bienvenida al CSPM de Security Hub**.**

1. Abra la consola CSPM de AWS Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Seleccione **Ir a Security Hub**.

1. En **Administrador delegado**, seleccione **Eliminar**.

Si la cuenta de administración de la organización es una cuenta habilitada en **Security Hub**, utilice la opción de la pestaña **General** de la página **Configuración**.

**Para eliminar la cuenta del administrador delegado del CSPM de Security Hub desde la página **Configuración****

1. Abra la consola CSPM de AWS Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. En el panel de navegación del CSPM de Security Hub, elija **Configuración**. A continuación, elija **General**.

1. En **Administrador delegado**, seleccione **Eliminar**.

## Eliminar el administrador delegado (API CSPM de Security Hub,) AWS CLI
<a name="remove-admin-api"></a>

Puede utilizar la API CSPM de Security Hub o las operaciones CSPM de Security Hub para eliminar AWS CLI al administrador de CSPM de Security Hub delegado. Al eliminar al administrador delegado con uno de estos métodos, este solo se elimina en la región en la que se emitió el comando o la llamada a la API. Security Hub CSPM no actualiza otras regiones ni elimina la cuenta de administrador delegado en ellas. AWS Organizations

Elija el método que prefiera y siga estos pasos para eliminar la cuenta del administrador delegado del CSPM de Security Hub con el CSPM de Security Hub.

------
#### [ Security Hub CSPM API, AWS CLI ]

**Para eliminar al administrador delegado del CSPM de Security Hub**

Desde la cuenta de administración de la organización, use la operación [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisableOrganizationAdminAccount.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisableOrganizationAdminAccount.html) de la API del CSPM de Security Hub. Si está utilizando el AWS CLI, ejecute el comando. [https://docs.aws.amazon.com/cli/latest/reference/securityhub/disable-organization-admin-account.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/disable-organization-admin-account.html) Proporcione el ID de la cuenta del administrador delegado del CSPM de Security Hub.

El siguiente ejemplo elimina al administrador delegado del CSPM de Security Hub. Este ejemplo está formateado para Linux, macOS o Unix y utiliza el carácter de barra invertida (\$1) de continuación de línea para mejorar la legibilidad.

```
$ aws securityhub disable-organization-admin-account --admin-account-id 123456789012
```

------

# Desactivar la integración de Security Hub CSPM con AWS Organizations
<a name="disable-orgs-integration"></a>

Una vez que una AWS Organizations organización se ha integrado con AWS Security Hub CSPM, la cuenta de administración de Organizations puede deshabilitar posteriormente la integración. Como usuario de la cuenta de administración de Organizations, puede hacerlo mediante la desactivación del acceso de confianza del CSPM de Security Hub en AWS Organizations.

Cuando se desactica el acceso de confianza del CSPM de Security Hub, ocurre lo siguiente:
+ Security Hub CSPM pierde su condición de servicio de confianza en. AWS Organizations
+ La cuenta de administrador delegado del CSPM de Security Hub pierde el acceso a la configuración, los datos y los recursos del CSPM de Security Hub para todas las cuentas de miembro del CSPM de Security Hub en todas las Regiones de AWS.
+ Si utilizaba la [configuración centralizada](central-configuration-intro.md), el CSPM de Security Hub deja de usarla automáticamente para la organización. Se eliminan las políticas de configuración y las asociaciones de políticas. Las cuentas retienen las configuraciones que tenían antes de deshabilitar el acceso de confianza.
+ Todas las cuentas de miembro del CSPM de Security Hub pasan a ser cuentas independientes y conservan su configuración actual. Si el CSPM de Security Hub estaba habilitado para una cuenta de miembro en una o más regiones, el CSPM de Security Hub continúa habilitado para la cuenta en esas regiones. Los estándares y controles habilitados tampoco se modifican. Puede modificar esta configuración por separado en cada cuenta y región. Sin embargo, la cuenta ya no está asociada a un administrador delegado en ninguna región.

*Para obtener información adicional sobre los resultados de la desactivación del acceso a un servicio de confianza, consulte [Uso AWS Organizations con otros Servicios de AWS](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html) en la Guía del AWS Organizations usuario.* 

Para deshabilitar el acceso de confianza, puede usar la AWS Organizations consola, la API de Organizations o la AWS CLI. Solo un usuario de la cuenta de administración de Organizations puede desactivar el acceso como servicio de confianza para el CSPM de Security Hub. Para obtener más información sobre los permisos que necesita, consulte [Permisos necesarios para deshabilitar el acceso de confianza](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html#orgs_trusted_access_disable_perms) en la *Guía del usuario de AWS Organizations *.

Antes de desactivar el acceso como servicio de confianza, recomendamos trabajar con el administrador delegado de la organización para desactivar el CSPM de Security Hub en las cuentas de miembro y limpiar los recursos del CSPM de Security Hub en esas cuentas.

Elija el método que prefiera y siga los pasos para desactivar el acceso como servicio de confianza para el CSPM de Security Hub.

------
#### [ Organizations console ]

**Para desactivar el acceso como servicio de confianza para el CSPM de Security Hub**

1. Inicie sesión Consola de administración de AWS con las credenciales de la cuenta de AWS Organizations administración.

1. Abra la consola de Organizations en [https://console.aws.amazon.com/organizations/](https://console.aws.amazon.com/organizations/).

1. En el panel de navegación, elija **Servicios**.

1. En **Servicios integrados**, elija **CSPM de AWS Security Hub**.

1. Seleccione **Deshabilitar el acceso de confianza**.

1. Confirme que desea deshabilitar el acceso de confianza.

------
#### [ Organizations API ]

**Para desactivar el acceso como servicio de confianza para el CSPM de Security Hub**

Invoca la operación de [desactivación del AWSService acceso](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html) de la AWS Organizations API. En el parámetro `ServicePrincipal`, especifique la entidad principal de servicio del CSPM de Security Hub (`securityhub.amazonaws.com`).

------
#### [ AWS CLI ]

**Para desactivar el acceso como servicio de confianza para el CSPM de Security Hub**

Ejecute el [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)comando de la AWS Organizations API. En el parámetro `service-principal`, especifique la entidad principal de servicio del CSPM de Security Hub (`securityhub.amazonaws.com`).

**Ejemplo:**

```
aws organizations disable-aws-service-access --service-principal securityhub.amazonaws.com
```

------

# Habilitación automática de nuevas cuentas de la organización en el CSPM de Security Hub
<a name="accounts-orgs-auto-enable"></a>

Cuando se incorporan nuevas cuentas a su organización, se añaden a la lista de la página **Cuentas** de la consola CSPM de AWS Security Hub. En el caso de las cuentas de la organización, el **Tipo** es **Por organización**. De forma predeterminada, las cuentas nuevas no se convierten en cuentas de miembro del CSPM de Security Hub cuando se unen a la organización. Su estado es **No es miembro**. La cuenta de administrador delegado puede agregar de manera automática cuentas nuevas como miembros y habilitar el CSPM de Security Hub en estas cuentas cuando se unen a la organización.

**nota**  
Aunque muchas de Regiones de AWS ellas están activas de forma predeterminada Cuenta de AWS, debe activar algunas regiones de forma manual. En el presente documento estas regiones se denominan regiones de suscripción voluntaria. Para habilitar automáticamente el CSPM de Security Hub en una cuenta nueva en una región de suscripción voluntaria, primero debe activar esa región en la cuenta. Solo el propietario de la cuenta puede activar la región de suscripción voluntaria. Para obtener más información sobre las regiones con las que puedes suscribirte, consulta [Cómo especificar qué regiones puede usar Regiones de AWS tu cuenta](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html).

Este proceso es diferente en función de si se utiliza la configuración centralizada (recomendada) o la configuración local.

## Habilitación automática de nuevas cuentas de la organización (configuración centralizada)
<a name="central-configuration-auto-enable"></a>

Si utiliza la [configuración centralizada](central-configuration-intro.md), puede habilitar automáticamente el CSPM de Security Hub en las cuentas nuevas y las existentes de la organización mediante la creación de una política de configuración en la que el CSPM de Security Hub esté habilitado. A continuación, puede asociar la política a la raíz de la organización o a unidades organizativas específicas (OUs).

Si asocia una política de configuración que habilita el CSPM de Security Hub a una UO específica, el CSPM de Security Hub se habilita automáticamente en todas las cuentas (existentes y nuevas) que pertenecen a esa UO. Las cuentas nuevas que no pertenecen a la unidad organizativa se autoadministran y no tienen habilitado el CSPM de Security Hub automáticamente. Si asocia a la raíz una política de configuración en la que el CSPM de Security Hub esté habilitado, el CSPM de Security Hub se habilitará automáticamente en todas las cuentas (existentes y nuevas) que se unan a la organización. Las excepciones son si una cuenta usa una política diferente por aplicación o herencia, o si es autoadministrada.

En su política de configuración, también puede definir qué estándares y controles de seguridad deben habilitarse en la unidad organizativa. Para generar resultados de control para los estándares habilitados, las cuentas de la OU deben estar AWS Config habilitadas y configuradas para registrar los recursos necesarios. Para obtener más información sobre el AWS Config registro, consulte [Habilitación y configuración AWS Config](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-prereq-config.html).

Para obtener instrucciones sobre cómo crear una política de configuración, consulte [Creación y asociación de políticas de configuración](create-associate-policy.md).

## Habilitación automática de nuevas cuentas de la organización (configuración local)
<a name="limited-configuration-auto-enable"></a>

Cuando utiliza la configuración local y activa la habilitación automática de los estándares predeterminados, el CSPM de Security Hub agrega cuentas *nuevas* de la organización como miembros y habilita el CSPM de Security Hub en estas en la región actual. Otras regiones no se ven afectadas. Además, al activar la habilitación automática, no se habilita el CSPM de Security Hub en las cuentas de la organización *existentes*, a menos que ya se hayan agregado como cuentas de miembro.

Después de activar la habilitación automática, los estándares de seguridad predeterminados se habilitan para las cuentas de miembro nuevas en la región actual cuando se unen a la organización. Los estándares predeterminados son AWS Foundational Security Best Practices (FSBP) y AWS Foundations Benchmark v1.2.0 del Center for Internet Security (CIS). No puede cambiar los estándares predeterminados. Si desea habilitar otros estándares en toda su organización o habilitar los estándares para determinadas cuentas, le recomendamos que utilice la configuración OUs central.

Para generar resultados de control para los estándares predeterminados (y otros estándares habilitados), las cuentas de su organización deben estar AWS Config habilitadas y configuradas para registrar los recursos necesarios. Para obtener más información sobre el AWS Config registro, consulte [Habilitar y configurar AWS Config](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-prereq-config.html).

Elija el método que prefiera y siga estos pasos para habilitar el CSPM de Security Hub en nuevas cuentas de la organización. Estas instrucciones solo se aplican si utiliza la configuración local.

------
#### [ Security Hub CSPM console ]

**Para habilitar automáticamente las cuentas nuevas de la organización como cuentas de miembro del CSPM de Security Hub**

1. Abra la consola CSPM de AWS Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Inicie sesión con las credenciales de la cuenta de administrador delegado.

1. En el panel de navegación del CSPM de Security Hub, en **Ajustes**, elija **Configuración**.

1. En la sección **Cuentas**, active **Habilitación automática de cuentas**.

------
#### [ Security Hub CSPM API ]

**Para habilitar automáticamente las cuentas nuevas de la organización como cuentas de miembro del CSPM de Security Hub**

Invoque la API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html) desde la cuenta de administrador delegado. Defina el campo `AutoEnable` en `true` para habilitar automáticamente el CSPM de Security Hub en las nuevas cuentas de la organización.

------
#### [ AWS CLI ]

**Para habilitar automáticamente las cuentas nuevas de la organización como cuentas de miembro del CSPM de Security Hub**

Ejecute el comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html) desde la cuenta de administrador delegado. Incluya el parámetro `auto-enable` para habilitar automáticamente el CSPM de Security Hub en las nuevas cuentas de la organización.

```
aws securityhub update-organization-configuration --auto-enable
```

------

# Habilitación manual del CSPM de Security Hub en las cuentas nuevas de la organización
<a name="orgs-accounts-enable"></a>

Si no habilita automáticamente el CSPM de Security Hub en las cuentas nuevas de la organización cuando se unen a la organización, puede agregar esas cuentas como cuentas de miembro y habilitar el CSPM de Security Hub en ellas de forma manual después de que se unan. También debe habilitar manualmente el CSPM de Security Hub si anteriormente Cuentas de AWS se desasoció de una organización.

**nota**  
Esta sección no se aplica a su caso si utiliza la [configuración centralizada](central-configuration-intro.md). Si utilizas la configuración central, puedes crear políticas de configuración que habiliten el CSPM de Security Hub en determinadas cuentas de miembros y unidades organizativas ()OUs. También puedes habilitar estándares y controles específicos en esas cuentas y. OUs

No puede habilitar el CSPM de Security Hub en una cuenta si ya es una cuenta de miembro de otra organización.

Tampoco puede habilitar el CSPM de Security Hub en una cuenta que esté suspendida. Si intenta habilitar el servicio en una cuenta suspendida, el estado de la cuenta cambia a **Cuenta suspendida**.
+ Si la cuenta no tiene habilitado el CSPM de Security Hub, el CSPM de Security Hub se habilita para esa cuenta. El estándar AWS Foundational Security Best Practices (FSBP) y CIS AWS Foundations Benchmark v1.2.0 también están habilitados en la cuenta, a menos que desactive los estándares de seguridad predeterminados.

  La excepción a esto es la cuenta de administración de Organizations. El CSPM de Security Hub no se puede habilitar automáticamente para la cuenta de administración de Organizations. Debe habilitar el CSPM de Security Hub de forma manual en la cuenta de administración de Organizations antes de poder agregarla como una cuenta de miembro.
+ Si la cuenta ya tiene habilitado el CSPM de Security Hub, el CSPM de Security Hub no hace ningún otro cambio en la cuenta. Solo habilita la membresía.

Para que el CSPM de Security Hub genere resultados de control, las cuentas de los miembros deben estar AWS Config habilitadas y configuradas para registrar los recursos necesarios. Para obtener más información, consulte [Habilitación y configuración de AWS Config](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-prereq-config.html).

Elija el método que prefiera y siga los pasos para habilitar una cuenta de organización como cuenta de miembro del CSPM de Security Hub.

------
#### [ Security Hub CSPM console ]

**Habilitación manual de cuentas de la organización como miembros del CSPM de Security Hub**

1. Abra la consola CSPM de AWS Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Inicie sesión con las credenciales de la cuenta de administrador delegado.

1. En el panel de navegación del CSPM de Security Hub, en **Ajustes**, elija **Configuración**.

1. En la lista **Cuentas**, seleccione cada cuenta de la organización que desee habilitar.

1. Elija **Acciones** y **Agregar miembro**.

------
#### [ Security Hub CSPM API ]

**Para habilitar manualmente cuentas de la organización como miembros del CSPM de Security Hub**

Invoque la API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateMembers.html) desde la cuenta de administrador delegado. Debe indicar el ID de cada cuenta que desee habilitar.

A diferencia del proceso de invitación manual, al invocar `CreateMembers` para habilitar una cuenta de la organización, no es necesario enviar una invitación.

------
#### [ AWS CLI ]

**Para habilitar manualmente cuentas de la organización como miembros del CSPM de Security Hub**

Ejecute el comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-members.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-members.html) desde la cuenta de administrador delegado. Debe indicar el ID de cada cuenta que desee habilitar.

A diferencia del proceso de invitación manual, al ejecutar `create-members` para habilitar una cuenta de la organización, no es necesario enviar una invitación.

```
aws securityhub create-members --account-details '[{"AccountId": "<accountId>"}]'
```

**Ejemplo**

```
aws securityhub create-members --account-details '[{"AccountId": "123456789111"}, {"AccountId": "123456789222"}]'
```

------

# Desasociación de cuentas de miembro del CSPM de Security Hub de la organización
<a name="accounts-orgs-disassociate"></a>

Para dejar de recibir y ver los resultados de una cuenta de miembro de CSPM de AWS Security Hub, puede desasociar la cuenta de miembro de su organización.

**nota**  
Si utiliza la [configuración centralizada](central-configuration-intro.md), la desasociación funciona de forma diferente. Puede crear una política de configuración que desactive el CSPM de Security Hub en una o más cuentas de miembro administradas de forma centralizada. Después de eso, las cuentas continúan en la organización, pero no generarán resultados del CSPM de Security Hub. Si utiliza la configuración centralizada, pero también tiene cuentas de miembro invitadas manualmente, puede desasociar una o más cuentas invitadas manualmente.

Las cuentas de los miembros que se administran mediante no AWS Organizations pueden disociar sus cuentas de la cuenta de administrador. Solo la cuenta de administrador puede desasociar cuentas de miembro.

Al desasociar una cuenta de miembro, esta no se elimina. En su lugar, la cuenta de miembro se elimina de la organización. La cuenta de miembro disociada se convierte en una cuenta independiente Cuenta de AWS que ya no se administra mediante la integración de CSPM de Security Hub. AWS Organizations

Elija el método que prefiera y siga los pasos para desasociar una cuenta de miembro de la organización.

------
#### [ Security Hub CSPM console ]

**Desasociación de una cuenta de miembro de la organización**

1. Abra la consola CSPM de AWS Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Inicie sesión con las credenciales de la cuenta de administrador delegado.

1. En el panel de navegación, en **Configuración**, elija **Configuración**.

1. En la sección **Cuentas**, seleccione las cuentas que desee desasociar. Si utiliza la configuración centralizada, puede seleccionar una cuenta invitada manualmente para desvincularla desde la pestaña `Invitation accounts`. Esta pestaña solo es visible si utiliza la configuración centralizada.

1. Seleccione **Acciones** y, a continuación, **Desasociar cuenta**.

------
#### [ Security Hub CSPM API ]

**Desasociación de una cuenta de miembro de la organización**

Invoque la API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisassociateMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisassociateMembers.html) desde la cuenta de administrador delegado. Debe proporcionar los datos Cuenta de AWS IDs para que las cuentas de los miembros se desasocien. Para ver una lista de las cuentas de miembro, invoque la API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListMembers.html).

------
#### [ AWS CLI ]

**Desasociación de una cuenta de miembro de la organización**

Ejecute el comando [ >`disassociate-members`](https://docs.aws.amazon.com/cli/latest/reference/securityhub/disassociate-members.html) desde la cuenta de administrador delegado. Debe proporcionar la información necesaria Cuenta de AWS IDs para que las cuentas de los miembros se desasocien. Para ver una lista de las cuentas de miembro, ejecute el comando [ >`list-members`](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-members.html).

```
aws securityhub disassociate-members --account-ids "<accountIds>"
```

**Ejemplo**

```
aws securityhub disassociate-members --account-ids "123456789111" "123456789222"
```

------

 También puede usar la AWS Organizations consola o AWS SDKs desasociar una cuenta de miembro de su organización. AWS CLI Para obtener más información, consulte [Eliminación de una cuenta miembro de la organización](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_remove.html) en la *Guía del usuario de AWS Organizations *.