Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Administración de cuentas de administrador y de miembro en el CSPM de Security Hub
Si su AWS entorno tiene varias cuentas, puede tratar las cuentas que utilizan AWS Security Hub CSPM como cuentas de miembro y asociarlas a una sola cuenta de administrador. El administrador puede supervisar el estado general de seguridad y tomar [medidas permitidas](securityhub-accounts-allowed-actions.md) en las cuentas de miembro. El administrador también puede realizar diversas tareas de gestión y administración de cuentas a gran escala, como supervisar los costos de uso estimados y evaluar las cuotas de las cuentas.
Puede asociar las cuentas de los miembros a un administrador de dos maneras: integrando Security Hub CSPM AWS Organizations o enviando y aceptando manualmente las invitaciones de membresía en Security Hub CSPM.
## Administrar cuentas con AWS Organizations
AWS Organizations es un servicio de administración de cuentas global que permite a AWS los administradores consolidar y administrar múltiples cuentas. Cuentas de AWS Proporciona características de facturación unificada y administración de cuentas que están diseñadas para satisfacer las necesidades de presupuestos, seguridad y conformidad. Se ofrece sin costo adicional y se integra con varios Servicios de AWS, incluidos AWS Security Hub CSPM, Amazon Macie y Amazon. GuardDuty Para obtener más información, consulte la [Guía del usuario de *AWS Organizations *](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html).
Al integrar Security Hub CSPM y AWS Organizations, la cuenta de administración de Organizations designa a un administrador delegado de Security Hub CSPM. El CSPM de Security Hub se habilita automáticamente en la cuenta de administrador delegado Región de AWS en la que se designó.
Tras designar un administrador delegado, recomendamos administrar las cuentas en el CSPM de Security Hub con una [configuración centralizada](central-configuration-intro.md). Esta es la manera más eficaz de personalizar el CSPM de Security Hub y garantizar una cobertura de seguridad adecuada en la organización.
La configuración central permite al administrador delegado personalizar el CSPM de Security Hub en varias cuentas y regiones de la organización en lugar de configurarlo. Region-by-Region Puede crear una política de configuración para toda la organización o crear políticas de configuración diferentes para diferentes cuentas y. OUs Las políticas especifican si el CSPM de Security Hub está habilitado o desactivado en las cuentas asociadas, así como los estándares y controles de seguridad que se deben habilitar.
El administrador delegado puede designar las cuentas como administradas de manera centralizada o autoadministradas. Las cuentas administradas de manera centralizada solo las puede configurar el administrador delegado. Las cuentas autoadministradas pueden especificar su propia configuración.
Si no utiliza la configuración centralizada, el administrador delegado dispone de capacidades más limitadas para configurar el CSPM de Security Hub; a este enfoque se le denomina *configuración local*. En la configuración local, el administrador delegado puede habilitar automáticamente el CSPM de Security Hub y los [estándares de seguridad predeterminados](securityhub-auto-enabled-standards.md) en las nuevas cuentas de la organización dentro de la región actual. Sin embargo, las cuentas existentes no utilizan esta configuración, por lo que se pueden producir cambios en la configuración después de que una cuenta se una a la organización.
Además de esta nueva configuración de la cuenta, la configuración local es específica de la cuenta y de la región. Cada cuenta de la organización debe configurar el servicio, los estándares y los controles del CSPM de Security Hub por separado en cada región. La configuración local tampoco admite el uso de políticas de configuración.
## Administración manual de cuentas mediante invitación
Si tiene una cuenta independiente, debe administrar manualmente las cuentas de miembro mediante invitación en el CSPM de Security Hub o si no ha integrado con Organizations. Una cuenta independiente no se puede integrar con Organizations, por lo que es necesario administrarla manualmente. Recomendamos la integración AWS Organizations y el uso de la configuración central si agrega cuentas adicionales en el futuro.
Cuando utiliza la administración manual de cuentas, designa una cuenta como administradora del CSPM de Security Hub. La cuenta de administrador puede ver los datos de las cuentas de miembro y tomar determinadas medidas en función de los resultados de las cuentas de miembro. El administrador del CSPM de Security Hub invita a otras cuentas para que sean cuentas de miembro. La relación administrador-miembro se establece cuando una potencial cuenta de miembro acepta la invitación.
La administración manual de cuentas no admite el uso de políticas de configuración. Sin políticas de configuración, el administrador no puede personalizar el CSPM de Security Hub de forma centralizada mediante el ajuste de parámetros distintos para diferentes cuentas. En su lugar, cada cuenta de la organización debe habilitar y configurar el CSPM de Security Hub por separado en cada región. Esto puede hacer que garantizar una cobertura de seguridad adecuada en todas las cuentas y regiones donde utilice el CSPM de Security Hub sea un proceso más lento y complejo. También puede provocar cambios en la configuración, ya que las cuentas de miembro pueden especificar su propia configuración sin la intervención del administrador.
Para administrar las cuentas mediante invitación, consulte [Administración de cuentas por invitación en el CSPM de Security Hub](account-management-manual.md).
# Recomendaciones para la administración de múltiples cuentas en el CSPM de Security Hub
En la siguiente sección se resumen algunas restricciones y recomendaciones que se deben tener en cuenta al administrar las cuentas de los miembros en AWS Security Hub CSPM.
## Número máximo de cuentas miembro
Si utilizas la integración con AWS Organizations, Security Hub CSPM admite hasta 10 000 cuentas de miembros por cuenta de administrador delegado en cada una de ellas. Región de AWS Si habilita y administra el CSPM de Security Hub de manera manual, el CSPM de Security Hub admite hasta 1000 invitaciones a cuentas de miembro por cuenta de administrador en cada región.
## Creación de relaciones administrador-miembro
**nota**
Si utilizas la integración CSPM de Security Hub con AWS Organizations una cuenta de miembro y no has invitado manualmente a ninguna cuenta de miembro, esta sección no se aplica a ti.
Una cuenta no puede ser cuenta de administrador y cuenta de miembro al mismo tiempo.
Una cuenta miembro solo se puede asociar con una cuenta de administrador. Si una cuenta de la organización está habilitada por la cuenta de administrador del CSPM de Security Hub, esa cuenta no puede aceptar una invitación de otra cuenta. Si una cuenta ya aceptó una invitación, no puede ser habilitada por la cuenta de administrador del CSPM de Security Hub para la organización. Tampoco puede recibir invitaciones de otras cuentas.
En el caso del proceso de invitación manual, aceptar una invitación para convertirse en miembro es opcional.
### Membresía mediante AWS Organizations
Si integra Security Hub CSPM con AWS Organizations, la cuenta de administración de la organización puede designar una cuenta de administrador delegado (DA) para Security Hub CSPM. En Organizations, la cuenta de administración de la organización no se puede configurar como el administrador delegado. Aunque esto está permitido en el CSPM de Security Hub, recomendamos que la cuenta de administración de Organizations *no* sea el administrador delegado.
Le recomendamos que seleccione la misma cuenta de administrador delegado en todas las regiones. Si utiliza la [configuración centralizada](central-configuration-intro.md), el CSPM de Security Hub establece la misma cuenta de administrador delegado en todas las regiones en las que configure el CSPM de Security Hub para la organización.
También le recomendamos que elija la misma cuenta DA en todos los servicios de AWS seguridad y cumplimiento para ayudarle a gestionar los problemas relacionados con la seguridad desde un único panel de control.
### Membresía por invitación
En el caso de las cuentas miembro creadas mediante invitación, la asociación de cuentas administrador-miembro se crea únicamente en la región desde la que se envía la invitación. La cuenta de administrador debe habilitar el CSPM de Security Hub en cada región en la que desee utilizarlo. A continuación, la cuenta de administrador invita a cada cuenta a convertirse en cuenta de miembro en esa región.
**nota**
Recomendamos utilizar, AWS Organizations en lugar de Security Hub, invitaciones CSPM para gestionar las cuentas de los miembros.
## Coordinar cuentas de administrador en todos los servicios
Security Hub CSPM agrega los hallazgos de varios AWS servicios, como Amazon, Amazon GuardDuty Inspector y Amazon Macie. Security Hub CSPM también permite a los usuarios pasar de un GuardDuty hallazgo a iniciar una investigación en Amazon Detective.
Sin embargo, las relaciones administrador-miembro que se configuran en estos otros servicios no se aplican automáticamente al CSPM de Security Hub. El CSPM de Security Hub recomienda usar la misma cuenta como cuenta de administrador para todos estos servicios. Esta cuenta de administrador debe ser una cuenta responsable de las herramientas de seguridad. La misma cuenta también debe ser la cuenta de agregador de AWS Config.
Por ejemplo, un usuario de la cuenta de GuardDuty administrador A puede ver los resultados de las cuentas de los GuardDuty miembros B y C en la consola. GuardDuty Si la cuenta A activa el CSPM de Security Hub, los usuarios de la cuenta A *no* ven automáticamente los GuardDuty resultados de las cuentas B y C en Security Hub CSPM. Estas cuentas también requieren una relación de administrador-miembro del CSPM de Security Hub.
Para hacerlo, designe la cuenta A como la cuenta de administrador del CSPM de Security Hub y habilite las cuentas B y C para que se conviertan en cuentas de miembro del CSPM de Security Hub.
# Administrar Security Hub CSPM para varias cuentas con AWS Organizations
Puede integrar AWS Security Hub CSPM con Security Hub CSPM y AWS Organizations, a continuación, administrarlo para las cuentas de su organización.
Para integrar Security Hub CSPM con AWS Organizations, debe crear una organización en. AWS Organizations La cuenta de administración de Organizations designa una cuenta como el administrador delegado del CSPM de Security Hub para la organización. El administrador delegado puede habilitar el CSPM de Security Hub para otras cuentas de la organización, agregar esas cuentas como cuentas de miembro del CSPM de Security Hub y realizar las acciones permitidas en las cuentas de miembro. El administrador delegado del CSPM de Security Hub puede habilitar y administrar el CSPM de Security Hub para un máximo de 10 000 cuentas de miembro.
El alcance de las capacidades de configuración del administrador delegado depende de si utiliza la [configuración centralizada](central-configuration-intro.md). Con la configuración centralizada habilitada, no necesita configurar el CSPM de Security Hub por separado en cada cuenta de miembro ni en cada Región de AWS. El administrador delegado puede aplicar ajustes específicos de CSPM de Security Hub en determinadas cuentas de miembros y unidades organizativas (OUs) de todas las regiones.
La cuenta de administrador delegado del CSPM de Security Hub puede realizar las acciones siguientes en las cuentas de miembro:
+ Si utiliza una configuración central, configure el Security Hub CSPM de forma centralizada para las cuentas de los miembros y cree políticas OUs de configuración del Security Hub CSPM. Las políticas de configuración se pueden utilizar para habilitar y desactivar el CSPM de Security Hub, habilitar y desactivar estándares, y habilitar y desactivar controles.
+ Trate automáticamente las cuentas *nuevas* como cuentas de miembro del CSPM de Security Hub cuando se unan a la organización. Si utiliza la configuración centralizada, una política de configuración asociada a una unidad organizativa incluye las cuentas nuevas y existentes que forman parte de la unidad organizativa.
+ Trate las cuentas *existentes* como cuentas de miembro del CSPM de Security Hub. Esto ocurre automáticamente si utiliza una configuración centralizada.
+ Desasociar las cuentas miembro que pertenecen a la organización. Si utiliza la configuración centralizada, solo podrá desasociar una cuenta de miembro después de designarla como autoadministrada. Como alternativa, puede asociar una política de configuración que desactive el CSPM de Security Hub en cuentas de miembro administradas de forma centralizada específicas.
Si no opta por la configuración centralizada, su organización utilizará el tipo de configuración predeterminada denominada configuración local. En la configuración local, el administrador delegado tiene una capacidad más limitada para aplicar la configuración en las cuentas de miembro. Para obtener más información, consulte [Descripción de la configuración local en el CSPM de Security Hub](local-configuration.md).
Para obtener una lista completa de las acciones que el administrador delegado puede llevar a cabo en las cuentas de los miembros, consulte [Acciones permitidas para cuentas de administrador y cuentas de miembro en el CSPM de Security Hub](securityhub-accounts-allowed-actions.md).
En los temas de esta sección se explica cómo integrar el Security Hub CSPM AWS Organizations y cómo administrar el Security Hub CSPM para las cuentas de una organización. Cuando proceda, en cada sección, se identifican las ventajas y diferencias de administración para los usuarios de la configuración centralizada.
**Topics**
+ [Integración de Security Hub CSPM con AWS Organizations](designate-orgs-admin-account.md)
+ [Habilitación automática de nuevas cuentas de la organización en el CSPM de Security Hub](accounts-orgs-auto-enable.md)
+ [Habilitación manual del CSPM de Security Hub en las cuentas nuevas de la organización](orgs-accounts-enable.md)
+ [Desasociación de cuentas de miembro del CSPM de Security Hub de la organización](accounts-orgs-disassociate.md)
# Integración de Security Hub CSPM con AWS Organizations
Para integrar AWS Security Hub CSPM y AWS Organizations, debe crear una organización en Organizations y utilizar la cuenta de administración de la organización para designar una cuenta de administrador delegada de Security Hub CSPM. Esto habilita el CSPM de Security Hub como un servicio de confianza en Organizations. También habilita el CSPM de Security Hub en la Región de AWS actual para la cuenta de administrador delegado y permite que el administrador delegado habilite el CSPM de Security Hub para las cuentas de miembro, consulte los datos de estas cuentas y realice otras [acciones permitidas](securityhub-accounts-allowed-actions.md) en ellas.
Si utiliza la [configuración centralizada](central-configuration-intro.md), el administrador delegado también puede crear políticas de configuración del CSPM de Security Hub que especifiquen cómo se deben configurar el servicio, los estándares y los controles del CSPM de Security Hub en las cuentas de la organización.
## Creación de una organización
Una organización es una entidad que se crea para consolidar la suya y Cuentas de AWS poder administrarla como una sola unidad.
Puede crear una organización mediante la AWS Organizations consola o mediante un comando del SDK AWS CLI o de uno de ellos APIs. Para obtener instrucciones detalladas sobre cómo hacerlo, consulte [Creación de una organización](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_create.html) en la *Guía del usuario de AWS Organizations *.
Puede utilizarla AWS Organizations para ver y gestionar de forma centralizada todas las cuentas de su organización. Una organización tiene una cuenta de administración junto con cero o más cuentas miembro. Puedes organizar las cuentas en una estructura jerárquica similar a un árbol con una raíz en la parte superior y unidades organizativas (OUs) anidadas debajo de la raíz. Cada cuenta puede estar directamente debajo de la raíz o colocarse en una de las siguientes jerarquías. OUs Una unidad organizativa es un contenedor para cuentas específicas. Por ejemplo, puede crear una unidad organizativa de finanzas que incluya todas las cuentas relacionadas con las operaciones financieras.
## Recomendaciones para elegir al administrador delegado del CSPM de Security Hub
Si dispone de una cuenta de administrador gracias al proceso de invitación manual y está realizando la transición a la administración de cuentas con ella AWS Organizations, le recomendamos que designe esa cuenta como administrador delegado de CSPM de Security Hub.
Aunque el CSPM APIs y la consola del Security Hub permiten que la cuenta de administración de la organización sea el administrador delegado del CSPM del Security Hub, se recomienda elegir dos cuentas diferentes. Esto se debe a que quienes acceden a la cuenta de administración de la organización para administrar la facturación suelen ser diferentes de quienes necesitan acceder al CSPM de Security Hub para administrar la seguridad.
Le recomendamos que utilice el mismo administrador delegado en todas las regiones. Si opta por la configuración centralizada, el CSPM de Security Hub designa automáticamente el mismo administrador delegado en la región de origen y en cualquier región vinculada.
## Verificación de permisos para configurar al administrador delegado
Para designar y eliminar una cuenta de administrador delegado del CSPM de Security Hub, la cuenta de administración de la organización debe tener permisos para las acciones `EnableOrganizationAdminAccount` y `DisableOrganizationAdminAccount` en el CSPM de Security Hub. La cuenta de administración de Organizations también debe contar con permisos administrativos para Organizations.
Para conceder todos los permisos necesarios, asocie las siguientes políticas administradas del CSPM de Security Hub a la entidad principal de IAM de la cuenta de administración de la organización:
+ [https://docs.aws.amazon.com/securityhub/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-awssecurityhubfullaccess](https://docs.aws.amazon.com/securityhub/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-awssecurityhubfullaccess)
+ [https://docs.aws.amazon.com/securityhub/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-awssecurityhuborganizationsaccess](https://docs.aws.amazon.com/securityhub/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-awssecurityhuborganizationsaccess)
## Designación del administrador delegado
Para designar la cuenta de administrador delegado del CSPM de Security Hub, puede usar la consola del CSPM de Security Hub, la API del CSPM de Security Hub o la AWS CLI. Security Hub CSPM establece el administrador delegado Región de AWS solo en la actual, y debe repetir la acción en otras regiones. Si comienza a usar la configuración centralizada, el CSPM de Security Hub establece automáticamente el mismo administrador delegado en la región de origen y en las regiones vinculadas.
La cuenta de administración de la organización no necesita tener habilitado el CSPM de Security Hub para designar a la cuenta de administrador delegado del CSPM de Security Hub.
Recomendamos que la cuenta de administración de la organización no sea la cuenta de administrador delegado del CSPM de Security Hub. Sin embargo, si decide usar la cuenta de administración de la organización como la cuenta de administrador delegado del CSPM de Security Hub, la cuenta de administración debe tener habilitado el CSPM de Security Hub. Si la cuenta de administración no tiene habilitado el CSPM de Security Hub, debe habilitar el CSPM de Security Hub manualmente para esa cuenta. El CSPM de Security Hub no se puede habilitar automáticamente para la cuenta de administración de la organización.
Debe designar al administrador delegado del CSPM de Security Hub mediante uno de los siguientes métodos. La designación del administrador de CSPM de Security Hub delegado con Organizations APIs no se refleja en Security Hub CSPM.
Elija el método que prefiera y siga los pasos para designar la cuenta de administrador delegado del CSPM de Security Hub.
------
#### [ Security Hub CSPM console ]
**Para designar al administrador delegado durante el proceso de incorporación**
1. Abra la consola CSPM de AWS Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. Seleccione **Ir al CSPM de Security Hub**. Se le solicitará que inicie sesión en la cuenta de administración de la organización.
1. En la página **Designar administrador delegado**, en la sección **Cuenta de administrador delegado**, especifique la cuenta de administrador delegado. Se recomienda que elija el mismo administrador delegado que haya configurado para otros servicios de seguridad y conformidad de AWS .
1. Elija **Establecer administrador delegado**. Se le solicitará que inicie sesión en la cuenta de administrador delegado (si aún no lo ha hecho) para continuar con la integración con la configuración centralizada. Si no desea iniciar la configuración centralizada, seleccione **Cancelar**. Su administrador delegado está configurado, pero usted todavía no utiliza la configuración centralizada.
**Para designar al administrador delegado desde la página **Configuración****
1. Abra la consola CSPM de AWS Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. En el panel de navegación del CSPM de Security Hub, elija **Configuración**. A continuación, elija **General**.
1. Si actualmente hay asignada una cuenta de administrador del CSPM de Security Hub, debe eliminarla antes de poder designar una nueva cuenta.
En **Administrador delegado**, para eliminar la cuenta actual, seleccione **Eliminar.**
1. Ingrese el ID de la cuenta que desea designar como administrador del **CSPM de Security Hub**.
Debe designar la misma cuenta de administrador del CSPM de Security Hub en todas las regiones. Si designa una cuenta diferente de la que ha designado en otras regiones, la consola le mostrará un error.
1. Elija **Delegar**.
------
#### [ Security Hub CSPM API, AWS CLI ]
Desde la cuenta de administración de la organización, use la operación [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_EnableOrganizationAdminAccount.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_EnableOrganizationAdminAccount.html) de la API del CSPM de Security Hub. Si utiliza la AWS CLI, ejecute el comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-organization-admin-account.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-organization-admin-account.html). Proporcione el ID de la Cuenta de AWS del administrador delegado del CSPM de Security Hub.
El siguiente ejemplo designa al administrador delegado del CSPM de Security Hub- Este ejemplo está formateado para Linux, macOS o Unix y utiliza el carácter de barra invertida (\$1) de continuación de línea para mejorar la legibilidad.
```
$ aws securityhub enable-organization-admin-account --admin-account-id 123456789012
```
------
# Eliminación o cambio del administrador delegado
Solo la cuenta de administración de la organización puede eliminar la cuenta de administrador delegado del CSPM de Security Hub.
Para cambiar al administrador delegado del CSPM de Security Hub, primero debe eliminar la cuenta de administrador delegado actual y luego designar una nueva.
**aviso**
Cuando usa la [configuración central](central-configuration-intro.md), no puede usar la consola CSPM de Security Hub ni la CSPM de Security Hub APIs para cambiar o eliminar la cuenta de administrador delegado. Si la cuenta de administración de la organización usa la AWS Organizations consola o AWS Organizations APIs para cambiar o eliminar el administrador de CSPM de Security Hub delegado, Security Hub CSPM detiene automáticamente la configuración central y elimina las políticas de configuración y las asociaciones de políticas. Las cuentas de los miembros retienen la configuración que tenían antes de que se cambiara o eliminara el administrador delegado.
Si utiliza la consola del CSPM de Security Hub para eliminar al administrador delegado en una región, este se elimina automáticamente en todas las regiones.
La API del CSPM de Security Hub solo elimina la cuenta de administrador delegado del CSPM de Security Hub en la región donde se emite la llamada a la API o el comando. Debe repetir la acción en las demás regiones.
Si utiliza la API de Organizations para eliminar la cuenta de administrador delegado del CSPM de Security Hub, esta se elimina automáticamente en todas las regiones.
## Eliminar el administrador delegado (Organizations API, AWS CLI)
Puede usar Organizations para eliminar al administrador delegado del CSPM de Security Hub en todas las regiones.
Si utiliza la configuración centralizada para administrar las cuentas, al eliminar la cuenta de administrador delegado, se eliminarán las políticas de configuración y las asociaciones de políticas. Las cuentas de miembro retienen las configuraciones que tenían antes de que se cambiara o eliminara el administrador delegado. Sin embargo, la cuenta de administrador delegado eliminada ya no puede administrar estas cuentas. Se convierten en cuentas autoadministradas que deben configurarse por separado en cada región.
Elija el método que prefiera y siga las instrucciones para eliminar la cuenta de administrador de CSPM de Security Hub delegada con ella. AWS Organizations
------
#### [ Organizations API, AWS CLI ]
**Para eliminar al administrador delegado del CSPM de Security Hub**
Desde la cuenta de administración de la organización, use la operación [https://docs.aws.amazon.com/organizations/latest/APIReference/API_DeregisterDelegatedAdministrator.html](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DeregisterDelegatedAdministrator.html) de la API de Organizations. Si utiliza la AWS CLI, ejecute el comando [deregister-delegated-administrator](https://docs.aws.amazon.com/cli/latest/reference/organizations/deregister-delegated-administrator.html). Proporcione el ID de la cuenta del administrador delegado y la entidad principal de servicio para el CSPM de Security Hub, que es `securityhub.amazonaws.com`.
El siguiente ejemplo elimina al administrador delegado del CSPM de Security Hub. Este ejemplo está formateado para Linux, macOS o Unix y utiliza el carácter de barra invertida (\$1) de continuación de línea para mejorar la legibilidad.
```
$ aws organizations deregister-delegated-administrator --account-id 123456789012 --service-principal securityhub.amazonaws.com
```
------
## Eliminación del administrador delegado (consola del CSPM de Security Hub)
Puede usar la consola del CSPM de Security Hub para eliminar al administrador delegado del CSPM de Security Hub en todas las regiones.
Cuando se elimina la cuenta de administrador delegado del CSPM de Security Hub, las cuentas de miembro se desasocian de esa cuenta de administrador delegado eliminada.
El CSPM de Security Hub permanece habilitado en las cuentas de miembro. Estas se convierten en cuentas independientes hasta que un nuevo administrador del CSPM de Security Hub las habilite nuevamente como cuentas de miembro.
Si la cuenta de administración de la organización no es una cuenta habilitada en el CSPM de Security Hub, use la opción de la página **Le damos la bienvenida al CSPM de Security Hub**.
**Para eliminar la cuenta del administrador delegado del CSPM de Security Hub desde la página **Le damos la bienvenida al CSPM de Security Hub**.**
1. Abra la consola CSPM de AWS Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. Seleccione **Ir a Security Hub**.
1. En **Administrador delegado**, seleccione **Eliminar**.
Si la cuenta de administración de la organización es una cuenta habilitada en **Security Hub**, utilice la opción de la pestaña **General** de la página **Configuración**.
**Para eliminar la cuenta del administrador delegado del CSPM de Security Hub desde la página **Configuración****
1. Abra la consola CSPM de AWS Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. En el panel de navegación del CSPM de Security Hub, elija **Configuración**. A continuación, elija **General**.
1. En **Administrador delegado**, seleccione **Eliminar**.
## Eliminar el administrador delegado (API CSPM de Security Hub,) AWS CLI
Puede utilizar la API CSPM de Security Hub o las operaciones CSPM de Security Hub para eliminar AWS CLI al administrador de CSPM de Security Hub delegado. Al eliminar al administrador delegado con uno de estos métodos, este solo se elimina en la región en la que se emitió el comando o la llamada a la API. Security Hub CSPM no actualiza otras regiones ni elimina la cuenta de administrador delegado en ellas. AWS Organizations
Elija el método que prefiera y siga estos pasos para eliminar la cuenta del administrador delegado del CSPM de Security Hub con el CSPM de Security Hub.
------
#### [ Security Hub CSPM API, AWS CLI ]
**Para eliminar al administrador delegado del CSPM de Security Hub**
Desde la cuenta de administración de la organización, use la operación [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisableOrganizationAdminAccount.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisableOrganizationAdminAccount.html) de la API del CSPM de Security Hub. Si está utilizando el AWS CLI, ejecute el comando. [https://docs.aws.amazon.com/cli/latest/reference/securityhub/disable-organization-admin-account.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/disable-organization-admin-account.html) Proporcione el ID de la cuenta del administrador delegado del CSPM de Security Hub.
El siguiente ejemplo elimina al administrador delegado del CSPM de Security Hub. Este ejemplo está formateado para Linux, macOS o Unix y utiliza el carácter de barra invertida (\$1) de continuación de línea para mejorar la legibilidad.
```
$ aws securityhub disable-organization-admin-account --admin-account-id 123456789012
```
------
# Desactivar la integración de Security Hub CSPM con AWS Organizations
Una vez que una AWS Organizations organización se ha integrado con AWS Security Hub CSPM, la cuenta de administración de Organizations puede deshabilitar posteriormente la integración. Como usuario de la cuenta de administración de Organizations, puede hacerlo mediante la desactivación del acceso de confianza del CSPM de Security Hub en AWS Organizations.
Cuando se desactica el acceso de confianza del CSPM de Security Hub, ocurre lo siguiente:
+ Security Hub CSPM pierde su condición de servicio de confianza en. AWS Organizations
+ La cuenta de administrador delegado del CSPM de Security Hub pierde el acceso a la configuración, los datos y los recursos del CSPM de Security Hub para todas las cuentas de miembro del CSPM de Security Hub en todas las Regiones de AWS.
+ Si utilizaba la [configuración centralizada](central-configuration-intro.md), el CSPM de Security Hub deja de usarla automáticamente para la organización. Se eliminan las políticas de configuración y las asociaciones de políticas. Las cuentas retienen las configuraciones que tenían antes de deshabilitar el acceso de confianza.
+ Todas las cuentas de miembro del CSPM de Security Hub pasan a ser cuentas independientes y conservan su configuración actual. Si el CSPM de Security Hub estaba habilitado para una cuenta de miembro en una o más regiones, el CSPM de Security Hub continúa habilitado para la cuenta en esas regiones. Los estándares y controles habilitados tampoco se modifican. Puede modificar esta configuración por separado en cada cuenta y región. Sin embargo, la cuenta ya no está asociada a un administrador delegado en ninguna región.
*Para obtener información adicional sobre los resultados de la desactivación del acceso a un servicio de confianza, consulte [Uso AWS Organizations con otros Servicios de AWS](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html) en la Guía del AWS Organizations usuario.*
Para deshabilitar el acceso de confianza, puede usar la AWS Organizations consola, la API de Organizations o la AWS CLI. Solo un usuario de la cuenta de administración de Organizations puede desactivar el acceso como servicio de confianza para el CSPM de Security Hub. Para obtener más información sobre los permisos que necesita, consulte [Permisos necesarios para deshabilitar el acceso de confianza](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html#orgs_trusted_access_disable_perms) en la *Guía del usuario de AWS Organizations *.
Antes de desactivar el acceso como servicio de confianza, recomendamos trabajar con el administrador delegado de la organización para desactivar el CSPM de Security Hub en las cuentas de miembro y limpiar los recursos del CSPM de Security Hub en esas cuentas.
Elija el método que prefiera y siga los pasos para desactivar el acceso como servicio de confianza para el CSPM de Security Hub.
------
#### [ Organizations console ]
**Para desactivar el acceso como servicio de confianza para el CSPM de Security Hub**
1. Inicie sesión Consola de administración de AWS con las credenciales de la cuenta de AWS Organizations administración.
1. Abra la consola de Organizations en [https://console.aws.amazon.com/organizations/](https://console.aws.amazon.com/organizations/).
1. En el panel de navegación, elija **Servicios**.
1. En **Servicios integrados**, elija **CSPM de AWS Security Hub**.
1. Seleccione **Deshabilitar el acceso de confianza**.
1. Confirme que desea deshabilitar el acceso de confianza.
------
#### [ Organizations API ]
**Para desactivar el acceso como servicio de confianza para el CSPM de Security Hub**
Invoca la operación de [desactivación del AWSService acceso](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html) de la AWS Organizations API. En el parámetro `ServicePrincipal`, especifique la entidad principal de servicio del CSPM de Security Hub (`securityhub.amazonaws.com`).
------
#### [ AWS CLI ]
**Para desactivar el acceso como servicio de confianza para el CSPM de Security Hub**
Ejecute el [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)comando de la AWS Organizations API. En el parámetro `service-principal`, especifique la entidad principal de servicio del CSPM de Security Hub (`securityhub.amazonaws.com`).
**Ejemplo:**
```
aws organizations disable-aws-service-access --service-principal securityhub.amazonaws.com
```
------
# Habilitación automática de nuevas cuentas de la organización en el CSPM de Security Hub
Cuando se incorporan nuevas cuentas a su organización, se añaden a la lista de la página **Cuentas** de la consola CSPM de AWS Security Hub. En el caso de las cuentas de la organización, el **Tipo** es **Por organización**. De forma predeterminada, las cuentas nuevas no se convierten en cuentas de miembro del CSPM de Security Hub cuando se unen a la organización. Su estado es **No es miembro**. La cuenta de administrador delegado puede agregar de manera automática cuentas nuevas como miembros y habilitar el CSPM de Security Hub en estas cuentas cuando se unen a la organización.
**nota**
Aunque muchas de Regiones de AWS ellas están activas de forma predeterminada Cuenta de AWS, debe activar algunas regiones de forma manual. En el presente documento estas regiones se denominan regiones de suscripción voluntaria. Para habilitar automáticamente el CSPM de Security Hub en una cuenta nueva en una región de suscripción voluntaria, primero debe activar esa región en la cuenta. Solo el propietario de la cuenta puede activar la región de suscripción voluntaria. Para obtener más información sobre las regiones con las que puedes suscribirte, consulta [Cómo especificar qué regiones puede usar Regiones de AWS tu cuenta](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html).
Este proceso es diferente en función de si se utiliza la configuración centralizada (recomendada) o la configuración local.
## Habilitación automática de nuevas cuentas de la organización (configuración centralizada)
Si utiliza la [configuración centralizada](central-configuration-intro.md), puede habilitar automáticamente el CSPM de Security Hub en las cuentas nuevas y las existentes de la organización mediante la creación de una política de configuración en la que el CSPM de Security Hub esté habilitado. A continuación, puede asociar la política a la raíz de la organización o a unidades organizativas específicas (OUs).
Si asocia una política de configuración que habilita el CSPM de Security Hub a una UO específica, el CSPM de Security Hub se habilita automáticamente en todas las cuentas (existentes y nuevas) que pertenecen a esa UO. Las cuentas nuevas que no pertenecen a la unidad organizativa se autoadministran y no tienen habilitado el CSPM de Security Hub automáticamente. Si asocia a la raíz una política de configuración en la que el CSPM de Security Hub esté habilitado, el CSPM de Security Hub se habilitará automáticamente en todas las cuentas (existentes y nuevas) que se unan a la organización. Las excepciones son si una cuenta usa una política diferente por aplicación o herencia, o si es autoadministrada.
En su política de configuración, también puede definir qué estándares y controles de seguridad deben habilitarse en la unidad organizativa. Para generar resultados de control para los estándares habilitados, las cuentas de la OU deben estar AWS Config habilitadas y configuradas para registrar los recursos necesarios. Para obtener más información sobre el AWS Config registro, consulte [Habilitación y configuración AWS Config](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-prereq-config.html).
Para obtener instrucciones sobre cómo crear una política de configuración, consulte [Creación y asociación de políticas de configuración](create-associate-policy.md).
## Habilitación automática de nuevas cuentas de la organización (configuración local)
Cuando utiliza la configuración local y activa la habilitación automática de los estándares predeterminados, el CSPM de Security Hub agrega cuentas *nuevas* de la organización como miembros y habilita el CSPM de Security Hub en estas en la región actual. Otras regiones no se ven afectadas. Además, al activar la habilitación automática, no se habilita el CSPM de Security Hub en las cuentas de la organización *existentes*, a menos que ya se hayan agregado como cuentas de miembro.
Después de activar la habilitación automática, los estándares de seguridad predeterminados se habilitan para las cuentas de miembro nuevas en la región actual cuando se unen a la organización. Los estándares predeterminados son AWS Foundational Security Best Practices (FSBP) y AWS Foundations Benchmark v1.2.0 del Center for Internet Security (CIS). No puede cambiar los estándares predeterminados. Si desea habilitar otros estándares en toda su organización o habilitar los estándares para determinadas cuentas, le recomendamos que utilice la configuración OUs central.
Para generar resultados de control para los estándares predeterminados (y otros estándares habilitados), las cuentas de su organización deben estar AWS Config habilitadas y configuradas para registrar los recursos necesarios. Para obtener más información sobre el AWS Config registro, consulte [Habilitar y configurar AWS Config](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-prereq-config.html).
Elija el método que prefiera y siga estos pasos para habilitar el CSPM de Security Hub en nuevas cuentas de la organización. Estas instrucciones solo se aplican si utiliza la configuración local.
------
#### [ Security Hub CSPM console ]
**Para habilitar automáticamente las cuentas nuevas de la organización como cuentas de miembro del CSPM de Security Hub**
1. Abra la consola CSPM de AWS Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
Inicie sesión con las credenciales de la cuenta de administrador delegado.
1. En el panel de navegación del CSPM de Security Hub, en **Ajustes**, elija **Configuración**.
1. En la sección **Cuentas**, active **Habilitación automática de cuentas**.
------
#### [ Security Hub CSPM API ]
**Para habilitar automáticamente las cuentas nuevas de la organización como cuentas de miembro del CSPM de Security Hub**
Invoque la API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html) desde la cuenta de administrador delegado. Defina el campo `AutoEnable` en `true` para habilitar automáticamente el CSPM de Security Hub en las nuevas cuentas de la organización.
------
#### [ AWS CLI ]
**Para habilitar automáticamente las cuentas nuevas de la organización como cuentas de miembro del CSPM de Security Hub**
Ejecute el comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html) desde la cuenta de administrador delegado. Incluya el parámetro `auto-enable` para habilitar automáticamente el CSPM de Security Hub en las nuevas cuentas de la organización.
```
aws securityhub update-organization-configuration --auto-enable
```
------
# Habilitación manual del CSPM de Security Hub en las cuentas nuevas de la organización
Si no habilita automáticamente el CSPM de Security Hub en las cuentas nuevas de la organización cuando se unen a la organización, puede agregar esas cuentas como cuentas de miembro y habilitar el CSPM de Security Hub en ellas de forma manual después de que se unan. También debe habilitar manualmente el CSPM de Security Hub si anteriormente Cuentas de AWS se desasoció de una organización.
**nota**
Esta sección no se aplica a su caso si utiliza la [configuración centralizada](central-configuration-intro.md). Si utilizas la configuración central, puedes crear políticas de configuración que habiliten el CSPM de Security Hub en determinadas cuentas de miembros y unidades organizativas ()OUs. También puedes habilitar estándares y controles específicos en esas cuentas y. OUs
No puede habilitar el CSPM de Security Hub en una cuenta si ya es una cuenta de miembro de otra organización.
Tampoco puede habilitar el CSPM de Security Hub en una cuenta que esté suspendida. Si intenta habilitar el servicio en una cuenta suspendida, el estado de la cuenta cambia a **Cuenta suspendida**.
+ Si la cuenta no tiene habilitado el CSPM de Security Hub, el CSPM de Security Hub se habilita para esa cuenta. El estándar AWS Foundational Security Best Practices (FSBP) y CIS AWS Foundations Benchmark v1.2.0 también están habilitados en la cuenta, a menos que desactive los estándares de seguridad predeterminados.
La excepción a esto es la cuenta de administración de Organizations. El CSPM de Security Hub no se puede habilitar automáticamente para la cuenta de administración de Organizations. Debe habilitar el CSPM de Security Hub de forma manual en la cuenta de administración de Organizations antes de poder agregarla como una cuenta de miembro.
+ Si la cuenta ya tiene habilitado el CSPM de Security Hub, el CSPM de Security Hub no hace ningún otro cambio en la cuenta. Solo habilita la membresía.
Para que el CSPM de Security Hub genere resultados de control, las cuentas de los miembros deben estar AWS Config habilitadas y configuradas para registrar los recursos necesarios. Para obtener más información, consulte [Habilitación y configuración de AWS Config](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-prereq-config.html).
Elija el método que prefiera y siga los pasos para habilitar una cuenta de organización como cuenta de miembro del CSPM de Security Hub.
------
#### [ Security Hub CSPM console ]
**Habilitación manual de cuentas de la organización como miembros del CSPM de Security Hub**
1. Abra la consola CSPM de AWS Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
Inicie sesión con las credenciales de la cuenta de administrador delegado.
1. En el panel de navegación del CSPM de Security Hub, en **Ajustes**, elija **Configuración**.
1. En la lista **Cuentas**, seleccione cada cuenta de la organización que desee habilitar.
1. Elija **Acciones** y **Agregar miembro**.
------
#### [ Security Hub CSPM API ]
**Para habilitar manualmente cuentas de la organización como miembros del CSPM de Security Hub**
Invoque la API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateMembers.html) desde la cuenta de administrador delegado. Debe indicar el ID de cada cuenta que desee habilitar.
A diferencia del proceso de invitación manual, al invocar `CreateMembers` para habilitar una cuenta de la organización, no es necesario enviar una invitación.
------
#### [ AWS CLI ]
**Para habilitar manualmente cuentas de la organización como miembros del CSPM de Security Hub**
Ejecute el comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-members.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-members.html) desde la cuenta de administrador delegado. Debe indicar el ID de cada cuenta que desee habilitar.
A diferencia del proceso de invitación manual, al ejecutar `create-members` para habilitar una cuenta de la organización, no es necesario enviar una invitación.
```
aws securityhub create-members --account-details '[{"AccountId": ""}]'
```
**Ejemplo**
```
aws securityhub create-members --account-details '[{"AccountId": "123456789111"}, {"AccountId": "123456789222"}]'
```
------
# Desasociación de cuentas de miembro del CSPM de Security Hub de la organización
Para dejar de recibir y ver los resultados de una cuenta de miembro de CSPM de AWS Security Hub, puede desasociar la cuenta de miembro de su organización.
**nota**
Si utiliza la [configuración centralizada](central-configuration-intro.md), la desasociación funciona de forma diferente. Puede crear una política de configuración que desactive el CSPM de Security Hub en una o más cuentas de miembro administradas de forma centralizada. Después de eso, las cuentas continúan en la organización, pero no generarán resultados del CSPM de Security Hub. Si utiliza la configuración centralizada, pero también tiene cuentas de miembro invitadas manualmente, puede desasociar una o más cuentas invitadas manualmente.
Las cuentas de los miembros que se administran mediante no AWS Organizations pueden disociar sus cuentas de la cuenta de administrador. Solo la cuenta de administrador puede desasociar cuentas de miembro.
Al desasociar una cuenta de miembro, esta no se elimina. En su lugar, la cuenta de miembro se elimina de la organización. La cuenta de miembro disociada se convierte en una cuenta independiente Cuenta de AWS que ya no se administra mediante la integración de CSPM de Security Hub. AWS Organizations
Elija el método que prefiera y siga los pasos para desasociar una cuenta de miembro de la organización.
------
#### [ Security Hub CSPM console ]
**Desasociación de una cuenta de miembro de la organización**
1. Abra la consola CSPM de AWS Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
Inicie sesión con las credenciales de la cuenta de administrador delegado.
1. En el panel de navegación, en **Configuración**, elija **Configuración**.
1. En la sección **Cuentas**, seleccione las cuentas que desee desasociar. Si utiliza la configuración centralizada, puede seleccionar una cuenta invitada manualmente para desvincularla desde la pestaña `Invitation accounts`. Esta pestaña solo es visible si utiliza la configuración centralizada.
1. Seleccione **Acciones** y, a continuación, **Desasociar cuenta**.
------
#### [ Security Hub CSPM API ]
**Desasociación de una cuenta de miembro de la organización**
Invoque la API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisassociateMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisassociateMembers.html) desde la cuenta de administrador delegado. Debe proporcionar los datos Cuenta de AWS IDs para que las cuentas de los miembros se desasocien. Para ver una lista de las cuentas de miembro, invoque la API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListMembers.html).
------
#### [ AWS CLI ]
**Desasociación de una cuenta de miembro de la organización**
Ejecute el comando [ >`disassociate-members`](https://docs.aws.amazon.com/cli/latest/reference/securityhub/disassociate-members.html) desde la cuenta de administrador delegado. Debe proporcionar la información necesaria Cuenta de AWS IDs para que las cuentas de los miembros se desasocien. Para ver una lista de las cuentas de miembro, ejecute el comando [ >`list-members`](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-members.html).
```
aws securityhub disassociate-members --account-ids ""
```
**Ejemplo**
```
aws securityhub disassociate-members --account-ids "123456789111" "123456789222"
```
------
También puede usar la AWS Organizations consola o AWS SDKs desasociar una cuenta de miembro de su organización. AWS CLI Para obtener más información, consulte [Eliminación de una cuenta miembro de la organización](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_remove.html) en la *Guía del usuario de AWS Organizations *.
# Administración de cuentas por invitación en el CSPM de Security Hub
Puede administrar de forma centralizada varias cuentas CSPM de AWS Security Hub de dos maneras: integrando Security Hub CSPM AWS Organizations o enviando y aceptando manualmente las invitaciones de membresía. Debe utilizar el proceso manual si tiene una cuenta independiente o no la integra. AWS Organizations En la administración manual de cuentas, el administrador del CSPM de Security Hub invita a cuentas a convertirse en miembros. La relación administrador-miembro se establece cuando un potencial miembro acepta la invitación. Una cuenta de administrador del CSPM de Security Hub puede administrar el CSPM de Security Hub para hasta 1000 cuentas de miembro basadas en invitaciones.
**nota**
Si crea una organización basada en invitaciones en el CSPM de Security Hub, puede [hacer la transición con AWS Organizations](accounts-transition-to-orgs.md) posteriormente como alternativa. Si tiene más de una cuenta de miembro, le recomendamos que utilice AWS Organizations en lugar de las invitaciones de CSPM de Security Hub para administrar sus cuentas de miembro. Para obtener información, consulte [Administrar Security Hub CSPM para varias cuentas con AWS Organizations](securityhub-accounts-orgs.md).
La agregación entre regiones de resultados y otros datos están disponibles para las cuentas que invite a través del proceso de invitación manual. Sin embargo, el administrador debe invitar a la cuenta de miembro de la región de agregación y de todas las regiones vinculadas para que funcione la agregación entre regiones. Además, la cuenta de miembro debe tener habilitado el CSPM de Security Hub en la región de agregación y en todas las regiones vinculadas para que el administrador pueda ver los resultados de la cuenta miembro.
Las políticas de configuración no son compatibles con las cuentas miembros invitadas de forma manual. En su lugar, debe configurar los ajustes de CSPM de Security Hub por separado en cada cuenta de miembro y Región de AWS cuando utilice el proceso de invitación manual.
También debe utilizar el proceso manual basado en invitaciones para las cuentas que no pertenezcan a su organización. Por ejemplo, es posible que no incluya una cuenta de prueba en su organización. También puede optar por consolidar cuentas de varias organizaciones en una sola cuenta de administrador del CSPM de Security Hub. La cuenta de administrador del CSPM de Security Hub debe enviar invitaciones a las cuentas que pertenecen a otras organizaciones.
En la página **Configuración** de la consola del CSPM de Security Hub, las cuentas agregadas mediante invitación aparecen en la pestaña **Cuentas invitadas**. Si utiliza la [configuración centralizada](central-configuration-intro.md), pero también invita cuentas externas a la organización, podrá ver los resultados de esas cuentas basadas en invitación en esta pestaña. Sin embargo, el administrador del CSPM de Security Hub no puede configurar las cuentas basadas en invitación en las regiones mediante políticas de configuración.
En esta sección, se explica cómo administrar cuentas de miembros mediante invitaciones.
**Topics**
+ [Cómo agregar e invitar cuentas de miembro en el CSPM de Security Hub](securityhub-accounts-add-invite.md)
+ [Cómo responder a una invitación para convertirse en una cuenta de miembro del CSPM de Security Hub](securityhub-invitation-respond.md)
+ [Cómo desasociar cuentas de miembro en el CSPM de Security Hub](securityhub-disassociate-members.md)
+ [Cómo eliminar cuentas de miembro en el CSPM de Security Hub](securityhub-delete-member-accounts.md)
+ [Cómo desasociarse de una cuenta de administrador del CSPM de Security Hub](securityhub-disassociate-from-admin.md)
+ [Transición a Organizations para administrar cuentas en el CSPM de Security Hub](accounts-transition-to-orgs.md)
# Cómo agregar e invitar cuentas de miembro en el CSPM de Security Hub
**nota**
Recomendamos utilizar, AWS Organizations en lugar de Security Hub, invitaciones CSPM para gestionar las cuentas de los miembros. Para obtener información, consulte [Administrar Security Hub CSPM para varias cuentas con AWS Organizations](securityhub-accounts-orgs.md).
Su cuenta pasa a ser la administradora de AWS Security Hub CSPM para las cuentas que aceptan su invitación para convertirse en una cuenta miembro de Security Hub CSPM.
Al aceptar una invitación de otra cuenta, su cuenta se convierte en cuenta de miembro, mientras que la otra cuenta se convierte en su administrador.
Si su cuenta es la cuenta de administrador, no podrá aceptar una invitación para convertirse en cuenta de miembro.
El proceso para agregar una cuenta de miembro consta de los siguientes pasos:
1. La cuenta de administrador agrega la cuenta de miembro a su lista.
1. La cuenta de administrador envía una invitación a la cuenta de miembro.
1. La cuenta de miembro acepta la invitación.
## Adición de cuentas de miembro
Desde la consola del CSPM de Security Hub, puede agregar cuentas a la lista de cuentas de miembro. En la consola del CSPM de Security Hub, puede seleccionar cuentas de forma individual o cargar un archivo `.csv` que contenga la información de las cuentas.
Para cada cuenta, debe proporcionar el ID de la cuenta y una dirección de correo electrónico. La dirección de correo electrónico debe ser la dirección de correo electrónico de contacto en caso de problemas de seguridad de la cuenta. No se utiliza para verificar la cuenta.
Elija el método que prefiera y siga estos pasos para agregar cuentas de miembro.
------
#### [ Security Hub CSPM console ]
**Cómo agregar cuentas a su lista de cuentas de miembro**
1. Abra la consola CSPM de AWS Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
Inicie sesión en las credenciales de una cuenta del administrador.
1. En el panel izquierdo, seleccione **Configuración**.
1. En la página **Configuración**, seleccione **Cuentas**, elija **Agregar cuentas** y, a continuación, realice alguna de las siguientes operaciones: A continuación, puede agregar cuentas de forma individual o cargar un archivo `.csv` que contenga la lista de cuentas.
1. Para seleccionar las cuentas, realice una de las operaciones siguientes:
+ Para agregar las cuentas de una en una, debajo de **Introducir cuentas** escriba el ID y la dirección de correo electrónico de la cuenta que se va a agregar y, a continuación, elija **Agregar**.
Repita este proceso para cada cuenta.
+ Para utilizar un archivo de valores separados por comas (.csv) para agregar varias cuentas, primero debe crear el archivo. El archivo debe contener el ID y la dirección de correo electrónico de cada cuenta que desee agregar.
En la lista `.csv`, las cuentas deben aparecer de una en una en cada línea. La primera línea del archivo `.csv` debe contener el encabezado. En el encabezado, la primera columna es **Account ID** y la segunda **Email**.
Cada una de las líneas siguientes debe contener un ID de cuenta y una dirección de correo electrónico válidos para la cuenta que se va a añadir.
Este es un ejemplo de un archivo `.csv` visto en un editor de texto.
```
Account ID,Email
111111111111,user@example.com
```
En un programa de hojas de cálculo, los campos aparecen en columnas independientes. El formato subyacente sigue separado por comas. Debe formatear la cuenta con números no IDs decimales. Por ejemplo, el ID de cuenta 444455556666 no puede tener el formato 444455556666.0. Asegúrese también de que el formato numérico no elimine ningún cero inicial del ID de la cuenta.
Para seleccionar el archivo, en la consola, seleccione **Cargar lista (.csv)**. A continuación, seleccione **Examinar**.
Después de seleccionar el archivo, elija **Agregar cuentas**.
1. Cuando haya terminado de agregar cuentas, en **Cuentas que se van a agregar**, seleccione **Siguiente**.
------
#### [ Security Hub CSPM API ]
**Agregación de cuentas a su lista de cuentas de miembro**
Invoque la API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateMembers.html) desde la cuenta de administrador. Para añadir cada cuenta de miembro, debe proporcionar el Cuenta de AWS ID.
------
#### [ AWS CLI ]
**Agregación de cuentas a su lista de cuentas de miembro**
Ejecute el comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-members.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-members.html) desde la cuenta de administrador. Para añadir cada cuenta de miembro, debe proporcionar la Cuenta de AWS identificación.
```
aws securityhub create-members --account-details '[{"AccountId": ""}]'
```
**Ejemplo**
```
aws securityhub create-members --account-details '[{"AccountId": "123456789111"}, {"AccountId": "123456789222"}]'
```
------
## Cómo invitar cuentas de miembro
Una vez agregadas las cuentas de miembro, envíe una invitación a la cuenta de miembro. También puede volver a enviar una invitación a una cuenta que haya desvinculado del administrador.
------
#### [ Security Hub CSPM console ]
**Invitación a potenciales cuentas de miembro**
1. Abra la consola CSPM de AWS Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
Inicie sesión en las credenciales de una cuenta del administrador.
1. En el panel de navegación, elija **Configuración** y **Cuentas**.
1. En la cuenta que va a invitar, elija **Invite (Invitar)** en la columna **Status (Estado)**.
1. Cuando se le pida confirmación, elija **Invitar**.
**nota**
Para volver a enviar invitaciones a cuentas desasociadas, seleccione cada una de las cuentas desasociadas en la página **Cuentas**. En **Acciones**, seleccione **Volver a enviar invitación**.
------
#### [ Security Hub CSPM API ]
**Invitación a potenciales cuentas de miembro**
Invoque la API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_InviteMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_InviteMembers.html) desde la cuenta de administrador. Para cada cuenta a la que desee invitar, debe proporcionar el Cuenta de AWS ID.
------
#### [ AWS CLI ]
**Invitación a potenciales cuentas de miembro**
Ejecute el comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/invite-members.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/invite-members.html) desde la cuenta de administrador. Para cada cuenta a la que quieras invitar, debes proporcionar el Cuenta de AWS ID.
```
aws securityhub invite-members --account-ids
```
**Ejemplo**
```
aws securityhub invite-members --account-ids "123456789111" "123456789222"
```
------
# Cómo responder a una invitación para convertirse en una cuenta de miembro del CSPM de Security Hub
**nota**
Recomendamos utilizar, AWS Organizations en lugar de Security Hub, invitaciones CSPM para gestionar las cuentas de los miembros. Para obtener información, consulte [Administrar Security Hub CSPM para varias cuentas con AWS Organizations](securityhub-accounts-orgs.md).
Puedes aceptar o rechazar una invitación para ser miembro de AWS Security Hub CSPM.
Si acepta una invitación, la cuenta se convierte en una cuenta de miembro del CSPM de Security Hub. La cuenta que envió la invitación se convierte en la cuenta de administrador del CSPM de Security Hub. El usuario de la cuenta de administrador puede ver los resultados de la cuenta de miembro en el CSPM de Security Hub.
Si rechaza la invitación, su cuenta se marcará como **Renunciada** en la lista de cuentas de miembro de la cuenta de administrador.
Solo puede aceptar una invitación para ser miembro de la cuenta.
Antes de aceptar o rechazar una invitación, debe habilitar el CSPM de Security Hub.
Recuerde que todas las cuentas CSPM de Security Hub deben estar AWS Config habilitadas y configuradas para registrar todos los recursos. Para obtener más información sobre los requisitos AWS Config, consulte [Habilitar y configurar](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-prereq-config.html). AWS Config
## Cómo aceptar una invitación
Puede enviar una invitación para convertirse en una cuenta de miembro del CSPM de Security Hub desde la cuenta de administrador. A continuación, podrá aceptar la invitación tras iniciar sesión en la cuenta de miembro.
Elija el método que prefiera y siga los pasos para aceptar una invitación y convertirse en una cuenta de miembro.
------
#### [ Security Hub CSPM console ]
**Aceptación de una invitación a una suscripción**
1. Abra la consola CSPM de AWS Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. En el panel de navegación, elija **Configuración** y **Cuentas**.
1. En la sección **Cuenta de administrador**, active **Aceptar** y, a continuación, seleccione **Aceptar invitación**.
------
#### [ Security Hub CSPM API ]
**Aceptación de una invitación a una suscripción**
Invoque la API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AcceptAdministratortInvitation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AcceptAdministratortInvitation.html). Debe proporcionar el identificador de la invitación y el Cuenta de AWS ID de la cuenta de administrador. Para recuperar los detalles de la invitación, utilice la operación [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListInvitations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListInvitations.html).
------
#### [ AWS CLI ]
**Aceptación de una invitación a una suscripción**
Ejecute el comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/accept-administrator-invitation.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/accept-administrator-invitation.html). Debe proporcionar el identificador de la invitación y el Cuenta de AWS ID de la cuenta de administrador. Para recuperar los detalles de la invitación, ejecute el comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-invitations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-invitations.html).
```
aws securityhub accept-administrator-invitation --administrator-id --invitation-id
```
**Ejemplo**
```
aws securityhub accept-administrator-invitation --administrator-id 123456789012 --invitation-id 7ab938c5d52d7904ad09f9e7c20cc4eb
```
------
**nota**
La consola del CSPM de Security Hub aún utiliza `AcceptInvitation`. Con el tiempo, pasará a usar `AcceptAdministratorInvitation`. Cualquier política de IAM que controle específicamente el acceso a esta función debe seguir empleando `AcceptInvitation`. También debe agregar `AcceptAdministratorInvitation` a sus políticas los permisos correctos una vez que la consola comience a utilizar `AcceptAdministratorInvitation`.
## Cómo rechazar una invitación
Puede rechazar una invitación para convertirse en una cuenta de miembro del CSPM de Security Hub. Cuando rechaza una invitación en la consola del CSPM de Security Hub, la cuenta se marca como **Renunció** en la lista de cuentas de miembro de la cuenta de administrador. El estado **Renunció** solo aparece cuando inicia sesión en la consola del CSPM de Security Hub con la cuenta de administrador. Sin embargo, no habrá cambios en la invitación en la consola de la cuenta de miembro hasta que inicie sesión en la cuenta de administrador y elimine la invitación.
Para rechazar una invitación, debe iniciar sesión en la cuenta de miembro que recibió la invitación.
Elija el método preferido y siga los pasos para rechazar una invitación para ser una cuenta de miembro.
------
#### [ Security Hub CSPM console ]
**Rechazo de una invitación a una membresía**
1. Abra la consola CSPM de AWS Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. En el panel de navegación, elija **Configuración** y **Cuentas**.
1. En la sección **Cuenta de administrador**, seleccione **Rechazar la invitación**.
------
#### [ Security Hub CSPM API ]
**Rechazo de una invitación a una membresía**
Invoque la API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DeclineInvitations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DeclineInvitations.html). Debe proporcionar el Cuenta de AWS ID de la cuenta de administrador que emitió la invitación. Para ver la información sobre sus invitaciones, utilice la operación [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListInvitations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListInvitations.html).
------
#### [ AWS CLI ]
**Rechazo de una invitación a una membresía**
Ejecute el comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/decline-invitations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/decline-invitations.html). Debe proporcionar el Cuenta de AWS ID de la cuenta de administrador que emitió la invitación. Para ver la información sobre sus invitaciones, ejecute el comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-invitations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-invitations.html).
```
aws securityhub decline-invitations --account-ids ""
```
**Ejemplo**
```
aws securityhub decline-invitations --account-ids "123456789012"
```
------
# Cómo desasociar cuentas de miembro en el CSPM de Security Hub
**nota**
Recomendamos utilizar, AWS Organizations en lugar de Security Hub, invitaciones CSPM para gestionar las cuentas de los miembros. Para obtener información, consulte [Administrar Security Hub CSPM para varias cuentas con AWS Organizations](securityhub-accounts-orgs.md).
Una cuenta de administrador de CSPM de AWS Security Hub puede desasociar una cuenta de miembro para dejar de recibir y ver los resultados de esa cuenta. Debe desvincular una cuenta de miembro antes de poder eliminarla.
Al desvincular una cuenta de miembro, permanece en la lista de cuentas de miembro con el estado **Eliminada (desvinculada)**. Su cuenta se elimina de la información de la cuenta de administrador de la cuenta de miembro.
Para volver a recibir los resultados de la cuenta, puede volver a enviar la invitación. Para eliminar la cuenta de miembro por completo, puede eliminarla.
Elija el método que prefiera y siga los pasos para desasociar una cuenta de miembro invitada manualmente desde la cuenta de administrador.
------
#### [ Security Hub CSPM console ]
**Desasociación de una cuenta de miembro invitada manualmente**
1. Abra la consola CSPM de AWS Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
Inicie sesión en las credenciales de una cuenta del administrador.
1. En el panel de navegación, en **Configuración**, elija **Configuración**.
1. En la sección **Cuentas**, seleccione las cuentas que desee desasociar.
1. Seleccione **Acciones** y, a continuación, **Desasociar cuenta**.
------
#### [ Security Hub CSPM API ]
**Desasociación de una cuenta de miembro invitada manualmente**
Invoque la API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisassociateMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisassociateMembers.html) desde la cuenta de administrador. Debe proporcionar las cuentas Cuenta de AWS IDs de los miembros que desee desasociar. Para ver una lista de las cuentas miembro, utilice la operación [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListMembers.html).
------
#### [ AWS CLI ]
**Desasociación de una cuenta de miembro invitada manualmente**
Ejecute el comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/disassociate-members.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/disassociate-members.html) desde la cuenta de administrador. Debe proporcionar las cuentas Cuenta de AWS IDs de los miembros que desee desasociar. Para ver una lista de las cuentas de miembro, ejecute el comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-members.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-members.html).
```
aws securityhub disassociate-members --account-ids
```
**Ejemplo**
```
aws securityhub disassociate-members --account-ids "123456789111" "123456789222"
```
------
# Cómo eliminar cuentas de miembro en el CSPM de Security Hub
**nota**
Recomendamos utilizar, AWS Organizations en lugar de Security Hub, invitaciones CSPM para gestionar las cuentas de los miembros. Para obtener información, consulte [Administrar Security Hub CSPM para varias cuentas con AWS Organizations](securityhub-accounts-orgs.md).
Como cuenta de administrador de CSPM de AWS Security Hub, puede eliminar las cuentas de miembros que se agregaron por invitación. Antes de poder eliminar una cuenta habilitada, debe desvincularla.
Al eliminar una cuenta de miembro, se elimina por completo de la lista. Para restaurar la suscripción de la cuenta, debe agregarla e invitarla de nuevo, como si se tratara de una cuenta de miembro completamente nueva.
No puede eliminar las cuentas que pertenecen a una organización y que se administran mediante la integración con. AWS Organizations
Elija el método que prefiera y siga los pasos para eliminar las cuentas de miembro invitados manualmente.
------
#### [ Security Hub CSPM console ]
**Eliminación de una cuenta de miembro invitada manualmente**
1. Abra la consola CSPM de AWS Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
Inicie sesión con la cuenta de administrador.
1. En el panel de navegación, elija **Configuración** y, a continuación, elija **Configuración**.
1. Seleccione la pestaña **Cuentas de invitación**. A continuación, seleccione las cuentas que desea eliminar.
1. Elija **Acciones** y, a continuación, elija **Eliminar**. Esta opción solo está disponible si ha desasociado la cuenta. Debe desasociar una cuenta de miembro antes de poder eliminarla.
------
#### [ Security Hub CSPM API ]
**Eliminación de una cuenta de miembro invitada manualmente**
Invoque la API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DeleteMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DeleteMembers.html) desde la cuenta de administrador. Debe proporcionar las cuentas Cuenta de AWS IDs de los miembros que desea eliminar. Para recuperar la lista de cuentas de miembro, invoque la API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListMembers.html).
------
#### [ AWS CLI ]
**Eliminación de una cuenta de miembro invitada manualmente**
Ejecute el comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/delete-members.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/delete-members.html) desde la cuenta de administrador. Debe proporcionar las cuentas Cuenta de AWS IDs de los miembros que desea eliminar. Para recuperar la lista de cuentas de miembro, ejecute el comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-members.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-members.html).
```
aws securityhub delete-members --account-ids
```
**Ejemplo**
```
aws securityhub delete-members --account-ids "123456789111" "123456789222"
```
------
# Cómo desasociarse de una cuenta de administrador del CSPM de Security Hub
**nota**
Recomendamos utilizar, AWS Organizations en lugar de Security Hub, invitaciones CSPM para gestionar las cuentas de los miembros. Para obtener información, consulte [Administrar Security Hub CSPM para varias cuentas con AWS Organizations](securityhub-accounts-orgs.md).
Si su cuenta se agregó como cuenta de miembro de AWS Security Hub CSPM por invitación, puede desasociar la cuenta de miembro de la cuenta de administrador. Después de desasociar una cuenta de miembro, el CSPM de Security Hub deja de enviar resultados de la cuenta a la cuenta de administrador.
Las cuentas de los miembros que se administran mediante la integración con no AWS Organizations pueden disociar sus cuentas de la cuenta de administrador. Solo el administrador delegado del CSPM de Security Hub puede desasociar cuentas de miembro que se administran con Organizations.
Cuando se desvincula de su cuenta de administrador, su cuenta permanece en la lista de miembros de la cuenta de administrador con el estado **Renunciado**. Sin embargo, la cuenta de administrador no recibe ningún dato sobre su cuenta.
Tras desasociarse de la cuenta de administrador, la invitación para ser miembro seguirá vigente. Puede volver a aceptar la invitación en el futuro.
------
#### [ Security Hub CSPM console ]
**Cómo desvincularse de su cuenta de administrador**
1. Abra la consola CSPM de AWS Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. En el panel de navegación, elija **Configuración** y **Cuentas**.
1. En la sección **Cuenta de administrador**, desactive **Aceptar** y, a continuación, seleccione **Actualizar**.
------
#### [ Security Hub CSPM API ]
**Desasociación de su cuenta de administrador**
Invoque la API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisassociateFromAdministratorAccount.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisassociateFromAdministratorAccount.html).
------
#### [ AWS CLI ]
**Desasociación de su cuenta de administrador**
Ejecute el comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/disassociate-from-administrator-account.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/disassociate-from-administrator-account.html).
```
aws securityhub disassociate-from-administrator-account
```
------
**nota**
La consola del CSPM de Security Hub aún utiliza `DisassociateFromMasterAccount`. Con el tiempo, pasará a usar `DisassociateFromAdministratorAccount`. Cualquier política de IAM que controle específicamente el acceso a esta función debe seguir empleando `DisassociateFromMasterAccount`. También debe agregar `DisassociateFromAdministratorAccount` a sus políticas los permisos correctos una vez que la consola comience a utilizar `DisassociateFromAdministratorAccount`.
# Transición a Organizations para administrar cuentas en el CSPM de Security Hub
Al administrar las cuentas manualmente en AWS Security Hub CSPM, debe invitar a posibles cuentas de miembros y configurar cada cuenta de miembro por separado en cada una de ellas. Región de AWS
Al integrar Security Hub CSPM AWS Organizations, puede eliminar la necesidad de enviar invitaciones y obtener un mayor control sobre cómo se configura y personaliza Security Hub CSPM en su organización. Por esta razón, recomendamos usar AWS Organizations en lugar de las invitaciones del CSPM de Security Hub para administrar las cuentas de miembro. Para obtener información, consulte [Administrar Security Hub CSPM para varias cuentas con AWS Organizations](securityhub-accounts-orgs.md).
Es posible utilizar un enfoque combinado en el que se utiliza la AWS Organizations integración, pero también se pueden invitar manualmente a cuentas ajenas a la organización. Sin embargo, recomendamos utilizar exclusivamente la integración de Organizations. La [configuración centralizada](central-configuration-intro.md), una característica que ayuda a administrar el CSPM de Security Hub en múltiples cuentas y regiones, solo está disponible cuando se integra con Organizations.
En esta sección, se explica cómo pasar de la administración manual de cuentas basada en invitaciones a la administración de cuentas con AWS Organizations.
## Integración de Security Hub CSPM con AWS Organizations
En primer lugar, debe integrar Security Hub CSPM y. AWS Organizations
Siga los pasos que se indican a continuación para integrar estos servicios:
+ Creación de una organización en AWS Organizations. Para obtener instrucciones sobre cómo hacerlo, consulte [Creación de una organización](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_create.html#create-org) en la *Guía del usuario de AWS Organizations *.
+ Desde la cuenta de administración de Organizations, designe una cuenta de administrador delegado del CSPM de Security Hub.
**nota**
La cuenta de administración de Organizations *no se puede* establecer como cuenta de administrador delegado.
Para obtener instrucciones detalladas, consulte [Integración de Security Hub CSPM con AWS Organizations](designate-orgs-admin-account.md).
Al completar los pasos anteriores, se concede un [acceso de confianza](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-securityhub.html#integrate-enable-ta-securityhub) para el Security Hub CSPM en. AWS Organizations Esto también habilita el CSPM de Security Hub en la cuenta actual Región de AWS de administrador delegado.
El administrador delegado puede administrar la organización en el CSPM de Security Hub, principalmente al agregar las cuentas de la organización como cuentas de miembro del CSPM de Security Hub. El administrador también puede acceder a ciertos ajustes, datos y recursos del CSPM de Security Hub para esas cuentas.
Al hacer la transición a la administración de cuentas mediante Organizations, las cuentas basadas en invitaciones no se convierten automáticamente en miembros del CSPM de Security Hub. Solo las cuentas que agregue a la nueva organización se pueden convertir en miembros del CSPM de Security Hub.
Tras activar la integración, puede administrar las cuentas con Organizations. Para obtener información, consulte [Administrar Security Hub CSPM para varias cuentas con AWS Organizations](securityhub-accounts-orgs.md). La administración de cuentas varía en función del tipo de configuración de la organización.
# Acciones permitidas para cuentas de administrador y cuentas de miembro en el CSPM de Security Hub
Las cuentas de administrador y miembro tienen acceso a las acciones de CSPM de AWS Security Hub que se indican en las siguientes tablas. En las tablas, los valores tienen los siguientes significados:
+ **Cualquiera:** la cuenta puede llevar a cabo la acción para todas las cuentas de miembro del mismo administrador.
+ **Actual:** la cuenta solo puede llevar a cabo la acción por sí misma (la cuenta en la que ha iniciado sesión).
+ **Guion:** indica que la cuenta no puede llevar a cabo la acción.
Como se indica en las tablas, las acciones permitidas varían en función de si se realiza la integración AWS Organizations y del tipo de configuración que utilice la organización. Para obtener más información acerca de la diferencia la configuración local y centralizada, consulte [Administrar cuentas con AWS Organizations](securityhub-accounts.md#securityhub-orgs-account-management-overview).
El CSPM de Security Hub no copia los resultados de las cuentas de miembro en la cuenta de administrador. En el CSPM de Security Hub, todos los resultados se ingestan en una región específica para una cuenta específica. En cada región, la cuenta del administrador puede ver y gestionar los resultados de sus cuentas de miembro en esa región.
Si establece una región de agregación, la cuenta de administrador puede ver y administrar los resultados de las cuentas de miembro de las regiones vinculadas que se replican en la región de agregación. Para obtener más información sobre la agregación entre regiones, consulte [Agregación entre regiones](https://docs.aws.amazon.com/securityhub/latest/userguide/finding-aggregation.html).
Las siguientes tablas especifican los permisos predeterminados para las cuentas de administrador y las cuentas de miembro. Puede utilizar políticas de IAM personalizadas para restringir aún más el acceso a las características y funciones del CSPM de Security Hub. Para obtener orientación y ejemplos, consulte la entrada del blog [Alineación de las políticas de IAM con las personas de los usuarios para AWS Security Hub](https://aws.amazon.com/blogs/security/aligning-iam-policies-to-user-personas-for-aws-security-hub/) CSPM.
## Acciones permitidas si integra con Organizations y usa la configuración centralizada
Cuando se integra con Organizations y se utiliza la configuración centralizada, las cuentas de administrador y de miembro pueden acceder a las acciones del CSPM de Security Hub de la siguiente manera.
| Action | Cuenta de administrador delegado del CSPM de Security Hub | Cuenta de miembro administrada de forma centralizada | Cuenta de miembro autoadministrada |
| --- | --- | --- | --- |
| Creación y administración de políticas de configuración del CSPM de Security Hub | Para cuentas administradas automáticamente y de forma centralizada | – | – |
| Visualización de cuentas de la organización | Cualquiera | – | – |
| Desvincular cuenta de miembro | Cualquiera | – | – |
| Eliminar cuenta de miembro | Cualquier cuenta que no sea de una organización | – | – |
| Desactivación del CSPM de Security Hub | Para cuentas actuales y cuentas administradas de forma centralizada | – | Actuales (deben desasociarse de la cuenta de administrador) |
| Vea los resultados y el historial de búsquedas | Cualquiera | Actuales | Actuales |
| Actualizar los resultados | Cualquiera | Actuales | Actuales |
| Ver los resultados de los hallazgos | Cualquiera | Actuales | Actuales |
| Ver los detalles de control | Cualquiera | Actuales | Actuales |
| Activación o desactivación de los resultados de control consolidados | Cualquiera | – | – |
| Habilitar y deshabilitar estándares | Para cuentas actuales y cuentas administradas de forma centralizada | – | Actuales |
| Habilitar y deshabilitar controles | Para cuentas actuales y cuentas administradas de forma centralizada | – | Actuales |
| Habilitar y deshabilitar integraciones | Actuales | Actuales | Actuales |
| Configurar agregación entre regiones | Cualquiera | – | – |
| Selección de la región de origen y las regiones vinculadas | Cualquiera (debe detener y reiniciar la configuración centralizada para cambiar la región de origen) | – | – |
| Configurar acciones personalizadas | Actuales | Actuales | Actuales |
| Configurar reglas de automatización | Cualquiera | – | – |
| Configurar hallazgos personalizados | Actuales | Actuales | Actuales |
## Acciones permitidas si integra con Organizations y usa la configuración local
Las cuentas de administrador y de miembro pueden acceder a las acciones del CSPM de Security Hub de la siguiente manera cuando se integra con Organizations y se utiliza la configuración local.
| Action | Cuenta de administrador delegado del CSPM de Security Hub | Cuenta de miembro |
| --- | --- | --- |
| Creación y administración de políticas de configuración del CSPM de Security Hub | – | – |
| Visualización de cuentas de la organización | Cualquiera | – |
| Desvincular cuenta de miembro | Cualquiera | – |
| Eliminar cuenta de miembro | – | – |
| Desactivación del CSPM de Security Hub | – | Actual (si la cuenta está desasociada del administrador delegado) |
| Vea los resultados y el historial de búsquedas | Cualquiera | Actuales |
| Actualizar los resultados | Cualquiera | Actuales |
| Ver los resultados de los hallazgos | Cualquiera | Actuales |
| Ver los detalles de control | Cualquiera | Actuales |
| Activación o desactivación de los resultados de control consolidados | Cualquiera | – |
| Habilitar y deshabilitar estándares | Actuales | Actuales |
| Habilitar automáticamente el CSPM de Security Hub y los estándares predeterminados en las nuevas cuentas de la organización | Para cuentas actuales y cuentas nuevas de la organización | – |
| Habilitar y deshabilitar controles | Actuales | Actuales |
| Habilitar y deshabilitar integraciones | Actuales | Actuales |
| Configurar agregación entre regiones | Cualquiera | – |
| Configurar acciones personalizadas | Actuales | Actuales |
| Configurar reglas de automatización | Cualquiera | – |
| Configurar hallazgos personalizados | Actuales | Actuales |
## Acciones permitidas para las cuentas basadas en invitaciones
Las cuentas de administrador y miembro pueden acceder a las acciones de CSPM de Security Hub de la siguiente manera si utiliza el método basado en invitaciones para administrar las cuentas manualmente en lugar de integrarlas con. AWS Organizations
| Action | Cuenta de administrador del CSPM de Security Hub | Cuenta de miembro |
| --- | --- | --- |
| Creación y administración de políticas de configuración del CSPM de Security Hub | – | – |
| Visualización de cuentas de la organización | Cualquiera | – |
| Desvincular cuenta de miembro | Cualquiera | Actuales |
| Eliminar cuenta de miembro | Cualquiera | – |
| Desactivación del CSPM de Security Hub | Actual (si no hay cuentas de miembro habilitadas) | Actual (si la cuenta está desasociada de la cuenta de administrador) |
| Vea los resultados y el historial de búsquedas | Cualquiera | Actuales |
| Actualizar los resultados | Cualquiera | Actuales |
| Ver los resultados de los hallazgos | Cualquiera | Actuales |
| Ver los detalles de control | Cualquiera | Actuales |
| Activación o desactivación de los resultados de control consolidados | Cualquiera | – |
| Habilitar y deshabilitar estándares | Actuales | Actuales |
| Habilitar automáticamente el CSPM de Security Hub y los estándares predeterminados en las nuevas cuentas de la organización | – | – |
| Habilitar y deshabilitar controles | Actuales | Actuales |
| Habilitar y deshabilitar integraciones | Actuales | Actuales |
| Configurar agregación entre regiones | Cualquiera | – |
| Configurar acciones personalizadas | Actuales | Actuales |
| Configurar reglas de automatización | Cualquiera | – |
| Configurar hallazgos personalizados | Actuales | Actuales |
# Efecto de las acciones de la cuenta en los datos del CSPM de Security Hub
Estas acciones de la cuenta tienen los siguientes efectos en los datos AWS de CSPM de Security Hub.
## Desactivación del CSPM de Security Hub
Si utiliza la [configuración central](central-configuration-intro.md), el administrador delegado (DA) puede crear políticas de configuración de CSPM del Security Hub que deshabiliten el CSPM del AWS Security Hub en cuentas y unidades organizativas específicas (). OUs En este caso, el CSPM de Security Hub está deshabilitado en las cuentas especificadas y OUs en tu región de origen y en cualquier región vinculada. Si no utiliza la configuración centralizada, debe desactivar el CSPM de Security Hub por separado en cada cuenta y región donde lo haya habilitado. No puede usar la configuración centralizada si el CSPM de Security Hub está desactivado en la cuenta del administrador delegado.
No se generan ni actualizan resultados para la cuenta de administrador si el CSPM de Security Hub está desactivado en esa cuenta. Los resultados archivados existentes se eliminan después de 30 días. Los resultados activos existentes se eliminan después de 90 días.
Se eliminan las integraciones con otras Servicios de AWS .
Los estándares de seguridad y controles habilitados se deshabilitan.
Otros datos y configuraciones del CSPM de Security Hub, incluidas las acciones personalizadas, la información y las suscripciones a productos de terceros, se retienen durante 90 días.
## Cuenta miembro disociada de la cuenta de administrador
Cuando una cuenta miembro se desvincula de la cuenta de administrador, esta pierde el permiso para ver los resultados en la cuenta de miembro. Sin embargo, el CSPM de Security Hub permanece habilitado en ambas cuentas.
Si utiliza la configuración centralizada, el administrador delegado no puede configurar el CSPM de Security Hub para una cuenta de miembro que esté desasociada de la cuenta del administrador delegado.
La configuración personalizada o las integraciones definidas para la cuenta de administrador no se aplican a los resultados de la antigua cuenta de miembro. Por ejemplo, después de disociar las cuentas, es posible que tengas una acción personalizada en la cuenta de administrador utilizada como patrón de eventos en una EventBridge regla de Amazon. Sin embargo, esta acción personalizada no se puede utilizar en la cuenta de miembro.
En la lista **Cuentas** de la cuenta de administrador del CSPM de Security Hub, una cuenta eliminada aparece con el estado **Desasociada**.
## Cómo eliminar una cuenta miembro de una organización
Cuando se elimina una cuenta de miembro de una organización, la cuenta de administrador del CSPM de Security Hub pierde el permiso para ver los resultados de la cuenta de miembro. Sin embargo, el CSPM de Security Hub permanece habilitado en ambas cuentas con la misma configuración que tenían antes de la eliminación.
Si utiliza la configuración centralizada, no puede configurar el CSPM de Security Hub para una cuenta de miembro después de que se haya eliminado de la organización a la que pertenece el administrador delegado. Sin embargo, la cuenta retiene la configuración que tenía antes de la eliminación, a menos que la cambie manualmente.
En la lista **Cuentas** de la cuenta de administrador del CSPM de Security Hub, una cuenta eliminada aparece con el estado **Eliminada**.
## Cuenta suspendida
Cuando Cuenta de AWS se suspende una, la cuenta pierde el permiso para ver sus hallazgos en Security Hub CSPM. No se generan ni actualizan resultados para esa cuenta. La cuenta de administrador de una cuenta suspendida puede ver los resultados existentes de la cuenta.
En el caso de una cuenta de organización, el estado de la cuenta de miembro también puede cambiar a **Cuenta suspendida**. Esto sucede si la cuenta se suspende en el mismo momento en que la cuenta del administrador intenta habilitarla. La cuenta de administrador de una **Cuenta suspendida** no puede ver los resultados de esa cuenta. De lo contrario, el estado suspendido no afectará al estado de la cuenta miembro.
Si utiliza la configuración centralizada, se producirá un error en la asociación de políticas si el administrador delegado intenta asociar una política de configuración a una cuenta suspendida.
Transcurridos 90 días, la cuenta se termina o se reactiva. Cuando la cuenta se reactiva, se restauran sus permisos del CSPM de Security Hub. Si el estado de la cuenta de miembro es **Cuenta suspendida**, la cuenta del administrador debe habilitar la cuenta manualmente.
## Cuenta cerrada
Cuando un Cuenta de AWS está cerrado, el Security Hub CSPM responde al cierre de la siguiente manera.
Si la cuenta es una cuenta de administrador del CSPM de Security Hub, se elimina como cuenta de administrador y se eliminan todas las cuentas de miembro. Si la cuenta es una cuenta de miembro, se desasocia y se elimina como miembro de la cuenta de administrador del CSPM de Security Hub.
El CSPM de Security Hub retiene los resultados archivados existentes de la cuenta durante 30 días. En el caso de un resultado correspondiente a un control, el cálculo de los 30 días se basa en el valor del campo `UpdatedAt` del resultado. Para otro tipo de resultado, el cálculo se basa en el valor del campo `UpdatedAt` o `ProcessedAt` del resultado, según cuál fecha sea más reciente. Al finalizar este periodo de 30 días, el CSPM de Security Hub elimina permanentemente el resultado de la cuenta.
El CSPM de Security Hub retiene los resultados activos existentes de la cuenta durante 90 días. En el caso de un resultado correspondiente a un control, el cálculo de los 90 días se basa en el valor del campo `UpdatedAt` del resultado. Para otro tipo de resultado, el cálculo se basa en el valor del campo `UpdatedAt` o `ProcessedAt` del resultado, según cuál fecha sea más reciente. Al finalizar este periodo de 90 días, el CSPM de Security Hub elimina permanentemente el resultado de la cuenta.
Para retener los resultados existentes por un periodo más largo, puede exportarlos a un bucket de S3. Puedes hacerlo mediante una acción personalizada con una EventBridge regla de Amazon. Para obtener más información, consulte [Uso EventBridge para respuesta y remediación automatizadas](securityhub-cloudwatch-events.md).
**importante**
En el caso de los clientes registrados AWS GovCloud (US) Regions, haz una copia de seguridad de los datos de tu póliza y otros recursos de la cuenta y los borra antes de cerrarla. No tendrá acceso a los recursos ni datos después de cerrar la cuenta.
Para obtener más información, consulte [Cerrar una Cuenta de AWS](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/close-account.html) en la *Guía de referencia de AWS Account Management *