Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Habilitación del CSPM de Security Hub
<a name="securityhub-settingup"></a>

Hay dos formas de habilitar el CSPM de AWS Security Hub: integrándolo con AWS Organizations o manualmente.

Se recomienda encarecidamente la integración con Organizations para entornos con varias cuentas y regiones. Si tiene una cuenta independiente, es necesario configurar el CSPM de Security Hub manualmente.

## Verificación de los permisos necesarios
<a name="securityhub-setup-permissions"></a>

Después de registrarse en Amazon Web Services (AWS), debe habilitar el CSPM de Security Hub para usar sus capacidades y características. Para habilitar el CSPM de Security Hub, primero debe configurar permisos que permitan acceder a la consola y a las operaciones de la API del CSPM de Security Hub. Usted o su AWS administrador pueden hacerlo mediante AWS Identity and Access Management (IAM) para adjuntar la política AWS gestionada llamada `AWSSecurityHubFullAccess` a su identidad de IAM.

Para habilitar y administrar Security Hub CSPM a través de la integración de Organizations, también debe adjuntar la política AWS administrada denominada. `AWSSecurityHubOrganizationsAccess`

Para obtener más información, consulte [AWS políticas gestionadas para Security Hub](security-iam-awsmanpol.md).

## Habilitación del CSPM de Security Hub con la integración de Organizations
<a name="securityhub-orgs-setup-overview"></a>

Para empezar a usar Security Hub CSPM con AWS Organizations, la cuenta de AWS Organizations administración de la organización designa una cuenta como la cuenta de administrador de CSPM de Security Hub delegada para la organización. El CSPM de Security Hub se habilita automáticamente en la cuenta de administrador delegada en la región actual.

Seleccione el método que prefiera y siga los pasos para designar el administrador delegado.

------
#### [ Security Hub CSPM console ]

**Para designar al administrador delegado del CSPM de Security Hub durante el proceso de incorporación**

1. Abra la consola CSPM de AWS Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Seleccione **Ir al CSPM de Security Hub**. Se le solicitará que inicie sesión en la cuenta de administración de Organizations.

1. En la página **Designar administrador delegado**, en la sección **Cuenta de administrador delegado**, especifique la cuenta de administrador delegado. Se recomienda que elija el mismo administrador delegado que haya configurado para otros servicios de seguridad y conformidad de AWS .

1. Elija **Establecer administrador delegado**.

------
#### [ Security Hub CSPM API ]

Invoque la API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_EnableOrganizationAdminAccount.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_EnableOrganizationAdminAccount.html) desde la cuenta de administración de Organizations. Proporcione el ID de Cuenta de AWS de la cuenta del administrador delegado del CSPM de Security Hub.

------
#### [ AWS CLI ]

Ejecute el comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-organization-admin-account.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-organization-admin-account.html) desde la cuenta de administración de Organizations. Proporcione el ID de Cuenta de AWS de la cuenta del administrador delegado del CSPM de Security Hub.

**Comando de ejemplo:**

```
aws securityhub enable-organization-admin-account --admin-account-id 777788889999
```

------

Para obtener más información acerca de la integración con Organizations, consulte [Integración de Security Hub CSPM con AWS Organizations](designate-orgs-admin-account.md).

### Configuración centralizada
<a name="securityhub-central-config"></a>

Cuando integra el CSPM de Security Hub con Organizations, tiene la opción de usar una característica llamada [configuración centralizada](central-configuration-intro.md) para configurar y administrar el CSPM de Security Hub para la organización. Se recomienda encarecidamente utilizar la configuración centralizada porque permite que el administrador personalice la cobertura de seguridad de la organización. Cuando corresponde, el administrador delegado puede permitir que la cuenta de un miembro configure sus propios ajustes de cobertura de seguridad.

La configuración central permite al administrador delegado configurar Security Hub CSPM en todas las cuentas, y OUs. Regiones de AWS El administrador delegado configura el CSPM de Security Hub mediante la creación de políticas de configuración. Dentro de una política de configuración, puede especificar la siguiente configuración:
+ Si se habilita o desactiva el CSPM de Security Hub
+ Los estándares de seguridad que se habilitan y deshabilitan
+ Los controles de seguridad que se habilitan y deshabilitan
+ Si se deben personalizar los parámetros de los controles seleccionados

Como administrador delegado, puede crear una política de configuración única para toda la organización o diferentes políticas de configuración para sus distintas cuentas y. OUs Por ejemplo, las cuentas de prueba y las cuentas de producción pueden utilizar políticas de configuración diferentes.

Las cuentas de los miembros OUs que utilizan una política de configuración se *administran de forma centralizada* y solo el administrador delegado puede configurarlas. El administrador delegado puede designar cuentas de miembros específicas y OUs *autoadministrarlas* para que el miembro pueda configurar sus propios ajustes de forma específica. Region-by-Region

Si no utiliza la configuración centralizada, debe configurar el CSPM de Security Hub, en gran medida, de forma independiente en cada cuenta y región. Esto se denomina [configuración local](local-configuration.md). En la configuración local, el administrador delegado puede habilitar automáticamente el CSPM de Security Hub y un conjunto limitado de estándares de seguridad en las nuevas cuentas de la organización dentro de la región actual. La configuración local no se aplica a las cuentas de la organización existentes ni a otras regiones que no sean la actual. La configuración local tampoco admite el uso de políticas de configuración.

## Habilitación manual del CSPM de Security Hub
<a name="securityhub-manual-setup-overview"></a>

Debe habilitar el CSPM de Security Hub manualmente si tiene una cuenta independiente o si no se integra con ella. AWS Organizations Las cuentas independientes no se pueden integrar con la activación manual AWS Organizations y deben utilizarla.

Al habilitar el CSPM de Security Hub manualmente, designa una cuenta de administrador de este servicio e invita a otras cuentas a convertirse en cuentas de miembro. La relación entre administrador y miembros se establece cuando una potencial cuenta de miembro acepta la invitación.

Elija el método que prefiera y siga estos pasos para habilitar el CSPM de Security Hub. Al habilitar el CSPM de Security Hub desde la consola, también tiene la opción de habilitar los estándares de seguridad admitidos.

------
#### [ Security Hub CSPM console ]

1. Abra la consola CSPM de AWS Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1.  Al abrir la consola del CSPM de Security Hub por primera vez, seleccione **Ir al CSPM de Security Hub**.

1. En la página de bienvenida, la sección **Estándares de seguridad** enumera los estándares de seguridad que el CSPM de Security Hub admite.

   Seleccione la casilla de verificación de un estándar para habilitarlo y quite la selección de la casilla para deshabilitarlo.

   Puede habilitar o deshabilitar un estándar o sus controles individuales en cualquier momento. Para obtener más información sobre cómo administrar los estándares de seguridad, consulte [Descripción de los estándares de seguridad en el CSPM de Security Hub](standards-view-manage.md).

1. Seleccione **Habilitar Security Hub**.

------
#### [ Security Hub CSPM API ]

Invoque la API [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_EnableSecurityHub.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_EnableSecurityHub.html). Al habilitar el CSPM de Security Hub desde la API, se habilitan automáticamente los siguientes estándares de seguridad predeterminados:
+ AWS Mejores prácticas fundamentales de seguridad
+ Punto de referencia básico del Center for Internet Security (CIS), AWS versión 1.2.0

Si no deseas habilitar estos estándares, establece `EnableDefaultStandards` como `false`.

También puede usar el parámetro `Tags` para asignar valores de etiqueta al recurso del hub.

------
#### [ AWS CLI ]

Ejecute el comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-security-hub.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-security-hub.html). Para habilitar los estándares predeterminados, incluya `--enable-default-standards`. Para no habilitar los estándares predeterminados, incluya `--no-enable-default-standards`. Los estándares de seguridad predeterminados son los siguientes:
+ AWS Mejores prácticas fundamentales de seguridad
+ Punto de referencia básico del Center for Internet Security (CIS), AWS versión 1.2.0

```
aws securityhub enable-security-hub [--tags <tag values>] [--enable-default-standards | --no-enable-default-standards]
```

**Ejemplo**

```
aws securityhub enable-security-hub --enable-default-standards --tags '{"Department": "Security"}'
```

------

### Script de habilitación de múltiples cuentas
<a name="securityhub-enable-multiaccount-script"></a>

**nota**  
En lugar de este script, se recomienda utilizar la configuración centralizada para habilitar y configurar el CSPM de Security Hub en varias cuentas y regiones. 

El [script de activación de múltiples cuentas de Security Hub CSPM GitHub le permite habilitar Security Hub CSPM en](https://github.com/awslabs/aws-securityhub-multiaccount-scripts) todas las cuentas y regiones. El script también automatiza el proceso de envío de invitaciones a las cuentas miembro y de activación de AWS Config.

El script permite registrar automáticamente los recursos de todos los AWS Config recursos, incluidos los globales, en todas las regiones. No limita el registro de recursos globales a una única región. Para optimizar costos, recomendamos registrar los recursos globales únicamente en una sola región. Si utiliza configuración centralizada o agregación entre Regiones, esta debe ser la región de origen. Para obtener más información, consulte [Registrar los recursos en AWS Config](securityhub-setup-prereqs.md#config-resource-recording).

Existe un script correspondiente que permite desactivar el CSPM de Security Hub en las cuentas y regiones.

## Próximos pasos: gestión de la posición e integraciones
<a name="securityhub-enable-next-steps"></a>

Después de habilitar el CSPM de Security Hub, recomendamos habilitar estándares y controles de seguridad para supervisar la posición de seguridad. Después de habilitar los controles, Security Hub CSPM comienza a ejecutar comprobaciones de seguridad y a generar resultados de control que le ayudan a detectar errores de configuración en su entorno. AWS Para recibir los resultados de control, debe habilitar y configurar AWS Config Security Hub CSPM. Para obtener más información, consulte [Habilitación y configuración AWS Config de Security Hub CSPM](securityhub-setup-prereqs.md).

Tras activar Security Hub CSPM, también puede aprovechar las integraciones entre Security Hub CSPM y soluciones de otros fabricantes para ver sus Servicios de AWS resultados en Security Hub CSPM. El CSPM de Security Hub consolida resultados provenientes de distintos orígenes y los ingiere en un formato coherente. Para obtener más información, consulte [Comprensión de las integraciones en el CSPM de Security Hub](securityhub-findings-providers.md). 

# Habilitación y configuración AWS Config de Security Hub CSPM
<a name="securityhub-setup-prereqs"></a>

AWS Security Hub CSPM utiliza AWS Config reglas para ejecutar comprobaciones de seguridad y generar resultados para la mayoría de los controles. AWS Config proporciona una vista detallada de la configuración de los AWS recursos de su. Cuenta de AWS Utiliza reglas para definir una configuración de referencia para los recursos y un registrador de configuración para detectar si un recurso incumple las condiciones de una regla.

Algunas reglas, denominadas reglas AWS Config administradas, están predefinidas y desarrolladas por AWS Config. Otras reglas son AWS Config reglas personalizadas que desarrolla Security Hub CSPM. AWS Config las reglas que Security Hub CSPM utiliza para los controles se denominan reglas vinculadas a *servicios*. Las reglas vinculadas a servicios permiten Servicios de AWS , como Security Hub (CSPM), crear AWS Config reglas en tu cuenta. 

Para recibir los resultados de control en Security Hub CSPM, debe habilitarlo AWS Config para su cuenta. También debe activar el registro de recursos para los tipos de recursos que los controles habilitados evalúan. A continuación, Security Hub (CSPM) puede crear las AWS Config reglas adecuadas para los controles y empezar a ejecutar comprobaciones de seguridad y generar resultados para los controles.

**Topics**
+ [Consideraciones antes de habilitar y configurar AWS Config](#securityhub-prereq-config)
+ [Registrar los recursos en AWS Config](#config-resource-recording)
+ [Formas de habilitar y configurar AWS Config](#config-how-to-enable)
+ [Comprensión del control Config.1](#config-1-overview)
+ [Generación de reglas vinculadas al servicio](#securityhub-standards-generate-awsconfigrules)
+ [Consideraciones sobre costos](#config-cost-considerations)

## Consideraciones antes de habilitar y configurar AWS Config
<a name="securityhub-prereq-config"></a>

Para recibir los resultados de control en Security Hub CSPM, AWS Config debe estar habilitado en su cuenta en todos los Región de AWS lugares en los que Security Hub CSPM esté habilitado. Si utiliza el CSPM de Security Hub en un entorno de varias cuentas, AWS Config debe estar habilitado en cada región tanto para la cuenta de administrador como para todas las cuentas de miembro.

Le recomendamos encarecidamente que active el registro de recursos AWS Config *antes* de activar los estándares y controles CSPM de Security Hub. Esto ayuda a garantizar que los resultados de control sean precisos.

Para activar el registro de recursos AWS Config, debe tener permisos suficientes para registrar los recursos en la función AWS Identity and Access Management (IAM) asociada a la grabadora de configuración. Además, asegúrese de que ninguna política o AWS Organizations política de IAM le AWS Config impida tener permiso para registrar sus recursos. Los controles CSPM de Security Hub evalúan las configuraciones de los recursos directamente y no tienen en cuenta AWS Organizations las políticas. Para obtener más información sobre el registro de AWS Config , consulte [Utilización del registrador de configuración](https://docs.aws.amazon.com/config/latest/developerguide/stop-start-recorder.html) en la *Guía para desarrolladores de AWS Config *.

Si habilita un estándar en el CSPM de Security Hub pero no lo ha habilitado AWS Config, el CSPM de Security Hub intentará crear AWS Config reglas vinculadas a servicios de acuerdo con la siguiente programación:
+ El día en que habilite el estándar.
+ El día después de habilitar el estándar.
+ Tres días después de habilitar el estándar.
+ Siete días después de habilitar el estándar, y luego cada siete días de forma continua.

Si utiliza la configuración central, el Security Hub CSPM también intenta crear AWS Config reglas vinculadas a servicios cada vez que asocia una política de configuración que habilita uno o más estándares con las cuentas, las unidades organizativas (OUs) o la raíz.

## Registrar los recursos en AWS Config
<a name="config-resource-recording"></a>

Al habilitarla AWS Config, debe especificar qué AWS recursos desea que grabe la grabadora de AWS Config configuración. A través de las reglas vinculadas al servicio, el registrador de configuración permite que el CSPM de Security Hub detecte cambios en las configuraciones de los recursos.

Para que el CSPM de Security Hub genere resultados de control precisos, debe activar el registro en AWS Config para los tipos de recursos que corresponden a los controles habilitados. Principalmente son los controles habilitados con un tipo de programación *activada por cambios* los que requieren registro de recursos. Algunos controles con un tipo de programación *periódica* también requieren registro de recursos. Para obtener la lista de estos controles y sus recursos correspondientes, consulte [AWS Config Recursos necesarios para los hallazgos de control](controls-config-resources.md).

**aviso**  
Si no configura la AWS Config grabación correctamente para los controles CSPM de Security Hub, se pueden producir resultados de control imprecisos, especialmente en los siguientes casos:  
Nunca registró el recurso para un control determinado, o desactivó el registro de un recurso antes de crear ese tipo de recurso. En estos casos, recibe un resultado `WARNING` para el control correspondiente, incluso si creó recursos dentro del alcance del control después de haber desactivado el registro. Este resultado `WARNING` es un resultado predeterminado que no evalúa realmente el estado de configuración del recurso.
Desactiva el registro para un recurso que es evaluado por un control determinado. En este caso, el CSPM de Security Hub retiene los resultados de control generados antes de que desactivara el registro, aún cuando el control ya no evalúe recursos nuevos o actualizados. El CSPM de Security Hub también cambia el estado de cumplimiento de los resultados a `WARNING`. Es posible que estos resultados retenidos no reflejen con precisión el estado de configuración actual de un recurso.

De forma predeterminada, AWS Config registra todos los *recursos regionales* compatibles que descubre Región de AWS en los que se está ejecutando. Para recibir todos los resultados de control de CSPM de Security Hub, también debe configurarlo AWS Config para registrar los recursos *globales*. Para optimizar costos, recomendamos registrar los recursos globales únicamente en una sola región. Si utiliza configuración centralizada o agregación entre Regiones, esta región debe ser la región de origen.

En AWS Config, puede elegir entre el *registro continuo o el registro* *diario* de los cambios en el estado de los recursos. Si elige el registro diario, AWS Config entrega los datos de configuración de los recursos al final de cada período de 24 horas si se producen cambios en el estado de los recursos. Si no hay cambios, no se entrega ningún dato. Esto puede retrasar la generación de resultados del CSPM de Security Hub para los controles activados por cambios hasta que finalice el periodo completo de 24 horas.

Para obtener más información sobre la AWS Config grabación, consulte [Grabación de AWS recursos en la Guía para AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/select-resources.html) *desarrolladores*.

## Formas de habilitar y configurar AWS Config
<a name="config-how-to-enable"></a>

Puede habilitar AWS Config y activar el registro de recursos de cualquiera de las siguientes maneras:
+ **AWS Config consola**: puedes habilitar AWS Config una cuenta mediante la AWS Config consola. Para obtener instrucciones, consulte [Configuración AWS Config con la consola](https://docs.aws.amazon.com/config/latest/developerguide/gs-console.html) en la *Guía para AWS Config desarrolladores*.
+ **AWS CLI o bien SDKs**: puede habilitar AWS Config una cuenta mediante AWS Command Line Interface (AWS CLI). Para obtener instrucciones, consulte [Configuración AWS Config con el AWS CLI](https://docs.aws.amazon.com/config/latest/developerguide/gs-cli.html) en la *Guía para AWS Config desarrolladores*. AWS Los kits de desarrollo de software (SDKs) también están disponibles para muchos lenguajes de programación.
+ **CloudFormation plantilla**: AWS Config para habilitarla en varias cuentas, le recomendamos que utilice la AWS CloudFormation plantilla denominada **Enable AWS Config**. Para acceder a esta plantilla, consulte [las plantillas AWS CloudFormation StackSet de muestra](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-sampletemplates.html) en la *Guía del AWS CloudFormation usuario*.

  De forma predeterminada, esta plantilla excluye el registro de los recursos globales de IAM. Asegúrese de habilitar el registro de los recursos globales de IAM en una sola Región de AWS para optimizar los costos de registro. Si tiene habilitada la agregación entre regiones, esta debe ser la [Región de origen del CSPM de Security Hub](finding-aggregation.md). De lo contrario, puede ser cualquier región en la que el CSPM de Security Hub esté disponible y que admita el registro de los recursos globales de IAM. Recomendamos ejecutar una StackSet para registrar todos los recursos, incluidos los recursos globales de IAM, de la región de origen o de otra región seleccionada. A continuación, ejecute un segundo StackSet para registrar todos los recursos, excepto los recursos globales de IAM en otras regiones.
+ **GitHub script**: Security Hub CSPM ofrece un [GitHubscript](https://github.com/awslabs/aws-securityhub-multiaccount-scripts) que habilita Security Hub CSPM y AWS Config para múltiples cuentas en todas las regiones. Este script es útil si no te has integrado en una organización AWS Organizations o tienes algunas cuentas de miembros que no forman parte de ella.

Para obtener más información, consulte la siguiente entrada del blog de *AWS seguridad*: [Optimice AWS Config for AWS Security Hub CSPM para gestionar eficazmente su postura de seguridad en la nube](https://aws.amazon.com/blogs/security/optimize-aws-config-for-aws-security-hub-to-effectively-manage-your-cloud-security-posture/).

## Comprensión del control Config.1
<a name="config-1-overview"></a>

En Security Hub CSPM, el control [Config.1](config-controls.md#config-1) genera `FAILED` resultados en su cuenta si está deshabilitado. AWS Config También genera `FAILED` resultados en tu cuenta si AWS Config está activado, pero el registro de recursos no está activado. 

Si AWS Config está habilitado y el registro de recursos está activado, pero el registro de recursos no está activado para un tipo de recurso que comprueba un control habilitado, Security Hub CSPM genera una `FAILED` búsqueda para el control Config.1. Además de este resultado `FAILED`, el CSPM de Security Hub genera resultados `WARNING` para el control habilitado y para los tipos de recursos que dicho control verifica. Por ejemplo, si habilita el control [KMS.5](kms-controls.md#kms-5) y el registro de recursos no está activado AWS KMS keys, Security Hub CSPM generará una `FAILED` búsqueda para el control Config.1. El CSPM de Security Hub también genera resultados `WARNING` para el control KMS.5 y para las claves de KMS.

Para recibir un resultado `PASSED` para el control Config.1, habilite el registro de recursos para todos los tipos de recursos que correspondan a los controles habilitados. Desactive también los controles que no necesita en la organización. Esto ayuda a garantizar que no existan vacíos de configuración en las comprobaciones de controles de seguridad. También ayuda a asegurarse de que reciba resultados precisos sobre recursos mal configurados.

Si es el administrador delegado del CSPM de Security Hub para una organización, el registro de AWS Config debe estar configurado correctamente para la cuenta y para las cuentas de miembro. Si utiliza la agregación entre regiones, la AWS Config grabación debe estar configurada correctamente en la región de origen y en todas las regiones vinculadas. No es necesario registrar los recursos globales en las regiones vinculadas.

## Generación de reglas vinculadas al servicio
<a name="securityhub-standards-generate-awsconfigrules"></a>

Para cada control que utilice una AWS Config regla vinculada a un servicio, Security Hub CSPM crea instancias de la regla requerida en su entorno. AWS 

Estas reglas vinculadas al servicio son exclusivas del CSPM de Security Hub. El CSPM de Security Hub crea estas reglas vinculadas al servicio incluso si ya existen otras instancias de las mismas reglas. La regla vinculada al servicio agrega `securityhub` antes del nombre original de la regla y un identificador único después del nombre. Por ejemplo, para la regla AWS Config administrada, el nombre de la regla `vpc-flow-logs-enabled` vinculada al servicio podría ser. `securityhub-vpc-flow-logs-enabled-12345`

Hay cuotas para el número de reglas AWS Config administradas que se pueden usar para evaluar los controles. AWS Config las reglas que crea Security Hub CSPM no se tienen en cuenta para esas cuotas. Puedes habilitar un estándar de seguridad incluso si ya has alcanzado la AWS Config cuota de reglas administradas en tu cuenta. Para obtener más información sobre las cuotas de AWS Config las reglas, consulta [los límites de servicio AWS Config en la Guía para AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/configlimits.html) *desarrolladores*.

## Consideraciones sobre costos
<a name="config-cost-considerations"></a>

El CSPM de Security Hub puede afectar a los costes de AWS Config la grabadora de configuración al actualizar el elemento de `AWS::Config::ResourceCompliance` configuración. Las actualizaciones se pueden producir cada vez que un control CSPM de Security Hub asociado a una AWS Config regla cambia de estado de conformidad, se habilita o deshabilita, o se actualiza los parámetros. Si utiliza la grabadora de AWS Config configuración solo para el Security Hub CSPM y no utiliza este elemento de configuración para otros fines, le recomendamos que desactive la grabación. AWS Config Esto puede reducir sus costos de AWS Config . No es necesario registrar `AWS::Config::ResourceCompliance` para que las comprobaciones de seguridad funcionen en el CSPM de Security Hub.

Para obtener información sobre los costos asociados al registro de recursos, consulte [Precios del CSPM de AWS Security Hub](https://aws.amazon.com/security-hub/pricing/) y [Precios de AWS Config](https://aws.amazon.com/config/pricing/).

# Descripción de la configuración local en el CSPM de Security Hub
<a name="local-configuration"></a>

La configuración local es la forma predeterminada en que se configura una AWS organización en Security Hub CSPM. Si no opta por la configuración centralizada ni la habilita, su organización utilizará la configuración local de forma predeterminada.

Al utilizar la configuración local, la cuenta de administrador delegado del CSPM de Security Hub tiene control limitado sobre los ajustes de configuración. El administrador delegado solo puede aplicar dos configuraciones: habilitar automáticamente el CSPM de Security Hub y los estándares de seguridad predeterminados en las cuentas nuevas de la organización. Estos ajustes solo se aplican en la región en la que designó la cuenta de administrador delegado. Los estándares de seguridad predeterminados son AWS Foundational Security Best Practices (FSBP) y Center for Internet Security (CIS) Foundations Benchmark v1.2.0. AWS Los ajustes de configuración local no se aplican a las cuentas de la organización existentes ni a regiones distintas de aquella en la que se designó la cuenta de administrador delegado.

Aunque puede habilitar el CSPM de Security Hub y los estándares predeterminados para las nuevas cuentas de la organización en una sola región, el resto de la configuración del CSPM de Security Hub, incluidos los estándares y los controles, se debe realizar de forma independiente en cada región y en cada cuenta. Dado que este proceso puede duplicarse, le recomendamos que utilice la configuración centralizada para un entorno de varias cuentas si se presentan una o más de las siguientes situaciones:
+ Quiere establecer distintos ajustes para las distintas partes de la organización (por ejemplo, distintos estándares o controles habilitados para los diferentes equipos).
+ Trabaja en varias regiones y desea reducir el tiempo y la complejidad de la configuración del servicio en esas regiones.
+ Desea que las cuentas nuevas usen ajustes específicos cuando se unan a la organización.
+ Desea que las cuentas de la organización hereden ajustes específicos de una cuenta principal o raíz.

Para obtener información acerca de la configuración centralizada, consulte [Descripción de la configuración central en el CSPM de Security Hub](central-configuration-intro.md).

# Descripción de la configuración central en el CSPM de Security Hub
<a name="central-configuration-intro"></a>

La configuración central es una función CSPM del AWS Security Hub que le ayuda a configurar y administrar el Security Hub CSPM en múltiples y. Cuentas de AWS Regiones de AWS Para utilizar la configuración central, primero debe integrar Security Hub CSPM y. AWS Organizations Para integrar los servicios, puede crear una organización y designar una cuenta de administrador delegado del CSPM de Security Hub para la organización.

Desde la cuenta de administrador CSPM de Security Hub delegada, puede habilitar Security Hub CSPM para las cuentas y unidades organizativas () de su organización en todas las regiones. OUs También puede activar, configurar y deshabilitar los estándares de seguridad y los controles de seguridad individuales para las cuentas y las distintas regiones. OUs Puede configurar estos ajustes en tan solo unos pasos desde una región principal, denominada *región de origen*.

Al utilizar la configuración central, el administrador delegado puede elegir qué cuentas desea OUs configurar. Si el administrador delegado designa una cuenta de miembro o una unidad organizativa como *autoadministrada*, el miembro puede configurar sus propios ajustes por separado en cada región. Si el administrador delegado designa una cuenta de miembro o una unidad organizativa como *administrada de forma centralizada*, solo el administrador delegado puede configurar la cuenta de miembro o la unidad organizativa en todas las regiones. Puede designar todas las cuentas de su organización como administradas de forma centralizada, todas autogestionadas o como una combinación de ambas. OUs 

Para configurar las cuentas administradas de forma centralizada, el administrador delegado utiliza las políticas de configuración del CSPM de Security Hub. Las políticas de configuración permiten al administrador delegado especificar si el CSPM de Security Hub está habilitado o desactivado, así como determinar qué estándares y controles están habilitados o desactivados. También se pueden utilizar para personalizar los parámetros de determinados controles.

Las políticas de configuración entran en vigor en la región de origen y en todas las regiones vinculadas. El administrador delegado especifica la región de origen de la organización y las regiones vinculadas antes de empezar a utilizar la configuración centralizada. La especificación de las regiones vinculadas es opcional. El administrador delegado puede crear una política de configuración única para toda la organización o crear varias políticas de configuración para configurar ajustes variables para diferentes cuentas y. OUs

**sugerencia**  
Si no utiliza la configuración centralizada, debe configurar el CSPM de Security Hub, en gran medida, de forma independiente en cada cuenta y región. Esto se denomina *configuración local*. En la configuración local, el administrador delegado puede habilitar automáticamente el CSPM de Security Hub y un conjunto limitado de estándares de seguridad en las nuevas cuentas de la organización dentro de la región actual. La configuración local no se aplica a las cuentas de la organización existentes ni a otras regiones que no sean la actual. La configuración local tampoco admite el uso de políticas de configuración.

En esta sección, se proporciona información general acerca de la configuración centralizada.

## Beneficios de usar la configuración centralizada
<a name="central-configuration-benefits"></a>

Entre los beneficios de la configuración centralizada, se incluyen los siguientes:

**Simplificación de la configuración del servicio y las capacidades del CSPM de Security Hub**  
Cuando utiliza la configuración centralizada, el CSPM de Security Hub proporciona una guía para configurar las prácticas recomendadas de seguridad en la organización. También implementa las políticas de configuración resultantes en cuentas específicas y de forma automática. OUs Si ya cuenta con configuraciones existentes del CSPM de Security Hub, como habilitar automáticamente nuevos controles de seguridad, puede utilizarlas como punto de partida para las políticas de configuración. Además, la página de **configuración** de la consola CSPM de Security Hub muestra un resumen en tiempo real de las políticas de configuración y de las cuentas que OUs utilizan cada política.

**Configuración en todas las cuentas y regiones**  
Puede utilizar la configuración centralizada para configurar el CSPM de Security Hub en varias cuentas y regiones. Esto ayuda a garantizar que cada parte de la organización mantenga una configuración coherente y una cobertura de seguridad adecuada.

**Admite diferentes configuraciones en diferentes cuentas y OUs**  
Con la configuración central, puede elegir configurar las cuentas de su organización de diferentes OUs maneras. Por ejemplo, las cuentas de prueba y de producción pueden utilizar políticas de configuración diferentes. También puede crear una política de configuración que cubra las cuentas nuevas cuando se unan a la organización.

**Prevención de desviaciones de la configuración**  
La desviación de la configuración ocurre cuando un usuario hace un cambio en un servicio o característica que entra en conflicto con las selecciones del administrador delegado. La configuración centralizada evita esta desviación. Cuando se designa una cuenta o unidad organizativa como administrada de forma centralizada, solo el administrador delegado de la organización puede configurarla. Si prefiere que una cuenta o unidad organizativa específica configure sus propios ajustes, puede designarla como autoadministrada.

## ¿Cuándo se debe utilizar la configuración centralizada?
<a name="central-configuration-audience"></a>

La configuración central es más beneficiosa para los AWS entornos que incluyen varias cuentas CSPM de Security Hub. Está diseñada para ayudar a administrar el CSPM de Security Hub para varias cuentas.

La configuración centralizada permite configurar el servicio del CSPM de Security Hub, así como los estándares y los controles de seguridad. También pueden utilizarla para personalizar los parámetros de determinados controles. Para obtener más información sobre los estándares de seguridad, consulte [Descripción de los estándares de seguridad en el CSPM de Security Hub](standards-view-manage.md). Para más información sobre los controles de seguridad, consulte [Comprensión de los controles de seguridad en el CSPM de Security Hub](controls-view-manage.md).



## Términos y conceptos de la configuración centralizada
<a name="central-configuration-concepts"></a>

Comprender los siguientes términos y conceptos clave puede ayudar a utilizar la configuración centralizada del CSPM de Security Hub.

**Configuración centralizada**  
Una característica del CSPM de Security Hub que permite a la cuenta de administrador delegado de una organización configurar el servicio del CSPM de Security Hub, así como sus estándares y controles de seguridad en múltiples cuentas y regiones. Para configurar estos ajustes, el administrador delegado crea y administra las políticas de configuración del CSPM de Security Hub para las cuentas administradas de forma centralizada en su organización. Las cuentas autoadministradas pueden configurar sus propios ajustes por separado en cada región. Para utilizar la configuración central, debe integrar Security Hub CSPM y. AWS Organizations

**Región de origen**  
 Región de AWS Desde el que el administrador delegado configura centralmente el Security Hub CSPM, mediante la creación y administración de políticas de configuración. Las políticas de configuración entran en vigor en la región de origen y en todas las regiones vinculadas.  
La región de origen también sirve como la región de agregación del CSPM de Security Hub que recibe resultados, información y otros datos de las regiones vinculadas.  
Las regiones que AWS se introdujeron el 20 de marzo de 2019 o después se denominan regiones de suscripción voluntaria. Una región optativa no puede ser la región de origen, pero puede ser una región vinculada. Para ver una lista de las regiones opcionales, consulte la sección [Considerations before enabling and disabling Regions](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#manage-acct-regions-considerations) en la *Guía de referencia de administración de cuentas de AWS *.

**Región vinculada**  
Y Región de AWS que se pueden configurar desde la región de origen. El administrador delegado crea las políticas de configuración en la región de origen. Las políticas entran en vigor en la región de origen y en todas las regiones vinculadas. La especificación de las regiones vinculadas es opcional.  
Una región vinculada también envía resultados, información y otros datos a la región de origen.  
Las regiones que AWS se introdujeron el 20 de marzo de 2019 o después se denominan regiones con suscripción voluntaria. Debe habilitar dicha región para una cuenta antes de poder aplicarle una política de configuración. La cuenta de administración de Organizations puede habilitar regiones optativas para una cuenta de miembro. Para obtener más información, consulta [Especificar qué Regiones de AWS cuenta puedes usar](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#rande-manage-enable) en la *Guía de referencia de administración de AWS cuentas*.

**Destino**  
Una Cuenta de AWS unidad organizativa (OU) o la raíz de la organización.

**Política de configuración del CSPM de Security Hub**  
Un conjunto de ajustes del CSPM de Security Hub que el administrador delegado puede configurar para los destinos administrados de forma centralizada. Esto incluye:  
+ Si se habilita o desactiva el CSPM de Security Hub.
+ Si se habilitan uno o más [estándares de seguridad](standards-reference.md).
+ Qué [controles de seguridad](securityhub-controls-reference.md) se habilitan en todos los estándares habilitados. Para hacerlo, el administrador delegado puede proporcionar una lista de controles específicos que deben estar habilitados, y el CSPM de Security Hub desactivará todos los demás controles (incluidos los controles nuevos cuando se lanzan). Como alternativa, el administrador delegado puede proporcionar una lista de controles específicos que deberían estar desactivados y el CSPM Security Hub habilitará todos los demás controles (incluidos los controles nuevos cuando se lanzan).
+ Si lo desea, [personalice parámetros](custom-control-parameters.md) de ciertos controles habilitados en los estándares habilitados.
Una política de configuración entra en vigor en la región de origen y en todas las regiones vinculadas una vez que se ha asociado al menos a una cuenta, una unidad organizativa (OU) o la raíz.  
En la consola del CSPM de Security Hub, el administrador delegado puede elegir la política de configuración recomendada del CSPM de Security Hub o crear políticas de configuración personalizadas. Con la API CSPM de Security Hub y AWS CLI, el administrador delegado solo puede crear políticas de configuración personalizadas. El administrador delegado puede crear un máximo de 20 políticas de configuración personalizadas.  
En la política de configuración recomendada, el CSPM de Security Hub, el estándar Prácticas recomendadas de seguridad básica de AWS (FSBP) y todos los controles FSBP existentes y nuevos están habilitados. Los controles que aceptan parámetros utilizan los valores predeterminados. La política de configuración recomendada se aplica a toda la organización.  
Para aplicar diferentes ajustes a la organización o aplicar diferentes políticas de configuración a diferentes cuentas y OUs crear una política de configuración personalizada.

**Configuración local**  
El tipo de configuración predeterminado para una organización, después de integrar Security Hub CSPM y. AWS Organizations Con la configuración local, el administrador delegado puede optar por habilitar automáticamente el CSPM de Security Hub y los [estándares de seguridad predeterminados](securityhub-auto-enabled-standards.md) en las *nuevas* cuentas de la organización en la región actual. Si el administrador delegado habilita automáticamente los estándares predeterminados, todos los controles que forman parte de estos estándares también se habilitan automáticamente con los parámetros predeterminados para las nuevas cuentas de la organización. Esa configuración no se aplica a las cuentas existentes, por lo que es posible que se modifique la configuración una vez que una cuenta se una a la organización. La deshabilitación de controles específicos que forman parte de los estándares predeterminados y la configuración de estándares y controles adicionales deben llevarse a cabo por separado en cada cuenta y región.  
La configuración local no admite el uso de políticas de configuración. Para usar las políticas de configuración, debe cambiar a la configuración centralizada.

**Administración manual de cuentas**  
Si no integra Security Hub CSPM AWS Organizations o tiene una cuenta independiente, debe especificar la configuración de cada cuenta por separado en cada región. La administración manual de cuentas no admite el uso de políticas de configuración.

**Configuración centralizada APIs**  
Operaciones del CSPM de Security Hub que solo el administrador delegado del CSPM de Security Hub puede usar en la región de origen para administrar políticas de configuración para cuentas administradas centralmente. Las operaciones incluyen:  
+ `CreateConfigurationPolicy`
+ `DeleteConfigurationPolicy`
+ `GetConfigurationPolicy`
+ `ListConfigurationPolicies`
+ `UpdateConfigurationPolicy`
+ `StartConfigurationPolicyAssociation`
+ `StartConfigurationPolicyDisassociation`
+ `GetConfigurationPolicyAssociation`
+ `BatchGetConfigurationPolicyAssociations`
+ `ListConfigurationPolicyAssociations`

**Cuenta específica APIs**  
Operaciones de CSPM de Security Hub que se pueden utilizar para habilitar o deshabilitar el CSPM, los estándares y los controles de Security Hub de forma independiente. account-by-account Estas operaciones se utilizan en cada región individual.  
Las cuentas autoadministradas pueden utilizar operaciones específicas de la cuenta para configurar sus propios ajustes. Las cuentas administradas de forma centralizada no pueden llevar a cabo las siguientes operaciones específicas de la cuenta en la región de origen y en las regiones vinculadas. En esas regiones, solo el administrador delegado puede configurar las cuentas administradas de forma centralizada mediante operaciones de configuración y políticas de configuración centralizadas.  
+ `BatchDisableStandards`
+ `BatchEnableStandards`
+ `BatchUpdateStandardsControlAssociations`
+ `DisableSecurityHub`
+ `EnableSecurityHub`
+ `UpdateStandardsControl`
Para comprobar el estado de una cuenta, el propietario de una cuenta administrada de forma centralizada *puede* utilizar cualquiera de las operaciones `Get` o `Describe` de la API del CSPM de Security Hub.  
Si utiliza la configuración local o la administración manual de la cuenta, en lugar de la configuración centralizada, puede utilizar estas operaciones específicas de la cuenta.  
Las cuentas autoadministradas también pueden utilizar las operaciones `*Invitations` y `*Members`. Sin embargo, recomendamos que las cuentas autoadministradas no utilicen estas operaciones. Las asociaciones de políticas pueden fallar si la cuenta de miembro tiene sus propios miembros que forman parte de una organización diferente a la del administrador delegado.

**Unidad organizativa (OU)**  
En AWS Organizations Security Hub CSPM, un contenedor para un grupo de. Cuentas de AWS Una unidad organizativa (OU) también puede contener otras OUs, lo que permite crear una jerarquía similar a un árbol invertido, con una unidad organizativa principal en la parte superior y con las ramas extendidas hacia abajo, acabando en cuentas que son las hojas del árbol. OUs Una unidad organizativa puede tener una unidad principal y cada cuenta de la organización puede ser miembro de exactamente una unidad organizativa.  
Puede administrar OUs en AWS Organizations o. AWS Control Tower Para obtener más información, consulte [Administración de unidades organizativas](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_ous.html) en la *Guía del usuario de AWS Organizations * o [Control de organizaciones y cuentas con AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/existing-orgs.html) en la *Guía del usuario de AWS Control Tower *.  
El administrador delegado puede asociar las políticas de configuración a cuentas específicas o OUs a la raíz para abarcar todas las cuentas OUs de una organización.

**Administrada de forma centralizada**  
Un destino que solo el administrador delegado puede configurar en todas las regiones mediante políticas de configuración.  
La cuenta de administrador delegado especifica si un destino se administra de forma centralizada. El administrador delegado también puede cambiar el estado del destino de administrado centralmente a autoadministrado o al revés.

**Autoadministrado**  
Un destino que administre su propia configuración del CSPM de Security Hub. Un destino autoadministrado utilice operaciones específicas de la cuenta para configurar el CSPM de Security Hub por separado en cada región. Esto contrasta con los destinos administrados de forma centralizada, que solo el administrador delegado puede configurar en todas las regiones mediante políticas de configuración.  
La cuenta de administrador delegado especifica si un destino es autoadministrado. El administrador delegado puede aplicar un comportamiento autoadministrado a un destino. Como alternativa, una cuenta o unidad organizativa pueden heredar el comportamiento autoadministrado de una unidad principal.  
La cuenta de administrador delegado en sí puede ser una cuenta autoadministrada. La cuenta de administrador delegado puede cambiar el estado de un destino, de autoadministrado a administrado de forma centralizada o al revés.  


**Asociación de políticas de configuración**  
Enlace entre una política de configuración y una cuenta, unidad organizativa (OU) o raíz. Cuando existe una asociación de políticas, la cuenta, la unidad organizativa o la cuenta raíz utiliza los parámetros definidos en la política de configuración. Existe una asociación en cualquiera de estos casos:  
+ Cuando el administrador delegado aplica directamente una política de configuración a una cuenta, unidad organizativa o raíz
+ Cuando una cuenta o unidad organizativa hereda una política de configuración de una unidad organizativa principal o de la cuenta raíz
Existe una asociación hasta que se aplique o herede una configuración diferente.

**Política de configuración aplicada**  
Tipo de asociación de políticas de configuración en la que el administrador delegado aplica directamente una política de configuración a las cuentas de destino o a la raíz. OUs Los destinos se configuran de la manera que define la política de configuración y solo el administrador delegado puede cambiar su configuración. Si se aplica a la raíz, la política de configuración afecta a todas las OUs cuentas de la organización que no utilicen una configuración diferente mediante la aplicación o la herencia de la empresa matriz más cercana.  
El administrador delegado también puede aplicar una configuración autogestionada a cuentas específicas o a la raíz. OUs

**Política de configuración heredada**  
Tipo de asociación de políticas de configuración en la que una cuenta o unidad organizativa adopta la configuración de la unidad organizativa principal más cercana o de la raíz. Si una política de configuración no se aplica directamente a una cuenta o unidad organizativa, hereda la configuración de la unidad principal más cercana. Todos los elementos de una política se heredan. En otras palabras, una cuenta o unidad organizativa no puede elegir si hereda solo partes de una política de forma selectiva. Si la unidad principal más cercana está autoadministrada, la cuenta secundaria o la unidad organizativa hereda el comportamiento autoadministrado de la unidad principal.   
La herencia no puede anular una configuración aplicada. Es decir, si una política de configuración o una configuración autoadministrada se aplica directamente a una cuenta o unidad organizativa, utiliza esa configuración y no hereda la configuración de la unidad principal.

**Raíz**  
En AWS Organizations Security Hub CSPM, el nodo principal de nivel superior de una organización. Si el administrador delegado aplica una política de configuración a la raíz, la política se asocia a todas las cuentas de la organización, a menos que utilicen una política diferente, por aplicación o herencia, o se OUs designen como autogestionables. Si el administrador designa la raíz como autogestionada, todas las cuentas de la organización se autogestionarán, a menos que utilicen una política de configuración por aplicación o herencia. OUs Si la raíz es autoadministrada y actualmente no existen políticas de configuración, todas las cuentas nuevas de la organización retienen su configuración actual.  
Las cuentas nuevas que se unen a una organización se clasifican en la raíz hasta que se asignan a una unidad organizativa específica. Si una cuenta nueva no está asignada a una unidad organizativa, hereda la configuración raíz, a menos que el administrador delegado la designe como cuenta autoadministrada.

# Habilitación de la configuración centralizada en el CSPM de Security Hub
<a name="start-central-configuration"></a>

La cuenta de administrador de CSPM de AWS Security Hub delegada puede usar la configuración central para configurar el CSPM, los estándares y los controles del Security Hub para varias cuentas y unidades organizativas () en todas. OUs Regiones de AWS

Para obtener información general sobre las ventajas de la configuración centralizada y su funcionamiento, consulte [Descripción de la configuración central en el CSPM de Security Hub](central-configuration-intro.md).

En esta sección, se explican los requisitos previos para la configuración centralizada y cómo empezar a utilizarla.

## Requisitos previos para la configuración centralizada
<a name="prerequisites-central-configuration"></a>

Antes de empezar a utilizar la configuración central, debe integrar Security Hub CSPM AWS Organizations y designar una región de origen. Si usa la consola del CSPM de Security Hub, estos requisitos forman parte del flujo de inscripción para la configuración centralizada.

### Integración con Organizations
<a name="orgs-integration-prereq"></a>

Debe integrar el CSPM de Security Hub y Organizations para utilizar la configuración centralizada.

Para integrar estos servicios, comience por crear una organización en Organizations. Desde la cuenta de administración de Organizations, se designa una cuenta como administrador delegado del CSPM de Security Hub. Para obtener instrucciones, consulte [Integración de Security Hub CSPM con AWS Organizations](designate-orgs-admin-account.md).

Asegúrese de designar un administrador delegado en la **región de origen prevista**. Cuando empieza a utilizar la configuración centralizada, también se establece automáticamente el mismo administrador delegado en todas las regiones vinculadas. La cuenta de administración de Organizations *no se puede* establecer como cuenta de administrador delegado.

**importante**  
Cuando usa la configuración central, no puede usar la consola CSPM de Security Hub ni la CSPM de Security Hub APIs para cambiar o eliminar la cuenta de administrador delegado. Si la cuenta de administración de la organización se utiliza AWS Organizations APIs para cambiar o eliminar al administrador delegado de CSPM de Security Hub, Security Hub CSPM detiene automáticamente la configuración central. Sus políticas de configuración también se desasocian y se eliminan. Las cuentas de miembro retienen la configuración que tenían antes de que se cambiara o eliminara el administrador delegado.

### Designación de una región de origen
<a name="home-region-prereq"></a>

Debe designar una región de origen para utilizar la configuración centralizada. La región de origen es aquella desde la que el administrador delegado configura la organización.

**nota**  
La región de origen no puede ser una región AWS designada como región opcional. Las regiones optativas están deshabilitadas de forma predeterminada. Para ver una lista de las regiones opcionales, consulte la sección [Considerations before enabling and disabling Regions](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#manage-acct-regions-considerations) en la *Guía de referencia de administración de cuentas de AWS *.

Si lo desea, puede especificar una o más regiones vinculadas que se puedan configurar desde la región de origen.

El administrador delegado puede crear y administrar políticas de configuración solo desde la región de agregación. Las políticas de configuración entran en vigor en la región de origen y en todas las regiones vinculadas. No puede crear una política de configuración que se aplique exclusivamente a un subconjunto de estas regiones. La excepción a esto son los controles que involucran recursos globales. Si usa la configuración centralizada, el CSPM de Security Hub desactiva automáticamente los controles que implican recursos globales en todas las regiones, excepto en la región de origen. Para obtener más información, consulte [Controles que utilizan recursos globales](controls-to-disable.md#controls-to-disable-global-resources).

La región de origen también es la región de agregación del CSPM de Security Hub que recibe resultados, información y otros datos de las regiones vinculadas.

Si ya ha establecido una región de agregación para la agregación entre regiones, esa será su región de origen predeterminada para la configuración centralizada. Puede cambiar la región de origen antes de empezar a utilizar la configuración centralizada. Para ello, elimine su agregador de resultados actual y cree uno nuevo en la región de origen que desee. Un agregador de resultados es un recurso del CSPM de Security Hub que especifica la región de origen y las regiones vinculadas.

Para designar una región de origen, consulte [los pasos para configurar una región de agregación](finding-aggregation-enable.md). Si ya tiene una región de origen, puede invocar la API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindingAggregator.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindingAggregator.html) para ver los detalles de dicha región, lo que incluye las regiones que están vinculadas actualmente a ella.

## Instrucciones para habilitar la configuración centralizada
<a name="central-configuration-get-started"></a>

Elija el método que prefiera y siga los pasos para habilitar la configuración centralizada en su organización.

------
#### [ Security Hub CSPM console ]

**Para habilitar la configuración centralizada (consola)**

1. Abra la consola CSPM de AWS Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. En el panel de navegación, seleccione **Configuración** y **Configuración**. A continuación, elija **Iniciar configuración centralizada**.

   Si está en el poceso de incorporación al CSPM de Security Hub, seleccione **Ir al CSPM de Security Hub**.

1. En la página **Designar administrador delegado**, seleccione su cuenta de administrador delegado o ingrese su ID de cuenta. Si corresponde, se recomienda que elija el mismo administrador delegado que haya configurado para otros servicios de seguridad y conformidad de AWS . Elija **Establecer administrador delegado**.

1. En la página **Centralizar organización**, en la sección **Regiones**, seleccione su región de origen. Debe haber iniciado sesión en dicha región para continuar. Si ya ha configurado una región de agregación para la agregación entre regiones, aparecerá como la región de origen. Para cambiar la región de origen, seleccione **Editar configuración de la región**. A continuación, puede seleccionar la región de origen que prefiera y volver a este flujo de trabajo.

1. Seleccione al menos una región para vincularla a la región de origen. De manera opcional, elija si desea vincular automáticamente las futuras regiones compatibles con la región de origen. El administrador delegado configurará las regiones que seleccione aquí desde la región de origen. Las políticas de configuración entran en vigor en la región de origen y en todas las regiones vinculadas.

1. Seleccione **Confirmar y continuar**.

1.  A partir de ahora, puede utilizar la configuración centralizada. Siga las instrucciones de la consola para crear su primera política de configuración. Si aún no lo tiene todo preparado para crear una política de configuración, seleccione **Aún no lo tengo todo listo para configurarla**. Para crear una política más adelante, puede seleccionar **Configuración** y, a continuación, **Configuración** en el panel de navegación. Para obtener instrucciones sobre cómo crear una política de configuración, consulte [Creación y asociación de políticas de configuración](create-associate-policy.md).

------
#### [ Security Hub CSPM API ]

**Para habilitar la configuración centralizada (API)**

1. Con las credenciales de la cuenta de administrador delegado, invoque la API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html) desde la región de origen.

1. Establezca el campo `AutoEnable` como `false`.

1. Establezca el campo `ConfigurationType` del objeto `OrganizationConfiguration` en `CENTRAL`. Esta acción tiene los siguientes efectos:
   + Designa a la cuenta que realiza la llamada como administrador delegado del CSPM de Security Hub en todas las regiones vinculadas.
   + Habilita el CSPM de Security Hub en la cuenta de administrador delegado en todas las regiones vinculadas.
   + Designa a la cuenta que realiza la llamada como administrador delegado del CSPM de Security Hub para las cuentas nuevas y existentes que utilizan el CSPM de Security Hub y pertenecen a la organización. Esto ocurre en la región de origen y en todas las regiones vinculadas. La cuenta que realiza la llamada se establece como administrador delegado para las nuevas cuentas de la organización solo si están asociadas a una política de configuración que tenga el CSPM de Security Hub habiliado. La cuenta que realiza la llamada se establece como administrador delegado de las cuentas de la organización existentes solo si ya tienen el CSPM de Security Hub habilitado.
   + Se establece [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html#securityhub-UpdateOrganizationConfiguration-request-AutoEnable](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html#securityhub-UpdateOrganizationConfiguration-request-AutoEnable) como `false` en todas las regiones vinculadas y se establece [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html#securityhub-UpdateOrganizationConfiguration-request-AutoEnableStandards](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html#securityhub-UpdateOrganizationConfiguration-request-AutoEnableStandards) como `NONE` en la región de origen y en todas las regiones vinculadas. Estas parámetros no son relevantes en la región de origen ni en las regiones vinculadas cuando utiliza la configuración centralizada. Sin embargo, puede habilitar automáticamente el CSPM de Security Hub y los estándares de seguridad predeterminados en las cuentas de la organización mediante políticas de configuración.

1. A partir de ahora, puede utilizar la configuración centralizada. El administrador delegado puede crear políticas de configuración para configurar el CSPM de Security Hub en la organización. Para obtener instrucciones sobre cómo crear una política de configuración, consulte [Creación y asociación de políticas de configuración](create-associate-policy.md).

**Ejemplo de solicitud de API:**

```
{
    "AutoEnable": false,
    "OrganizationConfiguration": {
        "ConfigurationType": "CENTRAL"
    }
}
```

------
#### [ AWS CLI ]

**Para habilitar la configuración centralizada (AWS CLI)**

1. Con las credenciales de la cuenta de administrador delegado, ejecute el comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html) desde la región de origen.

1. Incluya el parámetro `no-auto-enable`.

1. Establezca el campo `ConfigurationType` del objeto `organization-configuration` en `CENTRAL`. Esta acción tiene los siguientes efectos:
   + Designa a la cuenta que realiza la llamada como administrador delegado del CSPM de Security Hub en todas las regiones vinculadas.
   + Habilita el CSPM de Security Hub en la cuenta de administrador delegado en todas las regiones vinculadas.
   + Designa a la cuenta que realiza la llamada como administrador delegado del CSPM de Security Hub para las cuentas nuevas y existentes que utilizan el CSPM de Security Hub y pertenecen a la organización. Esto ocurre en la región de origen y en todas las regiones vinculadas. La cuenta que llama se establece como administrador delegado para las nuevas cuentas de la organización solo si están asociadas a una política de configuración que tenga habilitado Security Hub. La cuenta que realiza la llamada se establece como administrador delegado de las cuentas de la organización existentes solo si ya tienen el CSPM de Security Hub habilitado.
   + Establece la opción de habilitación automática como [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html#options](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html#options) en todas las regiones vinculadas y establece [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html#options](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html#options) como `NONE` en la región de origen y en todas las regiones vinculadas. Estas parámetros no son relevantes en la región de origen ni en las regiones vinculadas cuando utiliza la configuración centralizada. Sin embargo, puede habilitar automáticamente el CSPM de Security Hub y los estándares de seguridad predeterminados en las cuentas de la organización mediante políticas de configuración.

1. A partir de ahora, puede utilizar la configuración centralizada. El administrador delegado puede crear políticas de configuración para configurar el CSPM de Security Hub en la organización. Para obtener instrucciones sobre cómo crear una política de configuración, consulte [Creación y asociación de políticas de configuración](create-associate-policy.md).

**Comando de ejemplo:**

```
aws securityhub --region us-east-1 update-organization-configuration \
--no-auto-enable \
--organization-configuration '{"ConfigurationType": "CENTRAL"}'
```

------

# Destinos administrados centralmente y destinos autoadministrados
<a name="central-configuration-management-type"></a>

*Al habilitar la configuración central, el administrador de CSPM de AWS Security Hub delegado puede designar cada cuenta, unidad organizativa (OU) y raíz de la organización como gestionada de *forma centralizada o autogestionada*.* El tipo de administración de un destino determina cómo se puede especificar la configuración del CSPM de Security Hub.

Para obtener información general sobre las ventajas de la configuración centralizada y su funcionamiento, consulte [Descripción de la configuración central en el CSPM de Security Hub](central-configuration-intro.md).

En esta sección se explican las diferencias entre una designación administrada de forma centralizada y una autoadministrada, y cómo elegir el tipo de administración de una cuenta, una unidad organizativa o la raíz.

**Autoadministrado**  
El propietario de una cuenta, unidad organizativa o raíz autogestionada debe configurar sus ajustes por separado en cada una de ellas. Región de AWS El administrador delegado no puede crear políticas de configuración para destinos autoadministrados.

**Administrada de forma centralizada**  
Solo el administrador CSPM de Security Hub delegado puede configurar los ajustes de las cuentas gestionadas de forma centralizada o de la raíz en la región de origen y las regiones vinculadas. OUs Las políticas de configuración se pueden asociar a cuentas administradas de forma centralizada y. OUs

El administrador delegado puede cambiar el estado de un destino entre autoadministrado y administrado de forma centralizada. De forma predeterminada, al iniciar la configuración centralizada mediante la API del CSPM de Security Hub, todas las cuentas y la unidad organizativa se establecen como destinos autoadministrados. En la consola, el tipo de administración depende de la primera política de configuración. Las cuentas y las OUs que asocie a su primera política se administran de forma centralizada. El resto de las cuentas OUs se administran automáticamente de forma predeterminada.

Si se asocia una política de configuración a una cuenta que anteriormente era autoadministrada, la configuración de la política reemplaza la designación de autoadministración. La cuenta pasa a administrarse de forma centralizada y adopta los ajustes reflejados en la política de configuración.

Si cambia un destino administrado centralmente a un destino autoadministrado, las configuraciones que se habían aplicado previamente a la cuenta mediante una política de configuración permanecen vigentes. Por ejemplo, una cuenta gestionada de forma centralizada podría asociarse inicialmente a una política que habilitara el CSPM de Security Hub, habilitara las prácticas recomendadas de seguridad AWS fundamentales y deshabilitara .1. CloudTrail Si luego designa la cuenta como autoadministrada, todas las configuraciones permanecen sin cambios. Sin embargo, el propietario de la cuenta puede modificar de manera independiente la configuración de la cuenta en adelante.

Las cuentas secundarias OUs pueden heredar el comportamiento autogestionado de un progenitor autogestionado, del mismo modo que las cuentas secundarias y OUs pueden heredar las políticas de configuración de un progenitor gestionado de forma centralizada. Para obtener más información, consulte [Asociación de políticas mediante la aplicación y la herencia](configuration-policies-overview.md#policy-association).

Una cuenta o una unidad organizativa autoadministrada no puede heredar una política de configuración de un nodo principal o de la raíz. Por ejemplo, si desea que todas las cuentas de su organización hereden una política de configuración de la raíz, debe cambiar el tipo de administración de los nodos autogestionados a gestionados de forma centralizada. OUs 

## Opciones para configurar los ajustes en las cuentas autoadministradas
<a name="self-managed-settings"></a>

Las cuentas autoadministradas deben configurar sus ajustes por separado en cada región.

Los propietarios de cuentas autoadministradas pueden invocar las siguientes operaciones de la API del CSPM de Security Hub en cada región para establecer sus ajustes:
+ `EnableSecurityHub` y `DisableSecurityHub` para habilitar o desativar el servicio del CSPM de Security Hub (si una cuenta autoadministrada tiene un administrador delegado del CSPM de Security Hub, el administrador debe [desasociar la cuenta](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisassociateMembers.html) antes de que el propietario de la cuenta pueda desactivar el CSPM de Security Hub).
+ `BatchEnableStandards` y `BatchDisableStandards` para habilitar o deshabilitar estándares
+ `BatchUpdateStandardsControlAssociations` o `UpdateStandardsControl` para habilitar o deshabilitar controles

Las cuentas autoadministradas también pueden utilizar las operaciones `*Invitations` y `*Members`. Sin embargo, recomendamos que las cuentas autoadministradas no utilicen estas operaciones. Las asociaciones de políticas pueden fallar si la cuenta de miembro tiene sus propios miembros que forman parte de una organización diferente a la del administrador delegado.

Para obtener descripciones de las acciones de la API del CSPM de Security Hub, consulte la [https://docs.aws.amazon.com/securityhub/1.0/APIReference/Welcome.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/Welcome.html).

Las cuentas autogestionadas también pueden usar la consola CSPM de Security Hub o AWS CLI configurar sus ajustes en cada región.

Las cuentas autogestionadas no pueden invocar ninguna política de configuración o asociación de políticas de CSPM APIs relacionada con Security Hub. Solo el administrador delegado puede invocar la configuración central APIs y utilizar las políticas de configuración para configurar las cuentas gestionadas de forma centralizada.

## Elección del tipo de administración de un destino
<a name="choose-management-type"></a>

Elija el método que prefiera y siga los pasos para designar una cuenta o unidad organizativa como gestionada de forma centralizada o autogestionada en AWS Security Hub CSPM.

------
#### [ Security Hub CSPM console ]

**Elección del tipo de administración de una cuenta o unidad organizativa**

1. Abra la consola CSPM de AWS Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Inicie sesión con las credenciales de la cuenta de administrador delegado del CSPM de Security Hub en la región de origen.

1. Elija **Configuración**.

1. En la pestaña **Organización**, seleccione la cuenta o la unidad organizativa de destino. Elija **Edit (Edición de)**.

1. En la página **Definir configuración**, en **Tipo de administración**, elija **Administrada de forma centralizada** si desea que el administrador delegado configure la cuenta o unidad organizativa de destino. A continuación, elija **Aplicar una política específica** si desea asociar una política de configuración existente al destino. Elija **Heredar de mi organización** si desea que el destino herede la configuración de la cuenta principal más cercana. Elija **Autoadministrado** si desea que la cuenta o unidad organizativa configure sus propios ajustes.

1. Elija **Siguiente**. Revise los cambios y seleccione **Guardar**.

------
#### [ Security Hub CSPM API ]

**Elección del tipo de administración de una cuenta o unidad organizativa**

1. Invoque la API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html) desde la cuenta de administrador delegado del CSPM de Security Hub en la región de origen.

1. En el campo `ConfigurationPolicyIdentifier`, indique `SELF_MANAGED_SECURITY_HUB` si desea que la cuenta o unidad organizativa controle su propia configuración. Indique el nombre de recurso de Amazon (ARN) o el ID de la política de configuración correspondiente si desea que el administrador delegado controle la configuración de la cuenta o unidad organizativa.

1. Para el `Target` campo, proporcione el Cuenta de AWS ID, el ID de la OU o el ID raíz del objetivo cuyo tipo de administración desee cambiar. Esto asocia el comportamiento autoadministrado o la política de configuración especificada al destino. Las cuentas secundarias del destino pueden heredar el comportamiento autoadministrado o la política de configuración.

**Ejemplo de solicitud de la API para designar una cuenta autoadministrada:**

```
{
    "ConfigurationPolicyIdentifier": "SELF_MANAGED_SECURITY_HUB",
    "Target": {"AccountId": "123456789012"}
}
```

------
#### [ AWS CLI ]

**Elección del tipo de administración de una cuenta o unidad organizativa**

1. Ejecute el comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html) desde la cuenta de administrador delegado del CSPM de Security Hub en la región de origen.

1. En el campo `configuration-policy-identifier`, indique `SELF_MANAGED_SECURITY_HUB` si desea que la cuenta o unidad organizativa controle su propia configuración. Indique el nombre de recurso de Amazon (ARN) o el ID de la política de configuración correspondiente si desea que el administrador delegado controle la configuración de la cuenta o unidad organizativa.

1. Para el `target` campo, proporcione el Cuenta de AWS ID, el ID de la OU o el ID raíz del objetivo cuyo tipo de administración desee cambiar. Esto asocia el comportamiento autoadministrado o la política de configuración especificada al destino. Las cuentas secundarias del destino pueden heredar el comportamiento autoadministrado o la política de configuración.

**Ejemplo de comando para designar una cuenta autoadministrada:**

```
aws securityhub --region us-east-1 start-configuration-policy-association \
--configuration-policy-identifier "SELF_MANAGED_SECURITY_HUB" \
--target '{"AccountId": "123456789012"}'
```

------

# Cómo funcionan las políticas de configuración del CSPM de Security Hub
<a name="configuration-policies-overview"></a>

El administrador de CSPM de AWS Security Hub delegado puede crear políticas de configuración para configurar el CSPM del Security Hub, los estándares de seguridad y los controles de seguridad de una organización. Tras crear una política de configuración, el administrador delegado puede asociarla a cuentas, unidades organizativas () OUs específicas o a la raíz. A continuación, la política entra en vigor en las cuentas especificadas o en la raíz. OUs

Para obtener información general sobre las ventajas de la configuración centralizada y su funcionamiento, consulte [Descripción de la configuración central en el CSPM de Security Hub](central-configuration-intro.md).

En esta sección, se proporciona información general y detallada de las políticas de configuración.

## Consideraciones respecto de la política
<a name="configuration-policies-considerations"></a>

Antes de crear una política de configuración en el CSPM de Security Hub, tenga en cuenta los siguientes detalles.
+ **Las políticas de configuración deben estar asociadas para que surtan efecto**: después de crear una política de configuración, puedes asociarla a una o más cuentas, unidades organizativas (OUs) o a la raíz. Una política de configuración se puede asociar a las cuentas, OUs mediante una aplicación directa o mediante la herencia de una unidad organizativa principal.
+ **Se puede asociar una cuenta o unidad organizativa a una sola política de configuración**: para evitar ajustes conflictivos, una cuenta o unidad organizativa solo se puede asociar a una política de configuración en un momento dado. Como alternativa, una cuenta o unidad organizativa puede autoadministrarse.
+ **Las políticas de configuración están completas**: las políticas de configuración proporcionan una especificación completa de la configuración. Por ejemplo, una cuenta secundaria no puede aceptar la configuración de algunos controles de una política ni la configuración de otros controles de otra política. Cuando asocie una política a una cuenta secundaria, asegúrese de que la política especifique toda la configuración que desea que utilice dicha cuenta.
+ **Las políticas de configuración no se pueden revertir**: no existe la opción de revertir una política de configuración después de asociarla a cuentas o. OUs Por ejemplo, si asocias una política de configuración que inhabilita los CloudWatch controles a una cuenta específica y, a continuación, disocias esa política, los CloudWatch controles seguirán deshabilitados en esa cuenta. Para volver a habilitar CloudWatch los controles, puede asociar la cuenta a una nueva política que habilite los controles. Como alternativa, puede cambiar la cuenta a autogestionada y habilitar cada CloudWatch control de la cuenta.
+ **Las políticas de configuración entran en vigor en la región de origen y en todas las regiones vinculadas**: una política de configuración afecta a todas las cuentas asociadas de la región de origen y a todas las regiones vinculadas. No puede crear una política de configuración que surta efecto solo en algunas de estas regiones y no en otras. La excepción a esto son los [controles que utilizan recursos globales](controls-to-disable.md#controls-to-disable-global-resources). El CSPM de Security Hub desactiva automáticamente los controles que implican recursos globales en todas las regiones, excepto en la región de origen.

  Las regiones que AWS se introdujeron el 20 de marzo de 2019 o después se denominan regiones con suscripción voluntaria. Debe habilitar dicha región para una cuenta antes de que una política de configuración entre en vigor en ella. La cuenta de administración de Organizations puede habilitar regiones optativas para una cuenta de miembro. Para obtener instrucciones sobre cómo habilitar las regiones opcionales, consulta [Especificar qué regiones puedes usar en Regiones de AWS tu cuenta](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#rande-manage-enable) en la Guía de *referencia sobre la administración de AWS cuentas*.

  Si la política configura un control que no está disponible en la región de origen o en una o más regiones vinculadas, el CSPM de Security Hub omite la configuración de ese control en las regiones donde no está disponible, pero aplica la configuración en las regiones donde sí lo está. No posee cobertura para un control que no está disponible en la región de origen ni en ninguna de las regiones vinculadas.
+ **Las políticas de configuración son recursos**: como recurso, una política de configuración tiene un Nombre de recurso de Amazon (ARN) y un identificador único universal (UUID). El ARN del producto tiene el siguiente formato: `arn:partition:securityhub:region:delegated administrator account ID:configuration-policy/configuration policy UUID`. Una configuración autoadministrada no tiene ARN o UUID. El identificador de una configuración autoadministrada es `SELF_MANAGED_SECURITY_HUB`.

## Tipos de políticas de configuración
<a name="policy-types"></a>

Cada política de configuración especifica la configuración siguiente:
+ Habilite o desactive el CSPM de Security Hub.
+ Habilite uno o más [estándares de seguridad](standards-reference.md).
+ Indique qué [controles de seguridad](securityhub-controls-reference.md) están habilitados en todos los estándares habilitados. Para ello, proporcione una lista de controles específicos que deberían estar habilitados y el CSPM de Security Hub desactivará todos los demás controles, lo que incluye los controles nuevos cuando se lanzan. De forma alternativa, proporcione una lista de controles específicos que deberían estar desactivados y el CSPM de Security Hub habilitará todos los demás controles, incluidos los controles nuevos cuando se lanzan.
+ Si lo desea, [personalice parámetros](https://docs.aws.amazon.com/securityhub/latest/userguide/custom-control-parameters.html) de ciertos controles habilitados en los estándares habilitados.

Las políticas de configuración centrales no incluyen los ajustes de la AWS Config grabadora. Debe habilitar AWS Config y activar por separado la grabación de los recursos necesarios para que Security Hub CSPM pueda generar hallazgos de control. Para obtener más información, consulte [Consideraciones antes de habilitar y configurar AWS Config](securityhub-setup-prereqs.md#securityhub-prereq-config).

Si usa la configuración centralizada, el CSPM de Security Hub desactiva automáticamente los controles que implican recursos globales en todas las regiones, excepto en la región de origen. Los controles que elija habilitar a través de una política de configuración están habilitados en todas las regiones en las que están disponibles. Para limitar los resultados de estos controles a una sola región, puede actualizar la configuración de la AWS Config grabadora y desactivar el registro de recursos globales en todas las regiones, excepto en la región de origen.

Si un control habilitado que implica recursos globales no es compatible en la región de origen, el CSPM de Security Hub intenta habilitarlo en una región vinculada donde sí se admita. Con la configuración centralizada, no se obtiene cobertura para un control que no está disponible ni en la región de origen ni en ninguna de las regiones vinculadas.

Para obtener una lista de los controles que implican recursos globales, consulte [Controles que utilizan recursos globales](controls-to-disable.md#controls-to-disable-global-resources).

### Política de configuración recomendada
<a name="recommended-policy"></a>

Al crear una política de configuración por *primera vez en la consola del CSPM de Security Hub*, tiene la opción de elegir la política recomendada del CSPM de Security Hub.

La política recomendada habilita el CSPM de Security Hub, el estándar AWS Foundational Security Best Practices (FSBP) y todos los controles FSBP nuevos y existentes. Los controles que aceptan parámetros utilizan los valores predeterminados. La política recomendada se aplica a las cuentas root (todas las cuentas, tanto las nuevas como las existentes). OUs Tras crear la política recomendada para su organización, puede modificarla desde la cuenta de administrador delegado. Por ejemplo, puede habilitar estándares o controles adicionales o deshabilitar controles específicos del FSBP. Para obtener instrucciones sobre cómo modificar una política de configuración, consulte [Actualización de las políticas de configuración](update-policy.md).

### Política de configuración personalizada
<a name="custom-policy"></a>

En lugar de la política recomendada, el administrador delegado puede crear hasta 20 políticas de configuración personalizadas. Puede asociar una única política personalizada a toda la organización o distintas políticas personalizadas a distintas cuentas y OUs. En el caso de una política de configuración personalizada, debe especificar la configuración que desee. Por ejemplo, puede crear una política personalizada que habilite el FSBP, AWS Foundations Benchmark v1.4.0 de Center for Internet Security (CIS) y todos los controles de esos estándares, excepto los controles de Amazon Redshift. El nivel de granularidad que utilice en las políticas de configuración personalizadas depende del alcance previsto de la cobertura de seguridad en toda la organización.

**nota**  
No puede asociar una política de configuración que desactive el CSPM de Security Hub con la cuenta de administrador delegado. Esta política se puede asociar a otras cuentas, pero omite la asociación con el administrador delegado. La cuenta de administrador delegado retiene su configuración actual.

Tras crear una política de configuración personalizada, puede cambiar a la política de configuración recomendada mediante su actualización para que refleje la configuración recomendada. Sin embargo, no aparece la opción de crear la política de configuración recomendada en la consola del CSPM de Security Hub después de crear la primera política.

## Asociación de políticas mediante la aplicación y la herencia
<a name="policy-association"></a>

Cuando opta por la configuración centralizada por primera vez, su organización no tiene asociaciones y se comporta de la misma manera que antes de la configuración. A continuación, el administrador delegado puede establecer asociaciones entre una política de configuración o un comportamiento autogestionado y las cuentas o la raíz. OUs Las asociaciones se pueden establecer mediante *aplicación* o *herencia*.

Desde la cuenta del administrador delegado, puede aplicar directamente una política de configuración a una cuenta, unidad organizativa o la raíz. Como alternativa, el administrador delegado puede aplicar directamente una designación autoadministrada a una cuenta, unidad organizativa o raíz.

En ausencia de una aplicación directa, una cuenta o unidad organizativa hereda la configuración de la cuenta principal más cercana que tenga una política de configuración o un comportamiento autoadministrado. Si la cuenta principal más cercana está asociada a una política de configuración, la cuenta secundaria hereda esa política y solo la puede configurar el administrador delegado de la región de origen. Si el padre más cercano es autogestionado, el hijo hereda el comportamiento autogestionado y tiene la capacidad de especificar su propia configuración en cada uno de ellos. Región de AWS

La aplicación tiene prioridad sobre la herencia. En otras palabras, la herencia no anula una política de configuración o una designación autoadministrada que el administrador delegado haya aplicado directamente a una cuenta o unidad organizativa.

Si aplica directamente una política de configuración a una cuenta autoadministrada, la política anula la designación autoadministrada. La cuenta pasa a administrarse de forma centralizada y adopta los ajustes reflejados en la política de configuración.

Recomendamos aplicar directamente una política de configuración a la raíz. Si aplica una política a la raíz, las nuevas cuentas que se unan a su organización heredarán automáticamente la política raíz, a menos que las asocie a una política diferente o las designe como autoadministrables.

Solo se puede asociar una política de configuración a una cuenta o unidad organizativa en un momento dado, ya sea mediante aplicación o herencia. Se diseñó así para evitar configuraciones conflictivas.

El siguiente diagrama ilustra cómo funcionan la aplicación de políticas y la herencia en una configuración centralizada.

![\[Aplicación y herencia de políticas de configuración del CSPM de Security Hub\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/images/sechub-diagram-central-configuration-association.png)


En este ejemplo, se ha aplicado una política de configuración a un nodo resaltado en verde. No se ha aplicado ninguna política de configuración al nodo resaltado en azul. Un nodo resaltado en amarillo se ha designado como autoadministrado. Cada cuenta y unidad organizativa usa la siguiente configuración:
+ **OU:Root (verde)**: esta unidad organizativa usa la política de configuración que se le ha aplicado.
+ **OU:Prod (azul)**: esta unidad organizativa hereda la política de configuración de OU:Root.
+ **OU:Applications (verde)**: esta unidad organizativa usa la política de configuración que se le ha aplicado.
+ **Cuenta 1 (verde)**: esta cuenta usa la política de configuración que se le ha aplicado.
+ **Cuenta 2 (azul)**: esta cuenta hereda la política de configuración de OU:Applications.
+ **OU:Dev (amarillo)**: esta unidad organizativa está autoadministrada.
+ **Cuenta 3 (verde)**: esta cuenta usa la política de configuración que se le ha aplicado.
+ **Cuenta 4 (azul)**: esta cuenta hereda el comportamiento autoadministrado de OU:Dev.
+ **OU:Test (Blue)**: esta cuenta hereda la política de configuración de OU:Root.
+ **Cuenta 5 (azul)**: esta cuenta hereda la política de configuración de OU:Root, ya que su matriz inmediata, OU:Test, no está asociada a ninguna política de configuración.

## Prueba de una política de configuración
<a name="test-policy"></a>

Para asegurarse de que comprende cómo funcionan las políticas de configuración, le recomendamos crear una política y asociarla a una cuenta de prueba o unidad organizativa.

**Prueba de una política de configuración**

1. Cree una política de configuración personalizada y verifique que los ajustes especificados para la habilitación del CSPM de Security Hub, los estándares y los controles sean correctos. Para obtener instrucciones, consulte [Creación y asociación de políticas de configuración](create-associate-policy.md).

1. Aplique la política de configuración a una cuenta de prueba o unidad organizativa que no tenga ninguna cuenta secundaria o. OUs

1. Compruebe que la cuenta de prueba o la unidad organizativa utilicen la política de configuración de la manera esperada en su región de origen y en todas las regiones vinculadas. También puede comprobar que todas las demás cuentas de su organización siguen siendo autogestionadas y pueden cambiar sus propios ajustes en cada región. OUs 

Después de probar una política de configuración en una sola cuenta o unidad organizativa, puede asociarla a otras cuentas y OUs.

# Creación y asociación de políticas de configuración
<a name="create-associate-policy"></a>

La cuenta de administrador de CSPM de AWS Security Hub delegada puede crear políticas de configuración que especifiquen cómo se configuran el CSPM, los estándares y los controles de Security Hub en cuentas y unidades organizativas específicas (). OUs Una política de configuración solo entra en vigor después de que el administrador delegado la asocie al menos a una cuenta o unidad organizativa () OUs o a la raíz. El administrador delegado también puede asociar una configuración autogestionada a las cuentas o a la OUs raíz.

Si es la primera vez que crea una política de configuración, le recomienda que revise antes [Cómo funcionan las políticas de configuración del CSPM de Security Hub](configuration-policies-overview.md).

Elija el método de acceso que prefiera y siga los pasos para crear y asociar una política de configuración o una configuración autoadministrada. Al utilizar la consola CSPM de Security Hub, puede asociar una configuración a varias cuentas o OUs al mismo tiempo. Al utilizar la API CSPM de Security Hub o AWS CLI, puede asociar una configuración a una sola cuenta o unidad organizativa en cada solicitud.

**nota**  
Si usa la configuración centralizada, el CSPM de Security Hub desactiva automáticamente los controles que implican recursos globales en todas las regiones, excepto en la región de origen. Los controles que elija habilitar a través de una política de configuración están habilitados en todas las regiones en las que están disponibles. Para limitar los resultados de estos controles a una sola región, puede actualizar la configuración de la AWS Config grabadora y desactivar el registro de recursos globales en todas las regiones, excepto en la región de origen.  
Si un control habilitado que implica recursos globales no es compatible en la región de origen, el CSPM de Security Hub intenta habilitarlo en una región vinculada donde sí se admita. Con la configuración centralizada, no se obtiene cobertura para un control que no está disponible ni en la región de origen ni en ninguna de las regiones vinculadas.  
Para obtener una lista de los controles que implican recursos globales, consulte [Controles que utilizan recursos globales](controls-to-disable.md#controls-to-disable-global-resources).

------
#### [ Security Hub CSPM console ]

**Creación y asociación de políticas de configuración**

1. Abra la consola CSPM de AWS Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Inicie sesión con las credenciales de la cuenta de administrador delegado del CSPM de Security Hub en la región de origen.

1. En el panel de navegación, seleccione **Configuración** y la pestaña **Políticas**. A continuación, seleccione **Crear política**.

1. En la página **Configurar organización**, si es la primera vez que crea una política de configuración, verá tres opciones en **Tipo de configuración**. Si ya ha creado al menos una política de configuración, solo verá la opción **Política personalizada**.
   + Elija **Usar la configuración CSPM de Security Hub AWS recomendada en toda mi organización** para usar nuestra política recomendada. La política recomendada habilita el CSPM de Security Hub en todas las cuentas de la organización, habilita el estándar AWS Foundational Security Best Practices (FSBP) y habilita todos los controles FSBP nuevos y existentes. Los controles utilizan valores de parámetros predeterminados.
   + Para crear una política de configuración más tarde, seleccione **Aún no lo tengo todo listo para configurarla**.
   + Seleccione **Política personalizada** para crear una política de configuración personalizada. Especifique si desea habilitar o desactivar el CSPM de Security Hub, qué estándares desea habilitar y qué controles desea habilitar dentro de esos estándares. Si lo desea, especifique [valores de parámetros personalizados](custom-control-parameters.md) para uno o más controles habilitados que admitan parámetros personalizados.

1. En la sección **Cuentas**, elija las cuentas de destino o las cuentas raíz a las que desea que se aplique la política de configuración. OUs
   + Seleccione **Todas las cuentas** si desea aplicar la política de configuración a la raíz. Esto incluye todas las cuentas de OUs la organización a las que no se les haya aplicado o heredado otra política.
   + Elija **Cuentas específicas** si desea aplicar la política de configuración a cuentas específicas o OUs. Introduzca la cuenta IDs o seleccione las cuentas y la estructura OUs de la organización. Puede aplicar la política a un máximo de 15 objetivos (cuentas o root) al crearla. OUs Para especificar un número mayor, edite la política después de crearla y aplíquela a destinos adicionales.
   + Seleccione **Solo el administrador delegado** para aplicar la política de configuración a la cuenta de administrador delegado actual.

1. Elija **Siguiente**.

1. En la página **Revisar y aplicar**, revise los detalles de la política de configuración. A continuación, seleccione **Crear y aplicar política**. Tanto en su región de origen como en las regiones vinculadas, esta acción anula los ajustes de configuración existentes de las cuentas asociadas a esta política de configuración. Las cuentas se pueden asociar a la política de configuración mediante una aplicación o la herencia de un nodo principal. Las cuentas secundarias y OUs los destinos aplicados heredarán automáticamente esta política de configuración, a menos que se excluyan específicamente, se autoadministren o utilicen una política de configuración diferente.

------
#### [ Security Hub CSPM API ]

**Creación y asociación de políticas de configuración**

1. Invoque la API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateConfigurationPolicy.html) desde la cuenta de administrador delegado del CSPM de Security Hub en la región de origen.

1. En `Name`, especifique un nombre para la política de configuración. Si lo desea, en el caso de `Description`, proporcione una descripción de la política de configuración.

1. En el campo `ServiceEnabled`, especifique si desea que el CSPM de Security Hub esté habilitado o desactivado en esta política de configuración.

1. En el campo `EnabledStandardIdentifiers`, especifique qué estándares del CSPM de Security Hub desea habilitar en esta política de configuración.

1. Para el objeto `SecurityControlsConfiguration`, especifique qué controles desea habilitar o deshabilitar en esta política de configuración. Elegir `EnabledSecurityControlIdentifiers` significa que los controles especificados están habilitados. Otros controles que forman parte de los estándares habilitados (como los controles recién lanzados) están deshabilitados. Elegir `DisabledSecurityControlIdentifiers` significa que los controles especificados están deshabilitados. Otros controles que forman parte de los estándares habilitados (como los controles recién lanzados) están habilitados.

1. Si lo desea, en el campo `SecurityControlCustomParameters`, especifique los controles habilitados para los que desee personalizar los parámetros. Indique `CUSTOM` en el campo `ValueType` y el valor del parámetro personalizado para el campo `Value`. El valor debe ser del tipo de datos correcto y estar dentro de los rangos válidos que especifique el CSPM de Security Hub. Solo algunos controles admiten valores de parámetros personalizados. Para obtener más información, consulte [Comprensión de los parámetros de control en el CSPM de Security Hub](custom-control-parameters.md).

1. Para aplicar su política de configuración a las cuentas o OUs, invoque la [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html)API desde la cuenta de administrador delegado CSPM de Security Hub en la región de origen.

1. En el campo `ConfigurationPolicyIdentifier`, indique el nombre de recurso de Amazon (ARN) o el identificador único universal (UUID) de la política. La API `CreateConfigurationPolicy` devuelve el ARN y el UUID. En una configuración autoadministrada, el campo `ConfigurationPolicyIdentifier` es igual a `SELF_MANAGED_SECURITY_HUB`.

1. En el campo `Target`, indique el ID de raíz, unidad organizativa, o cuenta donde desea que se aplique esta política de configuración. Solo puede proporcionar un objetivo en cada solicitud de API. Las cuentas secundarias y OUs del destino seleccionado heredarán automáticamente esta política de configuración, a menos que se autoadministren o utilicen una política de configuración diferente.

**Ejemplo de solicitud de API para crear una política de configuración:**

```
{
    "Name": "SampleConfigurationPolicy",
    "Description": "Configuration policy for production accounts",
    "ConfigurationPolicy": {
        "SecurityHub": {
             "ServiceEnabled": true,
             "EnabledStandardIdentifiers": [
                    "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0",
                    "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"
                ],
            "SecurityControlsConfiguration": {
                "DisabledSecurityControlIdentifiers": [
                    "CloudTrail.2"
                ],
                "SecurityControlCustomParameters": [
                    {
                        "SecurityControlId": "ACM.1",
                        "Parameters": {
                            "daysToExpiration": {
                                "ValueType": "CUSTOM",
                                "Value": {
                                    "Integer": 15
                                }
                            }
                        }
                    }
                ]
            }
        }
    }
}
```

**Ejemplo de solicitud de API para asociar una política de configuración:**

```
{
    "ConfigurationPolicyIdentifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "Target": {"OrganizationalUnitId": "ou-examplerootid111-exampleouid111"}
}
```

------
#### [ AWS CLI ]

**Creación y asociación de políticas de configuración**

1. Ejecute el comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-configuration-policy.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-configuration-policy.html) desde la cuenta de administrador delegado del CSPM de Security Hub en la región de origen.

1. En `name`, especifique un nombre para la política de configuración. Si lo desea, en el caso de `description`, proporcione una descripción de la política de configuración.

1. En el campo `ServiceEnabled`, especifique si desea que el CSPM de Security Hub esté habilitado o desactivado en esta política de configuración.

1. En el campo `EnabledStandardIdentifiers`, especifique qué estándares del CSPM de Security Hub desea habilitar en esta política de configuración.

1. En el campo `SecurityControlsConfiguration`, especifique qué controles desea habilitar o deshabilitar en esta política de configuración. Elegir `EnabledSecurityControlIdentifiers` significa que los controles especificados están habilitados. Otros controles que forman parte de los estándares habilitados (como los controles recién lanzados) están deshabilitados. Elegir `DisabledSecurityControlIdentifiers` significa que los controles especificados están deshabilitados. Se han habilitado otros controles que se aplican a los estándares habilitados (como los controles recién lanzados).

1. Si lo desea, en el campo `SecurityControlCustomParameters`, especifique los controles habilitados para los que desee personalizar los parámetros. Indique `CUSTOM` en el campo `ValueType` y el valor del parámetro personalizado para el campo `Value`. El valor debe ser del tipo de datos correcto y estar dentro de los rangos válidos que especifique el CSPM de Security Hub. Solo algunos controles admiten valores de parámetros personalizados. Para obtener más información, consulte [Comprensión de los parámetros de control en el CSPM de Security Hub](custom-control-parameters.md).

1. Para aplicar la política de configuración a las cuentas o OUs, ejecute el [https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html)comando desde la cuenta de administrador delegado CSPM de Security Hub en la región de origen.

1. En el campo `configuration-policy-identifier`, indique el nombre de recurso de Amazon (ARN) o el ID de la política de configuración. El comando `create-configuration-policy` devuelve este ARN e ID.

1. En el campo `target`, indique el ID de raíz, unidad organizativa, o cuenta donde desea que se aplique esta política de configuración. Solo puede proporcionar un destino cada vez que ejecute el comando. Las entidades secundarias de los destinos seleccionados heredarán automáticamente esta política de configuración, a menos que se autoadministren o utilicen una política de configuración diferente.

**Ejemplo de comando para crear una política de configuración:**

```
aws securityhub --region us-east-1 create-configuration-policy \
--name "SampleConfigurationPolicy" \
--description "Configuration policy for production accounts" \
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}}]}}}'
```

**Ejemplo de comando para asociar una política de configuración:**

```
aws securityhub --region us-east-1 start-configuration-policy-association \
--configuration-policy-identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--target '{"OrganizationalUnitId": "ou-examplerootid111-exampleouid111"}'
```

------

La API `StartConfigurationPolicyAssociation` devuelve un campo llamado `AssociationStatus`. Este campo indica si la asociación de una política está pendiente o si su estado es correcto o incorrecto. El estado puede tardar hasta 24 horas minutos en cambiar de `PENDING` a `SUCCESS` o `FAILURE`. Para obtener más información sobre el estado de una asociación, consulte [Revisión del estado de asociación de una política de configuración](view-policy.md#configuration-association-status).

# Revisión del estado y los detalles de las políticas de configuración
<a name="view-policy"></a>

El administrador de CSPM de AWS Security Hub delegado puede ver las políticas de configuración de una organización y sus detalles. Esto incluye las cuentas y unidades organizativas a las que está asociada una política. OUs

Para obtener información general sobre las ventajas de la configuración centralizada y su funcionamiento, consulte [Descripción de la configuración central en el CSPM de Security Hub](central-configuration-intro.md).

Elija su método preferido y siga estos pasos para ver las políticas de configuración.

------
#### [ Security Hub CSPM console ]

**Para ver políticas de configuración (consola)**

1. Abra la consola CSPM de AWS Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Inicie sesión con las credenciales de la cuenta de administrador delegado del CSPM de Security Hub en la región de origen.

1. En el panel de navegación, seleccione **Configuración** y **Configuración**.

1. Seleccione la pestaña **Políticas** para obtener un resumen de las políticas de configuración.

1. Seleccione una política de configuración y elija **Ver detalles** para ver detalles adicionales sobre ella, incluidas las cuentas a las OUs que está asociada.

------
#### [ Security Hub CSPM API ]

Para ver una lista resumida de todas las políticas de configuración, utilice la operación [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListConfigurationPolicies.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListConfigurationPolicies.html) de la API del CSPM de Security Hub. Si usa el AWS CLI, ejecute el [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-configuration-policies.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-configuration-policies.html)comando. La cuenta de administrador delegado del CSPM de Security Hub debe invocar la operación en la región de origen.

```
$ aws securityhub list-configuration-policies \
--max-items 5 \
--starting-token U2FsdGVkX19nUI2zoh+Pou9YyutlYJHWpn9xnG4hqSOhvw3o2JqjI23QDxdf
```

Para ver los detalles sobre una política de configuración específica, utilice la operación [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetConfigurationPolicy.html). Si usa el AWS CLI, ejecute el [https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-configuration-policy.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-configuration-policy.html). La cuenta de administrador delegado debe invocar la operación en la región de origen. Proporcione el nombre de recurso de Amazon (ARN) o el ID de la política de configuración cuyos detalles desea ver.

```
$ aws securityhub get-configuration-policy \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
```

Para ver una lista resumida de todas las políticas de configuración y sus respectivas asociaciones de cuentas, utilice la operación de configuración [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListConfigurationPolicyAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListConfigurationPolicyAssociations.html). Si usa el AWS CLI, ejecute el [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-configuration-policy-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-configuration-policy-associations.html)comando. La cuenta de administrador delegado debe invocar la operación en la región de origen. Si lo desea, puede proporcionar parámetros de paginación o filtrar los resultados por un ID de política, un tipo de asociación o un estado de asociación específico.

```
$ aws securityhub list-configuration-policy-associations \
--filters '{"AssociationType": "APPLIED"}'
```

Para ver las asociaciones de una cuenta específica, utilice la operación [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetConfigurationPolicyAssociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetConfigurationPolicyAssociation.html). Si usa el AWS CLI, ejecute el [https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-configuration-policy-association.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-configuration-policy-association.html)comando. La cuenta de administrador delegado debe invocar la operación en la región de origen. En `target`, indique el número de cuenta, el ID de unidad organizativa o el ID de raíz.

```
$ aws securityhub get-configuration-policy-association \
--target '{"AccountId": "123456789012"}'
```

------

## Revisión del estado de asociación de una política de configuración
<a name="configuration-association-status"></a>

Las siguientes operaciones de la API de configuración centralizada devuelven un campo denominado `AssociationStatus`:
+ `BatchGetConfigurationPolicyAssociations`
+ `GetConfigurationPolicyAssociation`
+ `ListConfigurationPolicyAssociations`
+ `StartConfigurationPolicyAssociation`

Este campo se devuelve cuando la configuración subyacente es una política de configuración y cuando se trata de un comportamiento autoadministrado.

El valor de `AssociationStatus` indica si una asociación de política está pendiente o si se encuentra en un estado de éxito o de error para una cuenta específica. El estado puede tardar hasta 24 horas minutos en cambiar de `PENDING` a `SUCCESS` o `FAILED`. Un estado de `SUCCESS` significa que todos los ajustes especificados en la política de configuración están asociados a la cuenta. Un estado de `FAILED` significa que uno o más ajustes especificados en la política de configuración no se asociaron a la cuenta. A pesar de un estado `FAILED`, la cuenta podría estar configurada parcialmente conforme a la política. Por ejemplo, puede intentar asociar una cuenta a una política de configuración que habilite el CSPM de Security Hub, habilite las prácticas recomendadas de seguridad AWS fundamentales y deshabilite .1. CloudTrail Las dos configuraciones iniciales podrían funcionar correctamente, pero la configuración CloudTrail .1 podría fallar. En este ejemplo, el estado de la asociación es `FAILED`, incluso cuando algunos ajustes se configuraron correctamente.

El estado de asociación de una unidad organizativa principal o de la raíz depende del estado de sus entidades secundarias. Si el estado de asociación de todas las entidades secundarias es `SUCCESS`, el estado de asociación de la entidad principal es `SUCCESS`. Si el estado de asociación de una o más entidades secundarias es `FAILED`, el estado de asociación de la entidad principal es `FAILED`.

El valor de `AssociationStatus` depende del estado de asociación de la política en todas las regiones pertinentes. Si la asociación tiene éxito en la región de origen y en todas las regiones vinculadas, el valor de `AssociationStatus` es `SUCCESS`. Si se produce un error en la asociación en una o más de estas regiones, el valor de `AssociationStatus` es `FAILED`.

El siguiente comportamiento también afecta al valor de `AssociationStatus`:
+ Si el destino es una unidad organizativa principal o de la raíz, tiene un `AssociationStatus` de `SUCCESS` o `FAILED` solo cuando todas las entidades secundarias tienen un estado `SUCCESS` o `FAILED`. Si el estado de asociación de una cuenta o unidad organizativa secundaria cambia (por ejemplo, cuando se agrega o elimina una región vinculada) después de asociar por primera vez la entidad principal a una configuración, el cambio no actualiza el estado de asociación de la entidad principal a menos que vuelva a invocar la API `StartConfigurationPolicyAssociation`.
+ Si el destino es una cuenta, tiene un `AssociationStatus` de `SUCCESS` o `FAILED` solo si la asociación tiene un resultado de `SUCCESS` o `FAILED` en la región de origen y en todas las regiones vinculadas. Si el estado de asociación de una cuenta de destino cambia (por ejemplo, cuando se agrega o elimina una región vinculada) después de asociarla por primera vez a una configuración, su estado de asociación se actualiza. Sin embargo, el cambio no actualiza el estado de asociación de la entidad principal a menos que vuelva a invocar la API `StartConfigurationPolicyAssociation`.

Si agrega una región vinculada nueva, el CSPM de Security Hub replica las asociaciones existentes que se encuentran en un estado `PENDING`, `SUCCESS` o `FAILED` en la nueva región.

Incluso cuando el estado de la asociación es `SUCCESS`, el estado de habilitación de un estándar incluido en la política puede pasar a un estado incompleto. En ese caso, el CSPM de Security Hub no puede generar resultados para los controles del estándar. Para obtener más información, consulte [Verificación del estado de un estándar](enable-standards.md#standard-subscription-status).

## Solución de problemas de la asociación
<a name="failed-association-reasons"></a>

En AWS Security Hub CSPM, la asociación de una política de configuración puede fallar por los siguientes motivos habituales.
+ **La cuenta de administración de Organizations no es miembro**: si desea asociar una política de configuración a la cuenta de administración de Organizations, esa cuenta ya debe tener activado AWS Security Hub CSPM. Esto convierte a la cuenta de administración en una cuenta de miembro de la organización.
+ **AWS Config no está habilitada o configurada correctamente**: para habilitar los estándares en una política de configuración, AWS Config debe estar habilitada y configurada para registrar los recursos relevantes.
+ **Debe asociarse desde una cuenta de administrador delegada**: solo puede asociar una política a las cuentas de destino y OUs cuando haya iniciado sesión en la cuenta de administrador delegada de CSPM de Security Hub.
+ **Debe asociarse desde la región de origen**: solo puede asociar una política a las cuentas de destino y OUs cuando haya iniciado sesión en su región de origen.
+ **La región optativa no está habilitada**: no se puede asociar la política a una cuenta de miembro o unidad organizativa de una región vinculada si se trata de una región optativa que el administrador delegado no ha habilitado. Puede volver a intentarlo después de habilitar la región desde la cuenta de administrador delegado.
+ **Cuenta de miembro suspendida**: la asociación de políticas es muestra error si se intenta asociar una política a una cuenta de miembro suspendida.

# Actualización de las políticas de configuración
<a name="update-policy"></a>

Tras crear una política de configuración, la cuenta de administrador CSPM AWS de Security Hub delegada puede actualizar los detalles de la política y las asociaciones de políticas. Cuando se actualizan los detalles de la política, las cuentas asociadas a la política de configuración comienzan a utilizar de manera automática la política actualizada.

Para obtener información general sobre las ventajas de la configuración centralizada y su funcionamiento, consulte [Descripción de la configuración central en el CSPM de Security Hub](central-configuration-intro.md).

El administrador delegado puede actualizar los siguientes ajustes de la política:
+ Habilite o desactive el CSPM de Security Hub.
+ Habilite uno o más [estándares de seguridad](standards-reference.md).
+ Indique qué [controles de seguridad](securityhub-controls-reference.md) están habilitados en todos los estándares habilitados. Para ello, proporcione una lista de controles específicos que deberían estar habilitados y el CSPM de Security Hub desactivará todos los demás controles, lo que incluye los controles nuevos cuando se lanzan. De forma alternativa, proporcione una lista de controles específicos que deberían estar desactivados y el CSPM de Security Hub habilitará todos los demás controles, incluidos los controles nuevos cuando se lanzan.
+ Si lo desea, [personalice parámetros](https://docs.aws.amazon.com/securityhub/latest/userguide/custom-control-parameters.html) de ciertos controles habilitados en los estándares habilitados.

Elija su método preferido y siga estos pasos para actualizar una política de configuración.

**nota**  
Si usa la configuración centralizada, el CSPM de Security Hub desactiva automáticamente los controles que implican recursos globales en todas las regiones, excepto en la región de origen. Los controles que elija habilitar a través de una política de configuración están habilitados en todas las regiones en las que están disponibles. Para limitar los resultados de estos controles a una sola región, puede actualizar la configuración de la AWS Config grabadora y desactivar el registro de recursos globales en todas las regiones, excepto en la región de origen.  
Si un control habilitado que implica recursos globales no es compatible en la región de origen, el CSPM de Security Hub intenta habilitarlo en una región vinculada donde sí se admita. Con la configuración centralizada, no se obtiene cobertura para un control que no está disponible ni en la región de origen ni en ninguna de las regiones vinculadas.  
Para obtener una lista de los controles que implican recursos globales, consulte [Controles que utilizan recursos globales](controls-to-disable.md#controls-to-disable-global-resources).

------
#### [ Console ]

**Actualización de las políticas de configuración**

1. Abra la consola CSPM de AWS Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Inicie sesión con las credenciales de la cuenta de administrador delegado del CSPM de Security Hub en la región de origen.

1. En el panel de navegación, seleccione **Configuración** y **Configuración**.

1. Elija la pestaña **Policies**.

1. Seleccione la política de configuración que desea modificar y elija **Editar**. Si lo desea, edite la configuración de la política. Deje esta sección como está si desea mantener la configuración de la política sin cambios.

1. Seleccione **Siguiente**. Si lo desea, edite las asociaciones de políticas. Deje esta sección como está si desea mantener las asociaciones de políticas sin cambios. Puede asociar o desasociar la política a un máximo de 15 destinos (cuentas o root) al actualizarla. OUs 

1. Elija **Siguiente**.

1. Revise los cambios y seleccione **Guardar y aplicar**. Tanto en su región de origen como en las regiones vinculadas, esta acción anula los ajustes de configuración existentes de las cuentas asociadas a esta política de configuración. Las cuentas se pueden asociar a una política de configuración mediante una aplicación o la herencia de un nodo principal.

------
#### [ API ]

**Actualización de las políticas de configuración**

1. Para actualizar los ajustes de una política de configuración, invoque la API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html) desde la cuenta de administrador delegado del CSPM de Security Hub en la región de origen.

1. Proporcione el nombre de recurso de Amazon (ARN) o el ID de la política de configuración que desea actualizar. 

1. Proporcione valores actualizados para los campos de `ConfigurationPolicy`. También tiene la opción de indicar el motivo de la actualización.

1. Para agregar asociaciones nuevas para esta política de configuración, invoque la API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html) desde la cuenta de administrador delegado del CSPM de Security Hub en la región de origen. Para eliminar una o más asociaciones actuales, invoque la API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyDisassociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyDisassociation.html) desde la cuenta de administrador delegado del CSPM de Security Hub en la región de origen.

1. En el campo `ConfigurationPolicyIdentifier`, indique el ARN o el ID de la política de configuración cuyas asociaciones desee actualizar.

1. Para el `Target` campo, proporcione las cuentas o el ID raíz que desee asociar o desasociar. OUs Esta acción anula las asociaciones de políticas anteriores para las cuentas OUs o cuentas especificadas.

**nota**  
Al invocar la API `UpdateConfigurationPolicy`, el CSPM de Security Hub sustituye por completo la lista de los campos `EnabledStandardIdentifiers`, `EnabledSecurityControlIdentifiers`, `DisabledSecurityControlIdentifiers` y `SecurityControlCustomParameters`. Cada vez que invoque esta API, proporcione la lista completa de estándares que desee habilitar y la lista completa de controles que desee habilitar o deshabilitar y para los que desee personalizar los parámetros.

**Ejemplo de solicitud de API para actualizar una política de configuración:**

```
{
    "Identifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "Description": "Updated configuration policy",
    "UpdatedReason": "Disabling CloudWatch.1",
    "ConfigurationPolicy": {
        "SecurityHub": {
             "ServiceEnabled": true,
             "EnabledStandardIdentifiers": [
                    "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0",
                    "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0" 
                ],
            "SecurityControlsConfiguration": {
                "DisabledSecurityControlIdentifiers": [
                    "CloudTrail.2",
                    "CloudWatch.1"
                ],
                "SecurityControlCustomParameters": [
                    {
                        "SecurityControlId": "ACM.1",
                        "Parameters": {
                            "daysToExpiration": {
                                "ValueType": "CUSTOM",
                                "Value": {
                                    "Integer": 15
                                }
                            }
                        }
                    }
                ]
            }
        }
    }
}
```

------
#### [ AWS CLI ]

**Actualización de las políticas de configuración**

1. Para actualizar los ajustes de una política de configuración, ejecute el comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-configuration-policy.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-configuration-policy.html) desde la cuenta de administrador delegado del CSPM de Security Hub en la región de origen.

1.  Proporcione el nombre de recurso de Amazon (ARN) o el ID de la política de configuración que desea actualizar.

1. Proporcione valores actualizados para los campos de `configuration-policy`. También tiene la opción de indicar el motivo de la actualización.

1. Para agregar nuevas asociaciones para esta política de configuración, ejecute el comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html) desde la cuenta de administrador delegado del CSPM de Security Hub en la región de origen. Para eliminar una o más asociaciones actuales, ejecute el comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html) desde la cuenta de administrador delegado del CSPM de Security Hub en la región de origen.

1. En el campo `configuration-policy-identifier`, indique el ARN o el ID de la política de configuración cuyas asociaciones desee actualizar.

1. Para el `target` campo, proporcione las cuentas o el ID raíz que desee asociar o desasociar. OUs Esta acción anula las asociaciones de políticas anteriores para las cuentas OUs o cuentas especificadas.

**nota**  
Al ejecutar el comando `update-configuration-policy`, el CSPM de Security Hub sustituye por completo la lista de los campos `EnabledStandardIdentifiers`, `EnabledSecurityControlIdentifiers`, `DisabledSecurityControlIdentifiers` y `SecurityControlCustomParameters`. Cada vez que ejecute este comando, proporcione la lista completa de estándares que desee habilitar y la lista completa de controles que desee habilitar o deshabilitar y para los que desee personalizar los parámetros.

**Ejemplo de comando para actualizar una política de configuración:**

```
aws securityhub update-configuration-policy \
--region us-east-1 \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--description "Updated configuration policy" \
--updated-reason "Disabling CloudWatch.1" \
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2","CloudWatch.1"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}}]}}}'
```

------

La API `StartConfigurationPolicyAssociation` devuelve un campo llamado `AssociationStatus`. Este campo indica si la asociación de una política está pendiente o si su estado es correcto o incorrecto. El estado puede tardar hasta 24 horas minutos en cambiar de `PENDING` a `SUCCESS` o `FAILURE`. Para obtener más información sobre el estado de una asociación, consulte [Revisión del estado de asociación de una política de configuración](view-policy.md#configuration-association-status).

# Eliminación de políticas de configuración
<a name="delete-policy"></a>

Tras crear una política de configuración, el administrador CSPM AWS de Security Hub delegado puede eliminarla. Como alternativa, el administrador delegado puede conservar la política, pero disociarla de cuentas o unidades organizativas específicas (OUs) o de la raíz. Para obtener instrucciones sobre cómo desasociar una política, consulte [Desasociación de una configuración de sus objetivos](disassociate-policy.md).

Para obtener información general sobre las ventajas de la configuración centralizada y su funcionamiento, consulte [Descripción de la configuración central en el CSPM de Security Hub](central-configuration-intro.md).

En esta sección se explica cómo eliminar políticas de configuración.

Al eliminar una política de configuración, esta deja de existir en su organización. Las cuentas de destino y la raíz de la organización ya no pueden usar la política de configuración. OUs Los destinos que estaban asociados a una política de configuración eliminada heredan la política de configuración de la entidad principal más próxima o se vuelven autoadministrados si la entidad principal más próxima se autoadministra. Si desea que un destino utilice una configuración diferente, puede asociar el destino a una nueva política de configuración. Para obtener más información, consulte [Creación y asociación de políticas de configuración](create-associate-policy.md).

Se recomienda crear y asociar al menos una política de configuración a su organización para proporcionar una cobertura de seguridad adecuada.

Para poder eliminar una política de configuración, debe desasociarla de cualquier cuenta o raíz a la que se aplique actualmente. OUs

Elija su método preferido y siga estos pasos para eliminar una política de configuración.

------
#### [ Console ]

**Eliminación de una política de configuración**

1. Abra la consola CSPM de AWS Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Inicie sesión con las credenciales de la cuenta de administrador delegado del CSPM de Security Hub en la región de origen.

1. En el panel de navegación, seleccione **Configuración** y **Configuración**.

1. Elija la pestaña **Policies**. Seleccione la política de configuración que desea eliminar y, a continuación, elija **Eliminar**. Si la política de configuración sigue asociada a alguna cuenta o OUs, se le pedirá que primero desasocie la política de esos destinos antes de poder eliminarla.

1. Revise el mensaje de confirmación. Ingrese **confirm** y elija **Eliminar**.

------
#### [ API ]

**Eliminación de una política de configuración**

Invoque la API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DeleteConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DeleteConfigurationPolicy.html) desde la cuenta de administrador delegado del CSPM de Security Hub en la región de origen.

Proporcione el nombre de recurso de Amazon (ARN) o el ID de la política de configuración que desea eliminar. Si recibe un `ConflictException` error, la política de configuración seguirá aplicándose a las cuentas o OUs a su organización. Para resolver el error, desasocie la política de configuración de estas cuentas o OUs antes de intentar eliminarla.

**Ejemplo de solicitud de API para eliminar una política de configuración:**

```
{
    "Identifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
}
```

------
#### [ AWS CLI ]

**Eliminación de una política de configuración**

Ejecute el comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/delete-configuration-policy.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/delete-configuration-policy.html) desde la cuenta de administrador delegado del CSPM de Security Hub en la región de origen.

 Proporcione el nombre de recurso de Amazon (ARN) o el ID de la política de configuración que desea eliminar. Si recibe un `ConflictException` error, la política de configuración seguirá aplicándose a las cuentas o OUs a su organización. Para resolver el error, desasocie la política de configuración de estas cuentas o OUs antes de intentar eliminarla.

```
aws securityhub --region us-east-1 delete-configuration-policy \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
```

------

# Desasociación de una configuración de sus objetivos
<a name="disassociate-policy"></a>

Desde la cuenta de administrador CSPM de AWS Security Hub delegada, puede desasociar una política de configuración o una configuración autogestionada de una cuenta, unidad organizativa o raíz. La desasociación conserva la política para su uso futuro, pero elimina las asociaciones existentes de cuentas específicas o de la raíz. Solo puede desasociar una configuración aplicada directamente, no una configuración heredada. OUs Para cambiar una configuración heredada, puede aplicar una política de configuración o un comportamiento autoadministrado a la cuenta o unidad organizativa afectada. También puede aplicar una nueva política de configuración, que incluya las modificaciones que desee, a la entidad principal más próxima.

La desasociación *no* elimina una política de configuración. La política se retiene en su cuenta, por lo que puede asociarla a otros destinos de su organización. Para obtener instrucciones sobre cómo eliminar una política de configuración, consulte [Eliminación de políticas de configuración](delete-policy.md). Cuando se completa la desasociación, el destino afectado hereda la política de configuración o el comportamiento autoadministrado de la entidad principal más próxima. Si no hay una configuración heredable, el destino conserva la configuración que tenía antes de la desasociación, pero pasa a ser autoadministrado.

Elija el método que prefiera y siga los pasos para desasociar una cuenta, unidad organizativa o raíz de su configuración actual.

------
#### [ Console ]

**Desasociación de una cuenta o unidad organizativa de su configuración actual**

1. Abra la consola CSPM de AWS Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Inicie sesión con las credenciales de la cuenta de administrador delegado del CSPM de Security Hub en la región de origen.

1. En el panel de navegación, seleccione **Configuración** y **Configuración**.

1. En la pestaña **Organizaciones**, seleccione la cuenta, unidad organizativa o la raíz que desee desasociar de su configuración actual. Elija **Edit (Edición de)**.

1. En la página **Definir configuración**, en **Administración**, elija **Política aplicada** si desea que el administrador delegado tenga autorización para aplicar las políticas directamente al destino. Elija **Heredada** si desea que el destino herede la configuración de su entidad principal más próxima. En cualquiera de estos casos, el administrador delegado controla la configuración del destino. Elija **Autoadministrada** si desea que la cuenta o la unidad organizativa controlen su propia configuración.

1. Tras revisar los cambios, seleccione **Siguiente** y **Aplicar**. Esta acción anula las configuraciones existentes de cualquier cuenta o OUs que esté dentro del alcance, si esas configuraciones entran en conflicto con sus selecciones actuales.

------
#### [ API ]

**Desasociación de una cuenta o unidad organizativa de su configuración actual**

1. Invoque la API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyDisassociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyDisassociation.html) desde la cuenta de administrador delegado del CSPM de Security Hub en la región de origen.

1.  En `ConfigurationPolicyIdentifier`, indique el nombre de recurso de Amazon (ARN) o el ID de la política de configuración que desee desasociar. Indique `SELF_MANAGED_SECURITY_HUB` en este campo para desasociar el comportamiento autoadministrado.

1.  Para ello`Target`, indique las cuentas o la raíz que desee disociar de esta política de configuración. OUs

**Ejemplo de solicitud de API para desasociar una política de configuración:**

```
{
    "ConfigurationPolicyIdentifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "Target": {"RootId": "r-f6g7h8i9j0example"}
}
```

------
#### [ AWS CLI ]

**Desasociación de una cuenta o unidad organizativa de su configuración actual**

1. Ejecute el comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-disassociation.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-disassociation.html) desde la cuenta de administrador delegado del CSPM de Security Hub en la región de origen.

1.  En `configuration-policy-identifier`, indique el nombre de recurso de Amazon (ARN) o el ID de la política de configuración que desee desasociar. Indique `SELF_MANAGED_SECURITY_HUB` en este campo para desasociar el comportamiento autoadministrado.

1.  Para `target` ello, indique las cuentas o la raíz que desee disociar de esta política de configuración. OUs

**Ejemplo de comando para desasociar una política de configuración:**

```
aws securityhub --region us-east-1 start-configuration-policy-disassociation \
--configuration-policy-identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--target '{"RootId": "r-f6g7h8i9j0example"}'
```

------

# Cómo configurar un estándar o un control en contexto
<a name="central-configuration-in-context"></a>

Cuando se utiliza la [configuración central](central-configuration-intro.md) en AWS Security Hub CSPM, el administrador delegado del Security Hub CSPM puede crear políticas de configuración que especifiquen cómo se configuran el CSPM de Security Hub, los estándares de seguridad y los controles de seguridad para una organización. El administrador delegado puede asociar políticas a cuentas y unidades organizativas (UO) específicas. Las políticas entran en vigor en la región de origen y en todas las regiones vinculadas. El administrador delegado puede actualizar políticas según sea necesario.

En la consola del CSPM de Security Hub, el administrador delegado puede actualizar las políticas de configuración de dos maneras: desde la página de **Configuración** o dentro del contexto de los flujos de trabajo existentes. Esto último puede resultar útil porque, al revisar los resultados de seguridad, es posible identificar qué estándares y controles son más relevantes para su entorno y configurarlos al mismo tiempo.

La configuración en contexto solo se encuentra disponible en la consola del CSPM de Security Hub. Mediante programación, el administrador delegado debe invocar la operación [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html) de la API del CSPM de Security Hub para cambiar la forma en que se configuran estándares o controles específicos en la organización.

Siga estos pasos para configurar un estándar o un control del CSPM de Security Hub en contexto.

**Para configurar un estándar o un control en contexto (consola)**

1. Abra la consola CSPM de AWS Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Inicie sesión con las credenciales de la cuenta de administrador delegado del CSPM de Security Hub en la región de origen.

1. En el panel de navegación, elija una de las siguientes opciones:
   + Para configurar un estándar, seleccione **Estándares de seguridad** y elija un estándar específico.
   + Para configurar un control, seleccione **Controles** y elija un control específico.

1. La consola muestra las políticas de configuración del CSPM de Security Hub existentes y el estado del estándar o control seleccionado en cada una. Elija las opciones para habilitar o desactivar el estándar o el control en cada política de configuración existente. En el caso de los controles, también puede optar por personalizar los [parámetros del control](custom-control-parameters.md). No puede crear una política nueva durante la configuración en contexto. Para crear una nueva política, debe ir a la página **Configuración**, elegir la pestaña **Políticas** y, a continuación, elegir **Crear política**.

1. Cuando termine de aplicar los cambios, seleccione **Siguiente**.

1. Revise los cambios y elija **Aplicar**. Las actualizaciones afectan a todas las OUs cuentas asociadas a una política de configuración modificada. Las actualizaciones también tienen efecto en la región de origen y en todas las regiones vinculadas.

# Desactivación de la configuración centralizada en el CSPM de Security Hub
<a name="stop-central-configuration"></a>

Al deshabilitar la configuración central en AWS Security Hub CSPM, el administrador delegado pierde la capacidad de configurar Security Hub CSPM, los estándares de seguridad y los controles de seguridad en varias Cuentas de AWS unidades organizativas () y. OUs Regiones de AWS En su lugar, debe configurar la mayoría de los ajustes por separado para cada cuenta en cada región.

**importante**  
Antes de poder deshabilitar la configuración central, primero debe [desasociar sus cuentas y su](disassociate-policy.md) configuración actual, ya sea que se trate OUs de una política de configuración o de un comportamiento autogestionado.  
Antes de poder deshabilitar la configuración centralizada, también debe [eliminar las políticas de configuración existentes](delete-policy.md).

Al deshabilitar la configuración centralizada, se producen los siguientes cambios:
+ El administrador delegado ya no puede crear políticas de configuración para la organización.
+ Las cuentas que tenían una política de configuración aplicada o heredada retienen su configuración actual, pero se vuelven autoadministradas.
+ Su organización cambia a la *configuración local*. Al utilizar el enfoque de configuración local, la mayoría de los ajustes del CSPM de Security Hub se deben configurar por separado para cada cuenta y región de la organización. El administrador delegado puede optar por habilitar automáticamente el CSPM de Security Hub, los [estándares de seguridad predeterminados](securityhub-auto-enabled-standards.md) y todos los controles que forman parte de los estándares predeterminados en las nuevas cuentas de la organización. Los estándares predeterminados son AWS Foundational Security Best Practices (FSBP) y Center for Internet Security (CIS) Foundations Benchmark v1.2.0. AWS Esta configuración entra en vigor en la región actual y afecta únicamente a las cuentas nuevas de la organización. El administrador delegado no puede cambiar los estándares predeterminados. La configuración local no admite el uso de políticas de configuración ni la configuración a nivel de la unidad organizativa.

La identidad de la cuenta de administrador delegado sigue siendo la misma cuando se deja de utilizar la configuración centralizada. Su región de origen y las regiones vinculadas también siguen siendo las mismas (su región de origen ahora se denomina región de agregación y se puede utilizar para la agregación de resultados).

Elija el método que prefiera y siga los pasos para dejar de utilizar la configuración centralizada y cambiar a la configuración local.

------
#### [ Security Hub CSPM console ]

**Para deshabilitar la configuración centralizada (consola)**

1. Abra la consola CSPM de AWS Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Inicie sesión con las credenciales de la cuenta de administrador delegado del CSPM de Security Hub en la región de origen.

1. En el panel de navegación, seleccione **Configuración** y **Configuración**.

1. En la sección **Información general**, seleccione **Editar**.

1. En el cuadro **Editar configuración de la organización**, seleccione **Configuración local**. Si aún no lo ha hecho, se le solicitará que desasocie y elimine las políticas de configuración actuales antes de poder dejar de utilizar la configuración centralizada. Las cuentas o las OUs que estén designadas como autogestionadas deben disociarse de su configuración autogestionada. Para ello, en la consola puede [cambiar el tipo de administración](central-configuration-management-type.md#choose-management-type) de cada cuenta u unidad organizativa autoadministrada a **Administrada de forma centralizada** y **Heredar de mi organización**.

1. Si lo desea, seleccione los ajustes predeterminados de la configuración local para las nuevas cuentas de la organización.

1. Elija **Confirmar**.

------
#### [ Security Hub CSPM API ]

**Para deshabilitar la configuración centralizada (API)**

1. Invoque la API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html).

1. Establezca el campo `ConfigurationType` del objeto `OrganizationConfiguration` en `LOCAL`. La API devuelve un error si tiene políticas de configuración o asociaciones de políticas existentes. Para desasociar una política de configuración, invoque la API `StartConfigurationPolicyDisassociation`. Para eliminar una política de configuración, invoque la API `DeleteConfigurationPolicy`.

1. Si quiere habilitar automáticamente el CSPM de Security Hub en las nuevas cuentas de la organización, establezca el campo `AutoEnable` en `true`. De forma predeterminada, el valor de este campo es `false` y el CSPM de Security Hub no se habilita automáticamente en las nuevas cuentas de la organización. De forma opcional, si quiere habilitar automáticamente Security Hub en las nuevas cuentas de la organización, establezca el campo `AutoEnableStandards` en `DEFAULT`. Este es el valor predeterminado. Si no quiere habilitar automáticamente los estándares de seguridad predeterminados en las nuevas cuentas de la organización, establezca el campo `AutoEnableStandards` en `NONE`.

**Ejemplo de solicitud de API:**

```
{
    "AutoEnable": true, 
    "OrganizationConfiguration": {
        "ConfigurationType" : "LOCAL"
    }
}
```

------
#### [ AWS CLI ]

**Para deshabilitar la configuración centralizada (AWS CLI)**

1. Ejecute el comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html).

1. Establezca el campo `ConfigurationType` del objeto `organization-configuration` en `LOCAL`. El comando devuelve un error si tiene políticas de configuración o asociaciones de políticas existentes. Para desasociar una política de configuración, ejecute el comando `start-configuration-policy-disassociation`. Para eliminar una política de configuración, ejecute el comando `delete-configuration-policy`.

1. Si quiere habilitar automáticamente el CSPM de Security Hub en las nuevas cuentas de la organización, incluya el parámetro `auto-enable`. De forma predeterminada, el valor de este parámetro es `no-auto-enable` y el CSPM de Security Hub no se habilita automáticamente en las nuevas cuentas de la organización. De forma opcional, si quiere habilitar automáticamente Security Hub en las nuevas cuentas de la organización, establezca el campo `auto-enable-standards` en `DEFAULT`. Este es el valor predeterminado. Si no quiere habilitar automáticamente los estándares de seguridad predeterminados en las nuevas cuentas de la organización, establezca el campo `auto-enable-standards` en `NONE`.

```
aws securityhub --region us-east-1 update-organization-configuration \
--auto-enable \
--organization-configuration '{"ConfigurationType": "LOCAL"}'
```

------