Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Activation automatique de Security Hub dans les nouveaux comptes d'entreprise
Lorsque de nouveaux comptes rejoignent votre organisation, ils sont ajoutés à la liste sur la page Comptes du AWS Security Hub console. Pour les comptes de l’organisation, le type est Par organisation. Par défaut, les nouveaux comptes ne deviennent pas membres du Security Hub lorsqu'ils rejoignent l'organisation. Leur statut est Non membre. Le compte d'administrateur délégué peut automatiquement ajouter de nouveaux comptes en tant que membres et activer Security Hub dans ces comptes lorsqu'ils rejoignent l'organisation.
Note
Bien que de nombreux Régions AWS sont actifs par défaut pour votre Compte AWS, vous devez activer certaines régions manuellement. Ces régions sont appelées « régions optionnelles » dans ce document. Pour activer automatiquement Security Hub dans un nouveau compte dans une région optionnelle, cette région doit d'abord être activée sur le compte. Seul le titulaire du compte peut activer la région opt-in. Pour plus d'informations sur les régions optionnelles, voir Spécifier quelles Régions AWS votre compte peut utiliser.
Ce processus est différent selon que vous utilisez la configuration centrale (recommandée) ou la configuration locale.
Activation automatique des nouveaux comptes d'entreprise (configuration centrale)
Si vous utilisez la configuration centralisée, vous pouvez activer automatiquement Security Hub dans les comptes d'entreprise nouveaux et existants en créant une politique de configuration dans laquelle Security Hub est activé. Vous pouvez ensuite associer la politique à la racine de l'organisation ou à des unités organisationnelles spécifiques (OUs).
Si vous associez une politique de configuration dans laquelle Security Hub est activé à une unité d'organisation spécifique, Security Hub est automatiquement activé dans tous les comptes (existants et nouveaux) appartenant à cette unité d'organisation. Les nouveaux comptes qui n'appartiennent pas à l'unité d'organisation sont autogérés et Security Hub n'est pas automatiquement activé. Si vous associez une politique de configuration dans laquelle Security Hub est activé au root, Security Hub est automatiquement activé dans tous les comptes (existants et nouveaux) qui rejoignent l'organisation. Les exceptions sont les cas où un compte utilise une politique différente par le biais d'une application ou d'un héritage, ou s'il est autogéré.
Dans votre politique de configuration, vous pouvez également définir les normes et contrôles de sécurité qui doivent être activés dans l'unité d'organisation. Pour générer des résultats de contrôle pour les normes activées, les comptes de l'unité d'organisation doivent avoir AWS Config activé et configuré pour enregistrer les ressources requises. Pour plus d'informations sur AWS Config enregistrement, voir Activation et configuration AWS Config.
Pour obtenir des instructions sur la création d'une politique de configuration, consultezCréation et association de politiques de configuration.
Activation automatique des nouveaux comptes d'organisation (configuration locale)
Lorsque vous utilisez la configuration locale et que vous activez l'activation automatique des normes par défaut, Security Hub ajoute de nouveaux comptes d'organisation en tant que membres et active Security Hub dans ces comptes dans la région actuelle. Les autres régions ne sont pas concernées. En outre, l'activation automatique n'active pas Security Hub dans les comptes d'organisation existants, sauf s'ils ont déjà été ajoutés en tant que comptes membres.
Une fois l'activation automatique activée, les normes de sécurité par défaut sont activées pour les nouveaux comptes membres de la région actuelle lorsqu'ils rejoignent l'organisation. Les normes par défaut sont AWS Bonnes pratiques de sécurité fondamentales (FSBP) et Centre pour la sécurité Internet () CIS AWS Foundations Benchmark v1.2.0. Vous ne pouvez pas modifier les normes par défaut. Si vous souhaitez activer d'autres normes au sein de votre organisation, ou activer des normes pour certains comptesOUs, nous vous recommandons d'utiliser une configuration centralisée.
Pour générer des résultats de contrôle pour les normes par défaut (et les autres normes activées), les comptes de votre organisation doivent avoir AWS Config activé et configuré pour enregistrer les ressources requises. Pour plus d'informations sur AWS Config enregistrement, voir Activation et configuration AWS Config.
Choisissez votre méthode préférée et suivez les étapes pour activer automatiquement Security Hub dans les nouveaux comptes d'entreprise. Ces instructions s'appliquent uniquement si vous utilisez une configuration locale.
