Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Intégration de Security Hub à AWS Organizations

Pour intégrer AWS Security Hub et AWS Organizations, vous créez une organisation dans Organizations et vous utilisez le compte de gestion de l'organisation pour désigner un compte administrateur délégué du Security Hub. Cela permet à Security Hub de devenir un service fiable dans les Organizations. Il active également Security Hub en cours Région AWS pour le compte administrateur délégué, et il permet à l'administrateur délégué d'activer Security Hub pour les comptes membres, de consulter les données des comptes membres et d'effectuer d'autres actions autorisées sur les comptes membres.

Si vous utilisez la configuration centralisée, l'administrateur délégué peut également créer des politiques de configuration du Security Hub qui spécifient la manière dont le service, les normes et les contrôles du Security Hub doivent être configurés dans les comptes de l'organisation.

Création d'une organisation

Une organisation est une entité que vous créez pour consolider les vôtres Comptes AWS afin de pouvoir les administrer en tant qu'unité unique.

Vous pouvez créer une organisation à l'aide de la AWS Organizations console ou à l'aide d'une commande provenant du AWS CLI ou de l'un des SDKAPIs. Pour obtenir des instructions détaillées, voir Création d'une organisation dans le guide de AWS Organizations l'utilisateur.

Vous pouvez l'utiliser AWS Organizations pour visualiser et gérer de manière centralisée tous les comptes de votre organisation. Une organisation possède un compte de gestion avec zéro ou plusieurs comptes membres. Vous pouvez organiser les comptes dans une structure hiérarchique arborescente avec une racine en haut et des unités organisationnelles (OUs) imbriquées sous la racine. Chaque compte peut être placé directement sous la racine ou dans l'un des comptes de la hiérarchie. OUs Une UO est un conteneur pour des comptes spécifiques. Par exemple, vous pouvez créer une unité d'organisation financière qui inclut tous les comptes liés aux opérations financières.

Recommandations pour le choix de l'administrateur délégué du Security Hub

Si vous avez créé un compte administrateur à la suite du processus d'invitation manuel et que vous êtes en train de passer à la gestion des comptes avec AWS Organizations, nous vous recommandons de désigner ce compte en tant qu'administrateur délégué du Security Hub.

Bien que le Security Hub APIs et la console autorisent le compte de gestion de l'organisation à être l'administrateur délégué du Security Hub, nous vous recommandons de choisir deux comptes différents. Cela est dû au fait que les utilisateurs qui ont accès au compte de gestion de l'organisation pour gérer la facturation sont susceptibles d'être différents des utilisateurs qui ont besoin d'accéder à Security Hub pour gérer la sécurité.

Nous recommandons d'utiliser le même administrateur délégué dans toutes les régions. Si vous optez pour la configuration centralisée, Security Hub désigne automatiquement le même administrateur délégué dans votre région d'origine et dans toutes les régions associées.

Vérifiez les autorisations pour configurer l'administrateur délégué

Pour désigner et supprimer un compte administrateur délégué du Security Hub, le compte de gestion de l'organisation doit disposer des autorisations nécessaires pour les DisableOrganizationAdminAccount actions EnableOrganizationAdminAccount et dans Security Hub. Le compte de gestion Organizations doit également disposer d'autorisations administratives pour les Organizations.

Pour accorder toutes les autorisations requises, associez les politiques gérées par Security Hub suivantes au IAM principal du compte de gestion de l'organisation :

Désignation de l'administrateur délégué

Pour désigner le compte administrateur délégué du Security Hub, vous pouvez utiliser la console Security Hub, Security Hub API ou AWS CLI. Security Hub définit l'administrateur délégué Région AWS uniquement dans la zone actuelle, et vous devez répéter l'action dans les autres régions. Si vous commencez à utiliser la configuration centralisée, Security Hub définit automatiquement le même administrateur délégué dans la région d'origine et dans les régions associées.

Le compte de gestion de l'organisation n'a pas besoin d'activer Security Hub pour désigner le compte administrateur délégué du Security Hub.

Nous recommandons que le compte de gestion de l'organisation ne soit pas le compte administrateur délégué du Security Hub. Toutefois, si vous choisissez le compte de gestion de l'organisation comme administrateur délégué de Security Hub, Security Hub doit être activé sur le compte de gestion. Si Security Hub n'est pas activé sur le compte de gestion, vous devez l'activer manuellement. Security Hub ne peut pas être activé automatiquement pour le compte de gestion de l'organisation.

Vous devez désigner l'administrateur délégué du Security Hub à l'aide de l'une des méthodes suivantes. La désignation de l'administrateur délégué du Security Hub par Organizations APIs ne se reflète pas dans Security Hub.

Choisissez votre méthode préférée et suivez les étapes pour désigner le compte administrateur délégué du Security Hub.

Security Hub console

Pour désigner l'administrateur délégué lors de l'intégration

1. Ouvrez la AWS Security Hub console à l'adresse https://console.aws.amazon.com/securityhub/.

2. Choisissez Go to Security Hub. Vous êtes invité à vous connecter au compte de gestion de l'organisation.

3. Sur la page Désigner un administrateur délégué, dans la section Compte d'administrateur délégué, spécifiez le compte d'administrateur délégué. Nous vous recommandons de choisir le même administrateur délégué que celui que vous avez défini pour les autres services AWS de sécurité et de conformité.

4. Choisissez Définir un administrateur délégué. Vous êtes invité à vous connecter au compte d'administrateur délégué (si ce n'est pas déjà fait) pour poursuivre l'intégration grâce à la configuration centralisée. Si vous ne souhaitez pas démarrer la configuration centralisée, choisissez Annuler. Votre administrateur délégué est configuré, mais vous n'utilisez pas encore la configuration centralisée.

Pour désigner l'administrateur délégué depuis la page Paramètres

1. Ouvrez la AWS Security Hub console à l'adresse https://console.aws.amazon.com/securityhub/.

2. Dans le volet de navigation du Security Hub, sélectionnez Settings. Choisissez ensuite Général.

3. Si un compte administrateur Security Hub est actuellement attribué, vous devez supprimer le compte actuel avant de pouvoir en désigner un nouveau.

   Sous Administrateur délégué, pour supprimer le compte actuel, choisissez Supprimer.

4. Entrez l'identifiant du compte que vous souhaitez désigner comme compte administrateur du Security Hub.

   Vous devez désigner le même compte administrateur Security Hub dans toutes les régions. Si vous désignez un compte différent de celui désigné dans d'autres régions, la console renvoie un message d'erreur.

5. Choisisssez Delegate (Déléguer).

Security Hub API, AWS CLI

Depuis le compte de gestion de l'organisation, utilisez EnableOrganizationAdminAccountfonctionnement du Security HubAPI. Si vous utilisez le AWS CLI, exécutez le enable-organization-admin-accountcommande. Indiquez l' Compte AWS ID de l'administrateur délégué du Security Hub.

L'exemple suivant désigne l'administrateur délégué du Security Hub. Cet exemple est formaté pour Linux, macOS ou Unix et utilise le caractère de continuation de ligne barre oblique inverse (\) pour améliorer la lisibilité.

$ aws securityhub enable-organization-admin-account --admin-account-id 123456789012