Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Intégration de Security Hub à AWS Organizations
Pour intégrer AWS Security Hub et AWS Organizations, vous créez une organisation dans Organizations et vous utilisez le compte de gestion de l'organisation pour désigner un compte administrateur délégué du Security Hub. Cela permet à Security Hub de devenir un service fiable dans les Organizations. Il active également Security Hub en cours Région AWS pour le compte administrateur délégué, et permet à l'administrateur délégué d'activer Security Hub pour les comptes membres, de consulter les données des comptes membres et d'effectuer d'autres actions autorisées sur les comptes membres.
Si vous utilisez la configuration centralisée, l'administrateur délégué peut également créer des politiques de configuration du Security Hub qui spécifient la manière dont le service, les normes et les contrôles du Security Hub doivent être configurés dans les comptes de l'organisation.
Création d'une organisation
Une organisation est une entité que vous créez pour consolider les vôtres Comptes AWS afin de pouvoir les administrer en tant qu'unité unique.
Vous pouvez créer une organisation à l'aide de la AWS Organizations console ou à l'aide d'une commande provenant du AWS CLI ou de l'un des SDKAPIs. Pour obtenir des instructions détaillées, voir Création d'une organisation dans le guide de AWS Organizations l'utilisateur.
Vous pouvez l'utiliser AWS Organizations pour visualiser et gérer de manière centralisée tous les comptes de votre organisation. Une organisation possède un compte de gestion avec zéro ou plusieurs comptes membres. Vous pouvez organiser les comptes dans une structure hiérarchique arborescente avec une racine en haut et des unités organisationnelles (OUs) imbriquées sous la racine. Chaque compte peut se trouver directement sous la racine ou être placé dans l'un des comptes de la hiérarchie. OUs Une UO est un conteneur pour des comptes spécifiques. Par exemple, vous pouvez créer une unité d'organisation financière qui inclut tous les comptes liés aux opérations financières.
Recommandations pour le choix de l'administrateur délégué du Security Hub
Si vous avez créé un compte administrateur à la suite du processus d'invitation manuel et que vous êtes en train de passer à la gestion des comptes avec AWS Organizations, nous vous recommandons de désigner ce compte en tant qu'administrateur délégué du Security Hub.
Bien que le Security Hub APIs et la console autorisent le compte de gestion de l'organisation à être l'administrateur délégué du Security Hub, nous vous recommandons de choisir deux comptes différents. Cela est dû au fait que les utilisateurs qui ont accès au compte de gestion de l'organisation pour gérer la facturation sont susceptibles d'être différents des utilisateurs qui ont besoin d'accéder à Security Hub pour gérer la sécurité.
Nous recommandons d'utiliser le même administrateur délégué dans toutes les régions. Si vous optez pour la configuration centralisée, Security Hub désigne automatiquement le même administrateur délégué dans votre région d'origine et dans toutes les régions associées.
Vérifiez les autorisations pour configurer l'administrateur délégué
Pour désigner et supprimer un compte administrateur délégué du Security Hub, le compte de gestion de l'organisation doit disposer des autorisations nécessaires pour les DisableOrganizationAdminAccount
actions EnableOrganizationAdminAccount
et dans Security Hub. Le compte de gestion Organizations doit également disposer d'autorisations administratives pour les Organizations.
Pour accorder toutes les autorisations requises, associez les politiques gérées par Security Hub suivantes au IAM principal du compte de gestion de l'organisation :
Désignation de l'administrateur délégué
Pour désigner le compte administrateur délégué du Security Hub, vous pouvez utiliser la console Security Hub, Security Hub API ou AWS CLI. Security Hub définit l'administrateur délégué Région AWS uniquement dans la zone actuelle, et vous devez répéter l'action dans les autres régions. Si vous commencez à utiliser la configuration centralisée, Security Hub définit automatiquement le même administrateur délégué dans la région d'origine et dans les régions associées.
Le compte de gestion de l'organisation n'a pas besoin d'activer Security Hub pour désigner le compte administrateur délégué du Security Hub.
Nous recommandons que le compte de gestion de l'organisation ne soit pas le compte administrateur délégué du Security Hub. Toutefois, si vous choisissez le compte de gestion de l'organisation comme administrateur délégué de Security Hub, Security Hub doit être activé sur le compte de gestion. Si Security Hub n'est pas activé sur le compte de gestion, vous devez l'activer manuellement. Security Hub ne peut pas être activé automatiquement pour le compte de gestion de l'organisation.
Vous devez désigner l'administrateur délégué du Security Hub à l'aide de l'une des méthodes suivantes. La désignation de l'administrateur délégué du Security Hub par Organizations APIs ne se reflète pas dans Security Hub.
Choisissez votre méthode préférée et suivez les étapes pour désigner le compte administrateur délégué du Security Hub.
Supprimer ou modifier l'administrateur délégué
Avertissement
Lorsque vous utilisez la configuration centralisée, vous ne pouvez pas utiliser la console Security Hub ou Security Hub APIs pour modifier ou supprimer le compte d'administrateur délégué. Si le compte de gestion de l'organisation utilise la AWS Organizations console ou AWS Organizations APIs pour modifier ou supprimer l'administrateur délégué de Security Hub, Security Hub arrête automatiquement la configuration centrale et supprime vos politiques de configuration et vos associations de politiques. Les comptes membres conservent les configurations qu'ils avaient avant le changement ou la suppression de l'administrateur délégué.
Seul le compte de gestion de l'organisation peut supprimer le compte administrateur délégué du Security Hub.
Pour modifier l'administrateur délégué du Security Hub, vous devez d'abord supprimer le compte d'administrateur délégué actuel, puis en désigner un nouveau.
Si vous utilisez la console Security Hub pour supprimer l'administrateur délégué dans une région, il est automatiquement supprimé dans toutes les régions.
Le Security Hub supprime API uniquement le compte administrateur délégué du Security Hub de la région dans laquelle l'APIappel ou la commande est émis. Vous devez répéter l'action dans les autres régions.
Si vous utilisez les Organizations API pour supprimer le compte administrateur délégué du Security Hub, celui-ci est automatiquement supprimé dans toutes les régions.
Suppression de l'administrateur délégué (OrganizationsAPI, AWS CLI)
Vous pouvez utiliser Organizations pour supprimer l'administrateur délégué du Security Hub dans toutes les régions.
Si vous utilisez la configuration centralisée pour gérer les comptes, la suppression du compte d'administrateur délégué entraîne la suppression de vos politiques de configuration et de vos associations de politiques. Les comptes membres conservent les configurations qu'ils avaient avant le changement ou la suppression de l'administrateur délégué. Toutefois, ces comptes ne peuvent plus être gérés par le compte d'administrateur délégué supprimé. Ils deviennent des comptes autogérés qui doivent être configurés séparément dans chaque région.
Choisissez votre méthode préférée et suivez les instructions pour supprimer le compte d'administrateur Security Hub délégué avec AWS Organizations.
Supprimer l'administrateur délégué (console Security Hub)
Vous pouvez utiliser la console Security Hub pour supprimer l'administrateur délégué du Security Hub dans toutes les régions.
Lorsque le compte d'administrateur délégué du Security Hub est supprimé, les comptes des membres sont dissociés du compte d'administrateur délégué du Security Hub supprimé.
Security Hub est toujours activé dans les comptes des membres. Ils deviennent des comptes autonomes jusqu'à ce qu'un nouvel administrateur du Security Hub les autorise en tant que comptes membres.
Si le compte de gestion de l'organisation n'est pas un compte activé dans Security Hub, utilisez l'option sur la page Bienvenue sur Security Hub.
Pour supprimer le compte administrateur délégué du Security Hub depuis la page Bienvenue sur Security Hub
Ouvrez la AWS Security Hub console à l'adresse https://console.aws.amazon.com/securityhub/
. -
Choisissez Go to Security Hub.
-
Sous Administrateur délégué, choisissez Supprimer.
Si le compte de gestion de l'organisation est un compte activé dans Security Hub, utilisez l'option de l'onglet Général de la page Paramètres.
Pour supprimer le compte administrateur délégué du Security Hub depuis la page Paramètres
Ouvrez la AWS Security Hub console à l'adresse https://console.aws.amazon.com/securityhub/
. -
Dans le volet de navigation du Security Hub, sélectionnez Settings. Choisissez ensuite Général.
-
Sous Administrateur délégué, choisissez Supprimer.
Suppression de l'administrateur délégué (Security HubAPI, AWS CLI)
Vous pouvez utiliser les opérations Security Hub API ou Security Hub pour AWS CLI supprimer l'administrateur délégué du Security Hub. Lorsque vous supprimez l'administrateur délégué à l'aide de l'une de ces méthodes, il n'est supprimé que dans la région où l'APIappel ou la commande a été émis. Security Hub ne met pas à jour les autres régions et ne supprime pas le compte d'administrateur délégué dans AWS Organizations.
Choisissez votre méthode préférée et suivez ces étapes pour supprimer le compte administrateur délégué de Security Hub auprès de Security Hub.
Désactivation de l'intégration de Security Hub avec AWS Organizations
Après l'intégration d'une AWS Organizations organisation AWS Security Hub, le compte de gestion des Organisations peut ensuite désactiver l'intégration. En tant qu'utilisateur du compte de gestion des Organizations, vous pouvez le faire en désactivant l'accès sécurisé pour Security Hub dans AWS Organizations.
Lorsque vous désactivez l'accès sécurisé pour Security Hub, les événements suivants se produisent :
-
Security Hub perd son statut de service de confiance en AWS Organizations.
-
Le compte d'administrateur délégué du Security Hub perd l'accès aux paramètres, aux données et aux ressources du Security Hub pour tous les comptes membres du Security Hub Régions AWS.
-
Si vous utilisiez la configuration centralisée, Security Hub cesse automatiquement de l'utiliser pour votre organisation. Vos politiques de configuration et vos associations de politiques sont supprimées. Les comptes conservent les configurations qu'ils avaient avant que vous ne désactiviez l'accès sécurisé.
-
Tous les comptes membres du Security Hub deviennent des comptes autonomes et conservent leurs paramètres actuels. Si Security Hub a été activé pour un compte membre dans une ou plusieurs régions, Security Hub continue d'être activé pour le compte dans ces régions. Les normes et contrôles activés restent également inchangés. Vous pouvez modifier ces paramètres séparément dans chaque compte et dans chaque région. Toutefois, le compte n'est plus associé à un administrateur délégué dans aucune région.
Pour plus d'informations sur les conséquences de la désactivation de l'accès aux services sécurisés, consultez la section Utilisation AWS Organizations avec d'autres personnes services AWS dans le Guide de l'AWS Organizations utilisateur.
Pour désactiver l'accès sécurisé, vous pouvez utiliser la AWS Organizations consoleAPI, Organizations ou le AWS CLI. Seul un utilisateur du compte de gestion des Organizations peut désactiver l'accès aux services sécurisés pour Security Hub. Pour plus de détails sur les autorisations dont vous avez besoin, consultez la section Autorisations requises pour désactiver l'accès sécurisé dans le Guide de AWS Organizations l'utilisateur.
Avant de désactiver l'accès sécurisé, nous vous recommandons de contacter l'administrateur délégué de votre organisation afin de désactiver Security Hub dans les comptes membres et de nettoyer les ressources du Security Hub dans ces comptes.
Choisissez votre méthode préférée et suivez les étapes pour désactiver l'accès sécurisé pour Security Hub.