Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Gestion du Security Hub CSPM pour plusieurs comptes avec AWS Organizations
<a name="securityhub-accounts-orgs"></a>

Vous pouvez intégrer AWS Security Hub CSPM à Security Hub CSPM AWS Organizations, puis le gérer pour les comptes de votre organisation.

Pour intégrer Security Hub CSPM à AWS Organizations, vous devez créer une organisation dans. AWS Organizations Le compte de gestion des Organizations désigne un compte en tant qu'administrateur délégué du Security Hub CSPM pour l'organisation. L'administrateur délégué peut ensuite activer le Security Hub CSPM pour les autres comptes de l'organisation, ajouter ces comptes en tant que comptes membres du Security Hub CSPM et effectuer les actions autorisées sur les comptes des membres. L'administrateur délégué du Security Hub CSPM peut activer et gérer le Security Hub CSPM pour un maximum de 10 000 comptes membres.

L'étendue des capacités de configuration de l'administrateur délégué dépend de l'utilisation ou non de [la configuration centralisée](central-configuration-intro.md). Lorsque la configuration centralisée est activée, vous n'avez pas besoin de configurer Security Hub CSPM séparément dans chaque compte membre et. Région AWS L'administrateur délégué peut appliquer les paramètres CSPM spécifiques du Security Hub à des comptes membres et à des unités organisationnelles (OUs) spécifiques dans toutes les régions.

Le compte administrateur délégué Security Hub CSPM peut effectuer les actions suivantes sur les comptes des membres :
+ Si vous utilisez la configuration centralisée, configurez le Security Hub CSPM de manière centralisée pour les comptes membres et OUs en créant des politiques de configuration du Security Hub CSPM. Les politiques de configuration peuvent être utilisées pour activer et désactiver Security Hub CSPM, activer et désactiver les normes, ainsi que pour activer et désactiver les contrôles.
+ Traitez automatiquement les *nouveaux* comptes comme des comptes membres du Security Hub CSPM lorsqu'ils rejoignent l'organisation. Si vous utilisez la configuration centralisée, une politique de configuration associée à une unité d'organisation inclut les comptes existants et nouveaux qui font partie de l'unité d'organisation.
+ Traitez *les comptes d'organisation existants* comme des comptes membres du Security Hub CSPM. Cela se produit automatiquement si vous utilisez la configuration centralisée.
+ Dissociez les comptes des membres appartenant à l'organisation. Si vous utilisez la configuration centralisée, vous ne pouvez dissocier un compte membre qu'après l'avoir désigné comme étant autogéré. Vous pouvez également associer une politique de configuration qui désactive Security Hub CSPM à des comptes membres spécifiques gérés de manière centralisée.

Si vous n'optez pas pour la configuration centralisée, votre organisation utilise le type de configuration par défaut appelé configuration locale. Dans le cadre de la configuration locale, la capacité de l'administrateur délégué à appliquer les paramètres aux comptes des membres est plus limitée. Pour de plus amples informations, veuillez consulter [Comprendre la configuration locale dans Security Hub CSPM](local-configuration.md).

Pour obtenir la liste complète des actions que l'administrateur délégué peut effectuer sur les comptes des membres, consultez[Actions autorisées par les comptes administrateur et membre dans Security Hub CSPM](securityhub-accounts-allowed-actions.md).

Les rubriques de cette section expliquent comment intégrer Security Hub CSPM à Security Hub CSPM AWS Organizations et comment gérer le Security Hub CSPM pour les comptes d'une organisation. Le cas échéant, chaque section identifie les avantages et les différences de gestion pour les utilisateurs de la configuration centralisée.

**Topics**
+ [Intégration de Security Hub CSPM à AWS Organizations](designate-orgs-admin-account.md)
+ [Activation automatique du Security Hub CSPM dans les nouveaux comptes d'entreprise](accounts-orgs-auto-enable.md)
+ [Activation manuelle du Security Hub CSPM dans les nouveaux comptes d'organisation](orgs-accounts-enable.md)
+ [Dissocier les comptes membres du Security Hub CSPM de votre organisation](accounts-orgs-disassociate.md)

# Intégration de Security Hub CSPM à AWS Organizations
<a name="designate-orgs-admin-account"></a>

Pour intégrer AWS Security Hub CSPM AWS Organizations, vous devez créer une organisation dans Organizations et utiliser le compte de gestion de l'organisation pour désigner un compte administrateur Security Hub CSPM délégué. Cela permet à Security Hub CSPM de devenir un service fiable dans les Organizations. Il active également Security Hub CSPM en cours Région AWS pour le compte administrateur délégué, et il permet à l'administrateur délégué d'activer Security Hub CSPM pour les comptes membres, de consulter les données des comptes membres et d'effectuer d'autres [actions autorisées](securityhub-accounts-allowed-actions.md) sur les comptes membres.

Si vous utilisez la [configuration centralisée](central-configuration-intro.md), l'administrateur délégué peut également créer des politiques de configuration Security Hub CSPM qui spécifient comment le service, les normes et les contrôles Security Hub CSPM doivent être configurés dans les comptes de l'organisation.

## Création d'une organisation
<a name="create-organization"></a>

Une organisation est une entité que vous créez pour consolider les vôtres Comptes AWS afin de pouvoir les administrer en tant qu'unité unique.

Vous pouvez créer une organisation à l'aide de la AWS Organizations console ou à l'aide d'une commande provenant du AWS CLI ou de l'un des kits SDK APIs. Pour obtenir des instructions détaillées, voir [Création d'une organisation](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_create.html) dans le *guide de AWS Organizations l'utilisateur*.

Vous pouvez l'utiliser AWS Organizations pour visualiser et gérer de manière centralisée tous les comptes de votre organisation. Une organisation possède un compte de gestion avec zéro ou plusieurs comptes membres. Vous pouvez organiser les comptes dans une structure hiérarchique arborescente avec une racine en haut et des unités organisationnelles (OUs) imbriquées sous la racine. Chaque compte peut être placé directement sous la racine ou dans l'un des comptes de la hiérarchie. OUs Une UO est un conteneur pour des comptes spécifiques. Par exemple, vous pouvez créer une unité d'organisation financière qui inclut tous les comptes liés aux opérations financières. 

## Recommandations pour le choix de l'administrateur délégué du Security Hub CSPM
<a name="designate-admin-recommendations"></a>

Si vous avez créé un compte administrateur à la suite du processus d'invitation manuel et que vous êtes en train de passer à la gestion des comptes avec AWS Organizations, nous vous recommandons de désigner ce compte en tant qu'administrateur délégué du Security Hub CSPM.

Bien que le Security Hub CSPM APIs et la console autorisent le compte de gestion de l'organisation à être l'administrateur délégué du Security Hub CSPM, nous vous recommandons de choisir deux comptes différents. Cela est dû au fait que les utilisateurs qui ont accès au compte de gestion de l'organisation pour gérer la facturation sont susceptibles d'être différents des utilisateurs qui ont besoin d'accéder au Security Hub CSPM pour la gestion de la sécurité.

Nous recommandons d'utiliser le même administrateur délégué dans toutes les régions. Si vous optez pour la configuration centralisée, Security Hub CSPM désigne automatiquement le même administrateur délégué dans votre région d'origine et dans toutes les régions associées.

## Vérifiez les autorisations pour configurer l'administrateur délégué
<a name="designate-admin-permissions"></a>

Pour désigner et supprimer un compte administrateur Security Hub CSPM délégué, le compte de gestion de l'organisation doit disposer des autorisations nécessaires pour les `DisableOrganizationAdminAccount` actions `EnableOrganizationAdminAccount` et dans Security Hub CSPM. Le compte de gestion Organizations doit également disposer d'autorisations administratives pour les Organizations.

Pour accorder toutes les autorisations requises, associez les politiques gérées par Security Hub CSPM suivantes au principal IAM du compte de gestion de l'organisation :
+ [https://docs.aws.amazon.com/securityhub/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-awssecurityhubfullaccess](https://docs.aws.amazon.com/securityhub/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-awssecurityhubfullaccess)
+ [https://docs.aws.amazon.com/securityhub/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-awssecurityhuborganizationsaccess](https://docs.aws.amazon.com/securityhub/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-awssecurityhuborganizationsaccess)

## Désignation de l'administrateur délégué
<a name="designate-admin-instructions"></a>

Pour désigner le compte administrateur Security Hub CSPM délégué, vous pouvez utiliser la console Security Hub CSPM, l'API Security Hub CSPM ou. AWS CLI Security Hub CSPM définit l'administrateur délégué Région AWS uniquement dans la version actuelle, et vous devez répéter l'action dans les autres régions. Si vous commencez à utiliser la configuration centralisée, Security Hub CSPM définit automatiquement le même administrateur délégué dans la région d'origine et dans les régions associées.

Il n'est pas nécessaire que le compte de gestion de l'organisation active Security Hub CSPM soit activé pour désigner le compte administrateur délégué du Security Hub CSPM.

Nous recommandons que le compte de gestion de l'organisation ne soit pas le compte administrateur délégué du Security Hub CSPM. Toutefois, si vous choisissez le compte de gestion de l'organisation comme administrateur délégué de Security Hub CSPM, Security Hub CSPM doit être activé sur le compte de gestion. Si Security Hub CSPM n'est pas activé sur le compte de gestion, vous devez activer Security Hub CSPM manuellement. Security Hub CSPM ne peut pas être activé automatiquement pour le compte de gestion de l'organisation.

Vous devez désigner l'administrateur délégué du Security Hub CSPM à l'aide de l'une des méthodes suivantes. La désignation de l'administrateur délégué du Security Hub CSPM par Organizations APIs ne se reflète pas dans Security Hub CSPM.

Choisissez votre méthode préférée et suivez les étapes pour désigner le compte administrateur délégué du Security Hub CSPM.

------
#### [ Security Hub CSPM console ]

**Pour désigner l'administrateur délégué lors de l'intégration**

1. Ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Choisissez **Go to Security Hub CSPM**. Vous êtes invité à vous connecter au compte de gestion de l'organisation.

1. Sur la page **Désigner un administrateur délégué**, dans la section **Compte d'administrateur délégué**, spécifiez le compte d'administrateur délégué. Nous vous recommandons de choisir le même administrateur délégué que celui que vous avez défini pour les autres services AWS de sécurité et de conformité.

1. Choisissez **Définir un administrateur délégué**. Vous êtes invité à vous connecter au compte d'administrateur délégué (si ce n'est pas déjà fait) pour poursuivre l'intégration grâce à la configuration centralisée. Si vous ne souhaitez pas démarrer la configuration centralisée, choisissez **Annuler**. Votre administrateur délégué est configuré, mais vous n'utilisez pas encore la configuration centralisée.

**Pour désigner l'administrateur délégué depuis la page **Paramètres****

1. Ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. **Dans le volet de navigation Security Hub CSPM, choisissez Settings.** Choisissez ensuite **Général**.

1. Si un compte administrateur Security Hub CSPM est actuellement attribué, vous devez supprimer le compte actuel avant de pouvoir désigner un nouveau compte.

   Sous **Administrateur délégué**, pour supprimer le compte actuel, choisissez **Supprimer**.

1. Entrez l'identifiant du compte que vous souhaitez désigner comme compte administrateur **Security Hub CSPM**.

   Vous devez désigner le même compte administrateur Security Hub CSPM dans toutes les régions. Si vous désignez un compte différent de celui désigné dans d'autres régions, la console renvoie un message d'erreur.

1. Choisisssez **Delegate** (Déléguer).

------
#### [ Security Hub CSPM API, AWS CLI ]

Depuis le compte de gestion de l'organisation, utilisez le [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_EnableOrganizationAdminAccount.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_EnableOrganizationAdminAccount.html)fonctionnement de l'API Security Hub CSPM. Si vous utilisez le AWS CLI, exécutez la [https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-organization-admin-account.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-organization-admin-account.html)commande. Indiquez l' Compte AWS ID de l'administrateur délégué du Security Hub CSPM.

L'exemple suivant désigne l'administrateur délégué du Security Hub CSPM. Cet exemple est formaté pour Linux, macOS ou Unix et utilise le caractère de continuation de ligne barre oblique inverse (\$1) pour améliorer la lisibilité.

```
$ aws securityhub enable-organization-admin-account --admin-account-id 123456789012
```

------

# Supprimer ou modifier l'administrateur délégué
<a name="remove-admin-overview"></a>

Seul le compte de gestion de l'organisation peut supprimer le compte administrateur délégué du Security Hub CSPM.

Pour modifier l'administrateur délégué du Security Hub CSPM, vous devez d'abord supprimer le compte administrateur délégué actuel, puis en désigner un nouveau.

**Avertissement**  
Lorsque vous utilisez la [configuration centralisée](central-configuration-intro.md), vous ne pouvez pas utiliser la console Security Hub CSPM ou le Security Hub CSPM APIs pour modifier ou supprimer le compte d'administrateur délégué. Si le compte de gestion de l'organisation utilise la AWS Organizations console ou AWS Organizations APIs pour modifier ou supprimer l'administrateur délégué de Security Hub CSPM, Security Hub CSPM arrête automatiquement la configuration centrale et supprime vos politiques de configuration et vos associations de politiques. Les comptes membres conservent les configurations qu'ils avaient avant le changement ou la suppression de l'administrateur délégué.

Si vous utilisez la console Security Hub CSPM pour supprimer l'administrateur délégué dans une région, il est automatiquement supprimé dans toutes les régions.

L'API Security Hub CSPM supprime uniquement le compte administrateur Security Hub CSPM délégué de la région dans laquelle l'appel ou la commande d'API est émis. Vous devez répéter l'action dans les autres régions.

Si vous utilisez l'API Organizations pour supprimer le compte administrateur délégué de Security Hub CSPM, celui-ci est automatiquement supprimé dans toutes les régions.

## Suppression de l'administrateur délégué (API Organizations, AWS CLI)
<a name="remove-admin-orgs"></a>

Vous pouvez utiliser Organizations pour supprimer l'administrateur délégué du Security Hub CSPM dans toutes les régions.

Si vous utilisez la configuration centralisée pour gérer les comptes, la suppression du compte d'administrateur délégué entraîne la suppression de vos politiques de configuration et de vos associations de politiques. Les comptes membres conservent les configurations qu'ils avaient avant le changement ou la suppression de l'administrateur délégué. Toutefois, ces comptes ne peuvent plus être gérés par le compte d'administrateur délégué supprimé. Ils deviennent des comptes autogérés qui doivent être configurés séparément dans chaque région.

Choisissez votre méthode préférée et suivez les instructions pour supprimer le compte administrateur délégué de Security Hub CSPM avec. AWS Organizations

------
#### [ Organizations API, AWS CLI ]

**Pour supprimer l'administrateur délégué du Security Hub CSPM**

Depuis le compte de gestion de l'organisation, utilisez le [https://docs.aws.amazon.com/organizations/latest/APIReference/API_DeregisterDelegatedAdministrator.html](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DeregisterDelegatedAdministrator.html)fonctionnement de l'API Organizations. Si vous utilisez le AWS CLI, exécutez la [deregister-delegated-administrator](https://docs.aws.amazon.com/cli/latest/reference/organizations/deregister-delegated-administrator.html)commande. Indiquez l'ID de compte de l'administrateur délégué et le principal de service pour Security Hub CSPM, à savoir. `securityhub.amazonaws.com`

L'exemple suivant supprime l'administrateur délégué du Security Hub CSPM. Cet exemple est formaté pour Linux, macOS ou Unix et utilise le caractère de continuation de ligne barre oblique inverse (\$1) pour améliorer la lisibilité.

```
$ aws organizations deregister-delegated-administrator --account-id 123456789012 --service-principal securityhub.amazonaws.com
```

------

## Suppression de l'administrateur délégué (console Security Hub CSPM)
<a name="remove-admin-console"></a>

Vous pouvez utiliser la console Security Hub CSPM pour supprimer l'administrateur CSPM délégué de Security Hub dans toutes les régions.

Lorsque le compte administrateur CSPM délégué du Security Hub est supprimé, les comptes des membres sont dissociés du compte administrateur délégué du Security Hub CSPM supprimé.

Security Hub CSPM est toujours activé dans les comptes des membres. Ils deviennent des comptes autonomes jusqu'à ce qu'un nouvel administrateur Security Hub CSPM les autorise en tant que comptes membres.

Si le compte de gestion de l'organisation n'est pas un compte activé dans Security Hub CSPM, utilisez l'option sur la page **Welcome to Security Hub CSPM**.

**Pour supprimer le compte administrateur CSPM délégué de Security Hub depuis la page **Welcome to Security Hub** CSPM**

1. Ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Choisissez **Go to Security Hub**.

1. Sous **Administrateur délégué**, choisissez **Supprimer**.

Si le compte de gestion de l'organisation est un compte activé dans **Security Hub**, utilisez l'option de l'onglet **Général** de la page **Paramètres**.

****Pour supprimer le compte administrateur CSPM délégué de Security Hub depuis la page Paramètres****

1. Ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. **Dans le volet de navigation Security Hub CSPM, choisissez Settings.** Choisissez ensuite **Général**.

1. Sous **Administrateur délégué**, choisissez **Supprimer**.

## Suppression de l'administrateur délégué (API Security Hub CSPM,) AWS CLI
<a name="remove-admin-api"></a>

Vous pouvez utiliser l'API Security Hub CSPM ou les opérations Security Hub CSPM pour supprimer l' AWS CLI administrateur CSPM délégué du Security Hub. Lorsque vous supprimez l'administrateur délégué à l'aide de l'une de ces méthodes, il n'est supprimé que dans la région où l'appel ou la commande d'API a été émis. Security Hub CSPM ne met pas à jour les autres régions et ne supprime pas le compte d'administrateur délégué dans. AWS Organizations

Choisissez votre méthode préférée et suivez ces étapes pour supprimer le compte administrateur délégué de Security Hub CSPM auprès de Security Hub CSPM.

------
#### [ Security Hub CSPM API, AWS CLI ]

**Pour supprimer l'administrateur délégué du Security Hub CSPM**

Depuis le compte de gestion de l'organisation, utilisez le [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisableOrganizationAdminAccount.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisableOrganizationAdminAccount.html)fonctionnement de l'API Security Hub CSPM. Si vous utilisez le AWS CLI, exécutez la [https://docs.aws.amazon.com/cli/latest/reference/securityhub/disable-organization-admin-account.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/disable-organization-admin-account.html)commande. Indiquez l'ID de compte de l'administrateur délégué du Security Hub CSPM.

L'exemple suivant supprime l'administrateur délégué du Security Hub CSPM. Cet exemple est formaté pour Linux, macOS ou Unix et utilise le caractère de continuation de ligne barre oblique inverse (\$1) pour améliorer la lisibilité.

```
$ aws securityhub disable-organization-admin-account --admin-account-id 123456789012
```

------

# Désactivation de l'intégration de Security Hub CSPM avec AWS Organizations
<a name="disable-orgs-integration"></a>

Une fois qu'une AWS Organizations organisation est intégrée à AWS Security Hub CSPM, le compte de gestion des Organizations peut ensuite désactiver l'intégration. En tant qu'utilisateur du compte de gestion des Organizations, vous pouvez le faire en désactivant l'accès sécurisé pour Security Hub CSPM dans. AWS Organizations

Lorsque vous désactivez l'accès sécurisé pour Security Hub CSPM, les événements suivants se produisent :
+ Security Hub CSPM perd son statut de service de confiance en. AWS Organizations
+ Le compte administrateur délégué du Security Hub CSPM perd l'accès aux paramètres, aux données et aux ressources du Security Hub CSPM pour tous les comptes membres du Security Hub CSPM. Régions AWS
+ Si vous utilisiez la [configuration centralisée](central-configuration-intro.md), Security Hub CSPM cesse automatiquement de l'utiliser pour votre organisation. Vos politiques de configuration et vos associations de politiques sont supprimées. Les comptes conservent les configurations qu'ils avaient avant que vous ne désactiviez l'accès sécurisé.
+ Tous les comptes membres du Security Hub CSPM deviennent des comptes autonomes et conservent leurs paramètres actuels. Si Security Hub CSPM a été activé pour un compte membre dans une ou plusieurs régions, le Security Hub CSPM continue d'être activé pour le compte dans ces régions. Les normes et contrôles activés restent également inchangés. Vous pouvez modifier ces paramètres séparément dans chaque compte et région. Toutefois, le compte n'est plus associé à un administrateur délégué dans aucune région.

Pour plus d'informations sur les conséquences de la désactivation de l'accès aux services sécurisés, consultez la section [Utilisation AWS Organizations avec d'autres](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html) personnes Services AWS dans le *Guide de l'AWS Organizations utilisateur*. 

Pour désactiver l'accès sécurisé, vous pouvez utiliser la AWS Organizations console, l'API Organizations ou le AWS CLI. Seul un utilisateur du compte de gestion des Organizations peut désactiver l'accès aux services sécurisés pour Security Hub CSPM. Pour plus de détails sur les autorisations dont vous avez besoin, consultez la section [Autorisations requises pour désactiver l'accès sécurisé](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html#orgs_trusted_access_disable_perms) dans le *Guide de AWS Organizations l'utilisateur*.

Avant de désactiver l'accès sécurisé, nous vous recommandons de contacter l'administrateur délégué de votre organisation afin de désactiver le Security Hub CSPM dans les comptes membres et de nettoyer les ressources Security Hub CSPM de ces comptes.

Choisissez votre méthode préférée et suivez les étapes pour désactiver l'accès sécurisé pour Security Hub CSPM.

------
#### [ Organizations console ]

**Pour désactiver l'accès sécurisé pour Security Hub CSPM**

1. Connectez-vous à l' AWS Management Console aide des informations d'identification du compte AWS Organizations de gestion.

1. Ouvrez la console Organizations à l'adresse [https://console.aws.amazon.com/organizations/](https://console.aws.amazon.com/organizations/).

1. Dans le panneau de navigation, choisissez **Services**.

1. Sous **Services intégrés**, choisissez **AWS Security Hub CSPM**.

1. Choisissez **Disable trusted access (Désactiver l'accès approuvé)**.

1. Confirmez que vous souhaitez désactiver l'accès sécurisé.

------
#### [ Organizations API ]

**Pour désactiver l'accès sécurisé pour Security Hub CSPM**

Invoquez [l'opération Disable AWSService Access](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html) de l' AWS Organizations API. Pour le `ServicePrincipal` paramètre, spécifiez le principal du service Security Hub CSPM ()`securityhub.amazonaws.com`.

------
#### [ AWS CLI ]

**Pour désactiver l'accès sécurisé pour Security Hub CSPM**

Exécutez la [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)commande de l' AWS Organizations API. Pour le `service-principal` paramètre, spécifiez le principal du service Security Hub CSPM ()`securityhub.amazonaws.com`.

**Exemple :**

```
aws organizations disable-aws-service-access --service-principal securityhub.amazonaws.com
```

------

# Activation automatique du Security Hub CSPM dans les nouveaux comptes d'entreprise
<a name="accounts-orgs-auto-enable"></a>

Lorsque de nouveaux comptes rejoignent votre organisation, ils sont ajoutés à la liste sur la page **Comptes** de la console AWS Security Hub CSPM. Pour les comptes de l’organisation, le **type** est **Par organisation**. Par défaut, les nouveaux comptes ne deviennent pas membres du Security Hub CSPM lorsqu'ils rejoignent l'organisation. Leur statut est **Non membre**. Le compte d'administrateur délégué peut automatiquement ajouter de nouveaux comptes en tant que membres et activer Security Hub CSPM sur ces comptes lorsqu'ils rejoignent l'organisation.

**Note**  
Bien que plusieurs d'entre Régions AWS elles soient actives par défaut pour votre région Compte AWS, vous devez activer certaines régions manuellement. Ces régions sont appelées « régions optionnelles » dans ce document. Pour activer automatiquement le Security Hub CSPM sur un nouveau compte dans une région optionnelle, cette région doit d'abord être activée sur le compte. Seul le titulaire du compte peut activer la région opt-in. Pour plus d'informations sur les régions optionnelles, voir [Spécifier celles que Régions AWS votre compte peut utiliser](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html).

Ce processus est différent selon que vous utilisez la configuration centrale (recommandée) ou la configuration locale.

## Activation automatique des nouveaux comptes d'entreprise (configuration centrale)
<a name="central-configuration-auto-enable"></a>

Si vous utilisez la [configuration centralisée](central-configuration-intro.md), vous pouvez activer automatiquement le Security Hub CSPM dans les comptes d'organisation nouveaux et existants en créant une politique de configuration dans laquelle le Security Hub CSPM est activé. Vous pouvez ensuite associer la politique à la racine de l'organisation ou à des unités organisationnelles spécifiques (OUs).

Si vous associez une politique de configuration dans laquelle Security Hub CSPM est activé à une unité d'organisation spécifique, Security Hub CSPM est automatiquement activé dans tous les comptes (existants et nouveaux) appartenant à cette unité d'organisation. Les nouveaux comptes qui n'appartiennent pas à l'unité d'organisation sont autogérés et le Security Hub CSPM n'est pas automatiquement activé. Si vous associez une politique de configuration dans laquelle Security Hub CSPM est activé à la racine, Security Hub CSPM est automatiquement activé dans tous les comptes (existants et nouveaux) qui rejoignent l'organisation. Les exceptions sont les cas où un compte utilise une politique différente par le biais d'une application ou d'un héritage, ou s'il est autogéré.

Dans votre politique de configuration, vous pouvez également définir les normes et contrôles de sécurité qui doivent être activés dans l'unité d'organisation. Pour générer des résultats de contrôle pour les normes activées, les comptes de l'unité d'organisation doivent être AWS Config activés et configurés pour enregistrer les ressources requises. Pour plus d'informations sur AWS Config l'enregistrement, voir [Activation et configuration AWS Config](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-prereq-config.html).

Pour obtenir des instructions sur la création d'une politique de configuration, consultez[Création et association de politiques de configuration](create-associate-policy.md).

## Activation automatique des nouveaux comptes d'organisation (configuration locale)
<a name="limited-configuration-auto-enable"></a>

Lorsque vous utilisez la configuration locale et que vous activez l'activation automatique des normes par défaut, Security Hub CSPM ajoute de *nouveaux* comptes d'organisation en tant que membres et active Security Hub CSPM dans ces comptes dans la région actuelle. Les autres régions ne sont pas touchées. En outre, l'activation automatique n'active pas le Security Hub CSPM dans les comptes d'organisation *existants*, sauf s'ils ont déjà été ajoutés en tant que comptes membres.

Une fois l'activation automatique activée, les normes de sécurité par défaut sont activées pour les nouveaux comptes membres de la région actuelle lorsqu'ils rejoignent l'organisation. Les normes par défaut sont AWS Foundational Security Best Practices (FSBP) et Center for Internet Security (CIS) AWS Foundations Benchmark v1.2.0. Vous ne pouvez pas modifier les normes par défaut. Si vous souhaitez activer d'autres normes au sein de votre organisation, ou activer des normes pour certains comptes OUs, nous vous recommandons d'utiliser une configuration centralisée.

Pour générer des résultats de contrôle pour les normes par défaut (et les autres normes activées), les comptes de votre organisation doivent avoir été AWS Config activés et configurés pour enregistrer les ressources requises. Pour plus d'informations sur AWS Config l'enregistrement, voir [Activation et configuration AWS Config](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-prereq-config.html).

Choisissez votre méthode préférée et suivez les étapes pour activer automatiquement le Security Hub CSPM dans les nouveaux comptes d'entreprise. Ces instructions s'appliquent uniquement si vous utilisez une configuration locale.

------
#### [ Security Hub CSPM console ]

**Pour activer automatiquement les nouveaux comptes d'organisation en tant que membres du Security Hub CSPM**

1. Ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Sign utilise les informations d'identification du compte d'administrateur délégué.

1. **Dans le volet de navigation Security Hub CSPM, sous **Paramètres**, sélectionnez Configuration.**

1. Dans la section **Comptes**, activez l'**activation automatique des comptes**.

------
#### [ Security Hub CSPM API ]

**Pour activer automatiquement les nouveaux comptes d'organisation en tant que membres du Security Hub CSPM**

Appelez l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html)API depuis le compte d'administrateur délégué. Définissez le `AutoEnable` champ sur `true` pour activer automatiquement le Security Hub CSPM dans les nouveaux comptes d'organisation.

------
#### [ AWS CLI ]

**Pour activer automatiquement les nouveaux comptes d'organisation en tant que membres du Security Hub CSPM**

Exécutez la [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html)commande depuis le compte administrateur délégué. Incluez le `auto-enable` paramètre permettant d'activer automatiquement Security Hub CSPM dans les nouveaux comptes d'organisation.

```
aws securityhub update-organization-configuration --auto-enable
```

------

# Activation manuelle du Security Hub CSPM dans les nouveaux comptes d'organisation
<a name="orgs-accounts-enable"></a>

Si vous n'activez pas automatiquement le Security Hub CSPM dans les nouveaux comptes d'organisation lorsqu'ils rejoignent l'organisation, vous pouvez ajouter ces comptes en tant que membres et y activer le Security Hub CSPM manuellement une fois qu'ils ont rejoint l'organisation. Vous devez également activer manuellement le Security Hub CSPM dans Comptes AWS le cas où vous vous êtes précédemment dissocié d'une organisation.

**Note**  
Cette section ne s'applique pas à vous si vous utilisez [la configuration centralisée](central-configuration-intro.md). Si vous utilisez la configuration centralisée, vous pouvez créer des politiques de configuration qui activent le Security Hub CSPM dans des comptes membres et des unités organisationnelles spécifiques ()OUs. Vous pouvez également activer des normes et des contrôles spécifiques dans ces comptes et OUs.

Vous ne pouvez pas activer Security Hub CSPM dans un compte s'il s'agit déjà d'un compte membre au sein d'une autre organisation.

Vous ne pouvez pas non plus activer Security Hub CSPM dans un compte actuellement suspendu. Si vous essayez d'activer le service sur un compte suspendu, le statut du compte passe à **Compte suspendu**.
+ Si Security Hub CSPM n'est pas activé sur le compte, Security Hub CSPM est activé sur ce compte. La norme AWS Foundational Security Best Practices (FSBP) et le CIS AWS Foundations Benchmark v1.2.0 sont également activés dans le compte, sauf si vous désactivez les normes de sécurité par défaut.

  L'exception à cette règle est le compte de gestion des Organizations. Security Hub CSPM ne peut pas être activé automatiquement dans le compte de gestion des Organizations. Vous devez activer manuellement Security Hub CSPM dans le compte de gestion des Organizations avant de pouvoir l'ajouter en tant que compte membre.
+ Si Security Hub CSPM est déjà activé sur le compte, Security Hub CSPM n'apporte aucune autre modification au compte. Cela permet uniquement l'adhésion.

Pour que Security Hub CSPM puisse générer des résultats de contrôle, les comptes membres doivent être AWS Config activés et configurés pour enregistrer les ressources requises. Pour plus d'informations, consultez [Activation et configuration de AWS Config](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-prereq-config.html).

Choisissez votre méthode préférée et suivez les étapes pour activer un compte d'organisation en tant que compte membre du Security Hub CSPM.

------
#### [ Security Hub CSPM console ]

**Pour activer manuellement les comptes d'organisation en tant que membres du Security Hub CSPM**

1. Ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Connectez-vous à l'aide des informations d'identification du compte d'administrateur délégué.

1. **Dans le volet de navigation Security Hub CSPM, sous **Paramètres**, sélectionnez Configuration.**

1. Dans la liste des **comptes**, sélectionnez chaque compte d'organisation que vous souhaitez activer.

1. Choisissez **Actions**, puis **Add member (Ajouter un membre)**.

------
#### [ Security Hub CSPM API ]

**Pour activer manuellement les comptes d'organisation en tant que membres du Security Hub CSPM**

Appelez l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateMembers.html)API depuis le compte d'administrateur délégué. Pour chaque compte à activer, indiquez l'identifiant du compte.

Contrairement au processus d'invitation manuel, lorsque vous appelez `CreateMembers` pour activer un compte d'organisation, vous n'avez pas besoin d'envoyer d'invitation.

------
#### [ AWS CLI ]

**Pour activer manuellement les comptes d'organisation en tant que membres du Security Hub CSPM**

Exécutez la [https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-members.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-members.html)commande depuis le compte administrateur délégué. Pour chaque compte à activer, indiquez l'identifiant du compte.

Contrairement au processus d'invitation manuel, lorsque vous lancez un appel `create-members` pour activer un compte d'organisation, vous n'avez pas besoin d'envoyer d'invitation.

```
aws securityhub create-members --account-details '[{"AccountId": "<accountId>"}]'
```

**Exemple**

```
aws securityhub create-members --account-details '[{"AccountId": "123456789111"}, {"AccountId": "123456789222"}]'
```

------

# Dissocier les comptes membres du Security Hub CSPM de votre organisation
<a name="accounts-orgs-disassociate"></a>

Pour arrêter de recevoir et de consulter les résultats d'un compte membre du AWS Security Hub CSPM, vous pouvez dissocier le compte membre de votre organisation.

**Note**  
Si vous utilisez la [configuration centralisée, la](central-configuration-intro.md) dissociation fonctionne différemment. Vous pouvez créer une politique de configuration qui désactive Security Hub CSPM dans un ou plusieurs comptes membres gérés de manière centralisée. Par la suite, ces comptes font toujours partie de l'organisation, mais ne généreront pas les résultats du Security Hub CSPM. Si vous utilisez la configuration centralisée mais que vous avez également des comptes de membres invités manuellement, vous pouvez dissocier un ou plusieurs comptes invités manuellement.

Les comptes membres gérés via ne AWS Organizations peuvent pas dissocier leurs comptes du compte administrateur. Seul le compte administrateur peut dissocier un compte membre.

La dissociation d'un compte membre ne ferme pas le compte. Il supprime plutôt le compte membre de l'organisation. Le compte de membre dissocié devient un compte autonome Compte AWS qui n'est plus géré par l'intégration de Security Hub CSPM avec. AWS Organizations

Choisissez votre méthode préférée et suivez les étapes pour dissocier un compte membre de l'organisation.

------
#### [ Security Hub CSPM console ]

**Pour dissocier un compte membre de l'organisation**

1. Ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Connectez-vous à l'aide des informations d'identification du compte d'administrateur délégué.

1. Dans le volet de navigation, sous **Paramètres**, sélectionnez **Configuration**.

1. Dans la section **Comptes**, sélectionnez les comptes que vous souhaitez dissocier. Si vous utilisez la configuration centrale, vous pouvez sélectionner un compte invité manuellement à dissocier de l'onglet. `Invitation accounts` Cet onglet n'est visible que si vous utilisez la configuration centralisée.

1. Choisissez **Actions**, puis **Dissocier le compte**.

------
#### [ Security Hub CSPM API ]

**Pour dissocier un compte membre de l'organisation**

Appelez l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisassociateMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisassociateMembers.html)API depuis le compte d'administrateur délégué. Vous devez indiquer les comptes Compte AWS IDs des membres à dissocier. Pour consulter la liste des comptes des membres, appelez l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListMembers.html)API.

------
#### [ AWS CLI ]

**Pour dissocier un compte membre de l'organisation**

Exécutez la `disassociate-members` commande [>](https://docs.aws.amazon.com/cli/latest/reference/securityhub/disassociate-members.html) depuis le compte administrateur délégué. Vous devez indiquer les comptes Compte AWS IDs des membres à dissocier. Pour afficher la liste des comptes des membres, exécutez la `list-members` commande [>](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-members.html).

```
aws securityhub disassociate-members --account-ids "<accountIds>"
```

**Exemple**

```
aws securityhub disassociate-members --account-ids "123456789111" "123456789222"
```

------

 Vous pouvez également utiliser la AWS Organizations console ou AWS SDKs dissocier un compte membre de votre organisation. AWS CLI Pour plus d'informations, consultez la section [Suppression d'un compte membre de votre organisation](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_remove.html) dans le *Guide de AWS Organizations l'utilisateur*.