Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Gestion des comptes d'administrateur et de membre dans Security Hub
Si votre AWS environnement comporte plusieurs comptes, vous pouvez traiter les comptes qui utilisent AWS Security Hub comme des comptes membres et les associer à un seul compte administrateur. L'administrateur peut surveiller votre niveau de sécurité global et effectuer les actions autorisées sur les comptes des membres. L'administrateur peut également effectuer diverses tâches de gestion et d'administration des comptes à grande échelle, telles que le suivi des coûts d'utilisation estimés et l'évaluation des quotas de compte.
Vous pouvez associer des comptes membres à un administrateur de deux manières : en intégrant Security Hub à Security Hub AWS Organizations ou en envoyant et en acceptant manuellement des invitations d'adhésion dans Security Hub.
Gérer des comptes avec AWS Organizations
AWS Organizations est un service de gestion de comptes global qui permet AWS aux administrateurs de consolider et de gérer plusieurs comptes Comptes AWS. Il fournit des fonctionnalités de gestion des comptes et de facturation consolidée conçues pour répondre aux besoins budgétaires, de sécurité et de conformité. Il est proposé sans frais supplémentaires et s'intègre à plusieurs applications Services AWS, notamment AWS Security Hub, Amazon Macie et Amazon. GuardDuty Pour plus d’informations, consultez le Guide de l’utilisateur AWS Organizations .
Lorsque vous intégrez Security Hub et que AWS Organizations le compte de gestion Organizations désigne un administrateur délégué de Security Hub. Security Hub est automatiquement activé dans le compte d'administrateur délégué Région AWS dans lequel il a été désigné.
Après avoir désigné un administrateur délégué, nous vous recommandons de gérer les comptes dans Security Hub à l'aide d'une configuration centralisée. C'est le moyen le plus efficace de personnaliser Security Hub et de garantir une couverture de sécurité adéquate pour votre entreprise.
La configuration centralisée permet à l'administrateur délégué de personnaliser Security Hub sur plusieurs comptes d'entreprise et régions plutôt que de le configurer région par région. Vous pouvez créer une politique de configuration pour l'ensemble de votre organisation ou créer différentes politiques de configuration pour différents comptes etOUs. Les politiques précisent si Security Hub est activé ou désactivé dans les comptes associés et quelles normes et contrôles de sécurité sont activés.
L'administrateur délégué peut désigner des comptes comme étant gérés de manière centralisée ou autogérés. Les comptes gérés de manière centralisée sont configurables uniquement par l'administrateur délégué. Les comptes autogérés peuvent définir leurs propres paramètres.
Si vous n'optez pas pour la configuration centralisée, l'administrateur délégué dispose d'une capacité plus limitée pour configurer Security Hub, appelée configuration locale. Dans le cadre de la configuration locale, l'administrateur délégué peut automatiquement activer Security Hub et les normes de sécurité par défaut dans les nouveaux comptes d'organisation de la région actuelle. Toutefois, les comptes existants n'utilisent pas ces paramètres, de sorte qu'une modification de la configuration peut se produire une fois qu'un compte a rejoint l'organisation.
Outre ces nouveaux paramètres de compte, la configuration locale est spécifique au compte et à la région. Chaque compte d'organisation doit configurer le service, les normes et les contrôles Security Hub séparément dans chaque région. La configuration locale ne prend pas non plus en charge l'utilisation de politiques de configuration.
Gestion manuelle des comptes sur invitation
Vous devez gérer manuellement les comptes des membres sur invitation dans Security Hub si vous possédez un compte autonome ou si vous n'intégrez pas Organizations. Un compte autonome ne peut pas s'intégrer à Organizations, il est donc nécessaire de le gérer manuellement. Nous vous recommandons d'intégrer AWS Organizations et d'utiliser la configuration centralisée si vous ajoutez des comptes supplémentaires à l'avenir.
Lorsque vous utilisez la gestion manuelle des comptes, vous désignez un compte comme administrateur du Security Hub. Le compte administrateur peut consulter les données des comptes des membres et prendre certaines mesures en fonction des résultats des comptes des membres. L'administrateur du Security Hub invite d'autres comptes à devenir membres, et la relation administrateur-membre est établie lorsqu'un compte de membre potentiel accepte l'invitation.
La gestion manuelle des comptes ne prend pas en charge l'utilisation de politiques de configuration. Sans règles de configuration, l'administrateur ne peut pas personnaliser Security Hub de manière centralisée en configurant des paramètres variables pour différents comptes. Au lieu de cela, chaque compte d'organisation doit activer et configurer Security Hub séparément dans chaque région. Il peut donc être plus difficile et fastidieux de garantir une couverture de sécurité adéquate pour tous les comptes et régions dans lesquels vous utilisez Security Hub. Cela peut également entraîner une dérive de la configuration, car les comptes membres peuvent définir leurs propres paramètres sans intervention de l'administrateur.
Pour gérer les comptes sur invitation, consultezGestion des comptes sur invitation dans Security Hub.