Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Gestion des comptes d'administrateur et de membre dans Security Hub CSPM
<a name="securityhub-accounts"></a>

Si votre AWS environnement comporte plusieurs comptes, vous pouvez traiter les comptes qui utilisent AWS Security Hub CSPM comme des comptes membres et les associer à un seul compte administrateur. L'administrateur peut surveiller votre niveau de sécurité global et effectuer les [actions autorisées sur les](securityhub-accounts-allowed-actions.md) comptes des membres. L'administrateur peut également effectuer diverses tâches de gestion et d'administration des comptes à grande échelle, telles que le suivi des coûts d'utilisation estimés et l'évaluation des quotas de compte.

Vous pouvez associer des comptes membres à un administrateur de deux manières : en intégrant Security Hub CSPM à Security Hub CSPM AWS Organizations ou en envoyant et en acceptant manuellement des invitations d'adhésion dans Security Hub CSPM.

## Gérer des comptes avec AWS Organizations
<a name="securityhub-orgs-account-management-overview"></a>

AWS Organizations est un service de gestion de comptes global qui permet AWS aux administrateurs de consolider et de gérer plusieurs comptes Comptes AWS. Il fournit des fonctionnalités de gestion des comptes et de facturation consolidée conçues pour répondre aux besoins budgétaires, de sécurité et de conformité. Il est proposé sans frais supplémentaires et s'intègre à plusieurs applications Services AWS, notamment AWS Security Hub CSPM, Amazon Macie et Amazon. GuardDuty Pour plus d’informations, consultez le [Guide de l’utilisateur *AWS Organizations *](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html).

Lorsque vous intégrez Security Hub CSPM et AWS Organizations, le compte de gestion Organizations désigne un administrateur délégué du Security Hub CSPM. Security Hub CSPM est automatiquement activé dans le compte d'administrateur délégué Région AWS dans lequel il a été désigné.

[Après avoir désigné un administrateur délégué, nous vous recommandons de gérer les comptes dans Security Hub CSPM avec une configuration centralisée.](central-configuration-intro.md) C'est le moyen le plus efficace de personnaliser Security Hub CSPM et de garantir une couverture de sécurité adéquate pour votre organisation.

La configuration centralisée permet à l'administrateur délégué de personnaliser Security Hub CSPM sur plusieurs comptes et régions d'entreprise plutôt que de le configurer. Region-by-Region Vous pouvez créer une politique de configuration pour l'ensemble de votre organisation ou créer différentes politiques de configuration pour différents comptes et OUs. Les politiques précisent si Security Hub CSPM est activé ou désactivé dans les comptes associés et quelles normes et contrôles de sécurité sont activés.

L'administrateur délégué peut désigner des comptes comme étant gérés de manière centralisée ou autogérés. Les comptes gérés de manière centralisée sont configurables uniquement par l'administrateur délégué. Les comptes autogérés peuvent définir leurs propres paramètres.

Si vous n'optez pas pour la configuration centralisée, l'administrateur délégué dispose d'une capacité plus limitée pour configurer le Security Hub CSPM, appelée configuration *locale*. Dans le cadre de la configuration locale, l'administrateur délégué peut automatiquement activer le Security Hub CSPM et les [normes de sécurité par défaut dans les](securityhub-auto-enabled-standards.md) nouveaux comptes d'organisation de la région actuelle. Toutefois, les comptes existants n'utilisent pas ces paramètres, de sorte qu'une modification de la configuration peut se produire une fois qu'un compte a rejoint l'organisation.

Outre ces nouveaux paramètres de compte, la configuration locale est spécifique au compte et à la région. Chaque compte d'organisation doit configurer le service, les normes et les contrôles Security Hub CSPM séparément dans chaque région. La configuration locale ne prend pas non plus en charge l'utilisation de politiques de configuration.

## Gestion manuelle des comptes sur invitation
<a name="securityhub-manual-account-management-overview"></a>

Vous devez gérer manuellement les comptes des membres sur invitation dans Security Hub CSPM si vous avez un compte autonome ou si vous ne l'intégrez pas à Organizations. Un compte autonome ne peut pas s'intégrer à Organizations. Il est donc nécessaire de le gérer manuellement. Nous vous recommandons d'intégrer AWS Organizations et d'utiliser la configuration centralisée si vous ajoutez des comptes supplémentaires à l'avenir.

Lorsque vous utilisez la gestion manuelle des comptes, vous désignez un compte comme administrateur du Security Hub CSPM. Le compte administrateur peut consulter les données des comptes des membres et prendre certaines mesures en fonction des résultats des comptes des membres. L'administrateur du Security Hub CSPM invite d'autres comptes à devenir membres, et la relation administrateur-membre est établie lorsqu'un compte membre potentiel accepte l'invitation.

La gestion manuelle des comptes ne prend pas en charge l'utilisation de politiques de configuration. Sans politiques de configuration, l'administrateur ne peut pas personnaliser Security Hub CSPM de manière centralisée en configurant des paramètres variables pour différents comptes. Au lieu de cela, chaque compte d'organisation doit activer et configurer Security Hub CSPM séparément dans chaque région. Il peut donc être plus difficile et fastidieux de garantir une couverture de sécurité adéquate pour tous les comptes et régions dans lesquels vous utilisez Security Hub CSPM. Cela peut également entraîner une dérive de la configuration, car les comptes membres peuvent définir leurs propres paramètres sans intervention de l'administrateur.

Pour gérer les comptes sur invitation, consultez[Gestion des comptes sur invitation dans Security Hub CSPM](account-management-manual.md).

# Recommandations pour la gestion de plusieurs comptes dans Security Hub CSPM
<a name="securityhub-account-restrictions-recommendations"></a>

La section suivante résume certaines restrictions et recommandations à prendre en compte lors de la gestion des comptes de membres dans AWS Security Hub CSPM.

## Nombre maximal de comptes membres
<a name="admin-maximum-member-accounts"></a>

Si vous utilisez l'intégration avec AWS Organizations, Security Hub CSPM prend en charge jusqu'à 10 000 comptes membres par compte d'administrateur délégué dans chacun d'eux. Région AWS Si vous activez et gérez Security Hub CSPM manuellement, Security Hub CSPM prend en charge jusqu'à 1 000 invitations de compte de membre par compte administrateur dans chaque région.

## Création de relations administrateur-membre
<a name="securityhub-accounts-regions"></a>

**Note**  
Si vous utilisez l'intégration CSPM de Security Hub et que vous n'avez invité aucun compte membre manuellement, cette section ne s'applique pas à vous. AWS Organizations

Un compte ne peut pas être à la fois un compte administrateur et un compte membre.

Un compte membre ne peut être associé qu'à un seul compte administrateur. Si un compte d'organisation est activé par le compte administrateur du Security Hub CSPM, le compte ne peut pas accepter d'invitation provenant d'un autre compte. Si un compte a déjà accepté une invitation, le compte ne peut pas être activé par le compte administrateur Security Hub CSPM de l'organisation. Il ne peut pas non plus recevoir d'invitations provenant d'autres comptes.

Pour le processus d'invitation manuel, l'acceptation d'une invitation d'adhésion est facultative.

### Adhésion via AWS Organizations
<a name="accounts-regions-orgs"></a>

Si vous intégrez Security Hub CSPM à Security Hub AWS Organizations, le compte de gestion Organizations peut désigner un compte d'administrateur délégué (DA) pour Security Hub CSPM. Le compte de gestion de l'organisation ne peut pas être défini en tant que DA dans Organizations. Bien que cela soit autorisé dans Security Hub CSPM, nous recommandons que le compte de gestion des Organizations *ne soit pas* le DA.

Nous vous recommandons de choisir le même compte DA dans toutes les régions. Si vous utilisez la [configuration centralisée](central-configuration-intro.md), Security Hub CSPM définit le même compte DA dans toutes les régions dans lesquelles vous configurez Security Hub CSPM pour votre organisation.

Nous vous recommandons également de choisir le même compte DA pour tous les services AWS de sécurité et de conformité afin de vous aider à gérer les problèmes liés à la sécurité de manière centralisée.

### Adhésion sur invitation
<a name="accounts-regions-invitation"></a>

Pour les comptes membres créés sur invitation, l'association administrateur-compte membre est créée uniquement dans la région d'où l'invitation est envoyée. Le compte administrateur doit activer le Security Hub CSPM dans chaque région dans laquelle vous souhaitez l'utiliser. Le compte administrateur invite ensuite chaque compte à devenir un compte membre dans cette région.

**Note**  
Nous vous recommandons d'utiliser des invitations CSPM à la AWS Organizations place du Security Hub pour gérer vos comptes de membres.

## Coordination des comptes d'administrateur entre les services
<a name="securityhub-coordinate-admins"></a>

Security Hub CSPM regroupe les résultats de différents AWS services, tels qu'Amazon, Amazon GuardDuty Inspector et Amazon Macie. Security Hub CSPM permet également aux utilisateurs de passer d'une GuardDuty découverte à une enquête dans Amazon Detective.

Toutefois, les relations administrateur-membre que vous configurez dans ces autres services ne s'appliquent pas automatiquement à Security Hub CSPM. Security Hub CSPM vous recommande d'utiliser le même compte que le compte administrateur pour tous ces services. Ce compte administrateur doit être un compte responsable des outils de sécurité. Le même compte doit également être le compte agrégateur pour AWS Config.

Par exemple, un utilisateur du compte GuardDuty administrateur A peut consulter les résultats relatifs aux comptes de GuardDuty membres B et C sur la GuardDuty console. Si le compte A active alors Security Hub CSPM, les utilisateurs du compte A ne voient *pas* automatiquement les GuardDuty résultats des comptes B et C dans Security Hub CSPM. Une relation administrateur-membre du Security Hub CSPM est également requise pour ces comptes.

Pour ce faire, définissez le compte A comme compte administrateur du Security Hub CSPM et activez les comptes B et C pour qu'ils deviennent des comptes membres du Security Hub CSPM.

# Gestion du Security Hub CSPM pour plusieurs comptes avec AWS Organizations
<a name="securityhub-accounts-orgs"></a>

Vous pouvez intégrer AWS Security Hub CSPM à Security Hub CSPM AWS Organizations, puis le gérer pour les comptes de votre organisation.

Pour intégrer Security Hub CSPM à AWS Organizations, vous devez créer une organisation dans. AWS Organizations Le compte de gestion des Organizations désigne un compte en tant qu'administrateur délégué du Security Hub CSPM pour l'organisation. L'administrateur délégué peut ensuite activer le Security Hub CSPM pour les autres comptes de l'organisation, ajouter ces comptes en tant que comptes membres du Security Hub CSPM et effectuer les actions autorisées sur les comptes des membres. L'administrateur délégué du Security Hub CSPM peut activer et gérer le Security Hub CSPM pour un maximum de 10 000 comptes membres.

L'étendue des capacités de configuration de l'administrateur délégué dépend de l'utilisation ou non de [la configuration centralisée](central-configuration-intro.md). Lorsque la configuration centralisée est activée, vous n'avez pas besoin de configurer Security Hub CSPM séparément dans chaque compte membre et. Région AWS L'administrateur délégué peut appliquer les paramètres CSPM spécifiques du Security Hub à des comptes membres et à des unités organisationnelles (OUs) spécifiques dans toutes les régions.

Le compte administrateur délégué Security Hub CSPM peut effectuer les actions suivantes sur les comptes des membres :
+ Si vous utilisez la configuration centralisée, configurez le Security Hub CSPM de manière centralisée pour les comptes membres et OUs en créant des politiques de configuration du Security Hub CSPM. Les politiques de configuration peuvent être utilisées pour activer et désactiver Security Hub CSPM, activer et désactiver les normes, ainsi que pour activer et désactiver les contrôles.
+ Traitez automatiquement les *nouveaux* comptes comme des comptes membres du Security Hub CSPM lorsqu'ils rejoignent l'organisation. Si vous utilisez la configuration centralisée, une politique de configuration associée à une unité d'organisation inclut les comptes existants et nouveaux qui font partie de l'unité d'organisation.
+ Traitez *les comptes d'organisation existants* comme des comptes membres du Security Hub CSPM. Cela se produit automatiquement si vous utilisez la configuration centralisée.
+ Dissociez les comptes des membres appartenant à l'organisation. Si vous utilisez la configuration centralisée, vous ne pouvez dissocier un compte membre qu'après l'avoir désigné comme étant autogéré. Vous pouvez également associer une politique de configuration qui désactive Security Hub CSPM à des comptes membres spécifiques gérés de manière centralisée.

Si vous n'optez pas pour la configuration centralisée, votre organisation utilise le type de configuration par défaut appelé configuration locale. Dans le cadre de la configuration locale, la capacité de l'administrateur délégué à appliquer les paramètres aux comptes des membres est plus limitée. Pour de plus amples informations, veuillez consulter [Comprendre la configuration locale dans Security Hub CSPM](local-configuration.md).

Pour obtenir la liste complète des actions que l'administrateur délégué peut effectuer sur les comptes des membres, consultez[Actions autorisées par les comptes administrateur et membre dans Security Hub CSPM](securityhub-accounts-allowed-actions.md).

Les rubriques de cette section expliquent comment intégrer Security Hub CSPM à Security Hub CSPM AWS Organizations et comment gérer le Security Hub CSPM pour les comptes d'une organisation. Le cas échéant, chaque section identifie les avantages et les différences de gestion pour les utilisateurs de la configuration centralisée.

**Topics**
+ [Intégration de Security Hub CSPM à AWS Organizations](designate-orgs-admin-account.md)
+ [Activation automatique du Security Hub CSPM dans les nouveaux comptes d'entreprise](accounts-orgs-auto-enable.md)
+ [Activation manuelle du Security Hub CSPM dans les nouveaux comptes d'organisation](orgs-accounts-enable.md)
+ [Dissocier les comptes membres du Security Hub CSPM de votre organisation](accounts-orgs-disassociate.md)

# Intégration de Security Hub CSPM à AWS Organizations
<a name="designate-orgs-admin-account"></a>

Pour intégrer AWS Security Hub CSPM AWS Organizations, vous devez créer une organisation dans Organizations et utiliser le compte de gestion de l'organisation pour désigner un compte administrateur Security Hub CSPM délégué. Cela permet à Security Hub CSPM de devenir un service fiable dans les Organizations. Il active également Security Hub CSPM en cours Région AWS pour le compte administrateur délégué, et il permet à l'administrateur délégué d'activer Security Hub CSPM pour les comptes membres, de consulter les données des comptes membres et d'effectuer d'autres [actions autorisées](securityhub-accounts-allowed-actions.md) sur les comptes membres.

Si vous utilisez la [configuration centralisée](central-configuration-intro.md), l'administrateur délégué peut également créer des politiques de configuration Security Hub CSPM qui spécifient comment le service, les normes et les contrôles Security Hub CSPM doivent être configurés dans les comptes de l'organisation.

## Création d'une organisation
<a name="create-organization"></a>

Une organisation est une entité que vous créez pour consolider les vôtres Comptes AWS afin de pouvoir les administrer en tant qu'unité unique.

Vous pouvez créer une organisation à l'aide de la AWS Organizations console ou à l'aide d'une commande provenant du AWS CLI ou de l'un des kits SDK APIs. Pour obtenir des instructions détaillées, voir [Création d'une organisation](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_create.html) dans le *guide de AWS Organizations l'utilisateur*.

Vous pouvez l'utiliser AWS Organizations pour visualiser et gérer de manière centralisée tous les comptes de votre organisation. Une organisation possède un compte de gestion avec zéro ou plusieurs comptes membres. Vous pouvez organiser les comptes dans une structure hiérarchique arborescente avec une racine en haut et des unités organisationnelles (OUs) imbriquées sous la racine. Chaque compte peut être placé directement sous la racine ou dans l'un des comptes de la hiérarchie. OUs Une UO est un conteneur pour des comptes spécifiques. Par exemple, vous pouvez créer une unité d'organisation financière qui inclut tous les comptes liés aux opérations financières. 

## Recommandations pour le choix de l'administrateur délégué du Security Hub CSPM
<a name="designate-admin-recommendations"></a>

Si vous avez créé un compte administrateur à la suite du processus d'invitation manuel et que vous êtes en train de passer à la gestion des comptes avec AWS Organizations, nous vous recommandons de désigner ce compte en tant qu'administrateur délégué du Security Hub CSPM.

Bien que le Security Hub CSPM APIs et la console autorisent le compte de gestion de l'organisation à être l'administrateur délégué du Security Hub CSPM, nous vous recommandons de choisir deux comptes différents. Cela est dû au fait que les utilisateurs qui ont accès au compte de gestion de l'organisation pour gérer la facturation sont susceptibles d'être différents des utilisateurs qui ont besoin d'accéder au Security Hub CSPM pour la gestion de la sécurité.

Nous recommandons d'utiliser le même administrateur délégué dans toutes les régions. Si vous optez pour la configuration centralisée, Security Hub CSPM désigne automatiquement le même administrateur délégué dans votre région d'origine et dans toutes les régions associées.

## Vérifiez les autorisations pour configurer l'administrateur délégué
<a name="designate-admin-permissions"></a>

Pour désigner et supprimer un compte administrateur Security Hub CSPM délégué, le compte de gestion de l'organisation doit disposer des autorisations nécessaires pour les `DisableOrganizationAdminAccount` actions `EnableOrganizationAdminAccount` et dans Security Hub CSPM. Le compte de gestion Organizations doit également disposer d'autorisations administratives pour les Organizations.

Pour accorder toutes les autorisations requises, associez les politiques gérées par Security Hub CSPM suivantes au principal IAM du compte de gestion de l'organisation :
+ [https://docs.aws.amazon.com/securityhub/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-awssecurityhubfullaccess](https://docs.aws.amazon.com/securityhub/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-awssecurityhubfullaccess)
+ [https://docs.aws.amazon.com/securityhub/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-awssecurityhuborganizationsaccess](https://docs.aws.amazon.com/securityhub/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-awssecurityhuborganizationsaccess)

## Désignation de l'administrateur délégué
<a name="designate-admin-instructions"></a>

Pour désigner le compte administrateur Security Hub CSPM délégué, vous pouvez utiliser la console Security Hub CSPM, l'API Security Hub CSPM ou. AWS CLI Security Hub CSPM définit l'administrateur délégué Région AWS uniquement dans la version actuelle, et vous devez répéter l'action dans les autres régions. Si vous commencez à utiliser la configuration centralisée, Security Hub CSPM définit automatiquement le même administrateur délégué dans la région d'origine et dans les régions associées.

Il n'est pas nécessaire que le compte de gestion de l'organisation active Security Hub CSPM soit activé pour désigner le compte administrateur délégué du Security Hub CSPM.

Nous recommandons que le compte de gestion de l'organisation ne soit pas le compte administrateur délégué du Security Hub CSPM. Toutefois, si vous choisissez le compte de gestion de l'organisation comme administrateur délégué de Security Hub CSPM, Security Hub CSPM doit être activé sur le compte de gestion. Si Security Hub CSPM n'est pas activé sur le compte de gestion, vous devez activer Security Hub CSPM manuellement. Security Hub CSPM ne peut pas être activé automatiquement pour le compte de gestion de l'organisation.

Vous devez désigner l'administrateur délégué du Security Hub CSPM à l'aide de l'une des méthodes suivantes. La désignation de l'administrateur délégué du Security Hub CSPM par Organizations APIs ne se reflète pas dans Security Hub CSPM.

Choisissez votre méthode préférée et suivez les étapes pour désigner le compte administrateur délégué du Security Hub CSPM.

------
#### [ Security Hub CSPM console ]

**Pour désigner l'administrateur délégué lors de l'intégration**

1. Ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Choisissez **Go to Security Hub CSPM**. Vous êtes invité à vous connecter au compte de gestion de l'organisation.

1. Sur la page **Désigner un administrateur délégué**, dans la section **Compte d'administrateur délégué**, spécifiez le compte d'administrateur délégué. Nous vous recommandons de choisir le même administrateur délégué que celui que vous avez défini pour les autres services AWS de sécurité et de conformité.

1. Choisissez **Définir un administrateur délégué**. Vous êtes invité à vous connecter au compte d'administrateur délégué (si ce n'est pas déjà fait) pour poursuivre l'intégration grâce à la configuration centralisée. Si vous ne souhaitez pas démarrer la configuration centralisée, choisissez **Annuler**. Votre administrateur délégué est configuré, mais vous n'utilisez pas encore la configuration centralisée.

**Pour désigner l'administrateur délégué depuis la page **Paramètres****

1. Ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. **Dans le volet de navigation Security Hub CSPM, choisissez Settings.** Choisissez ensuite **Général**.

1. Si un compte administrateur Security Hub CSPM est actuellement attribué, vous devez supprimer le compte actuel avant de pouvoir désigner un nouveau compte.

   Sous **Administrateur délégué**, pour supprimer le compte actuel, choisissez **Supprimer**.

1. Entrez l'identifiant du compte que vous souhaitez désigner comme compte administrateur **Security Hub CSPM**.

   Vous devez désigner le même compte administrateur Security Hub CSPM dans toutes les régions. Si vous désignez un compte différent de celui désigné dans d'autres régions, la console renvoie un message d'erreur.

1. Choisisssez **Delegate** (Déléguer).

------
#### [ Security Hub CSPM API, AWS CLI ]

Depuis le compte de gestion de l'organisation, utilisez le [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_EnableOrganizationAdminAccount.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_EnableOrganizationAdminAccount.html)fonctionnement de l'API Security Hub CSPM. Si vous utilisez le AWS CLI, exécutez la [https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-organization-admin-account.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-organization-admin-account.html)commande. Indiquez l' Compte AWS ID de l'administrateur délégué du Security Hub CSPM.

L'exemple suivant désigne l'administrateur délégué du Security Hub CSPM. Cet exemple est formaté pour Linux, macOS ou Unix et utilise le caractère de continuation de ligne barre oblique inverse (\$1) pour améliorer la lisibilité.

```
$ aws securityhub enable-organization-admin-account --admin-account-id 123456789012
```

------

# Supprimer ou modifier l'administrateur délégué
<a name="remove-admin-overview"></a>

Seul le compte de gestion de l'organisation peut supprimer le compte administrateur délégué du Security Hub CSPM.

Pour modifier l'administrateur délégué du Security Hub CSPM, vous devez d'abord supprimer le compte administrateur délégué actuel, puis en désigner un nouveau.

**Avertissement**  
Lorsque vous utilisez la [configuration centralisée](central-configuration-intro.md), vous ne pouvez pas utiliser la console Security Hub CSPM ou le Security Hub CSPM APIs pour modifier ou supprimer le compte d'administrateur délégué. Si le compte de gestion de l'organisation utilise la AWS Organizations console ou AWS Organizations APIs pour modifier ou supprimer l'administrateur délégué de Security Hub CSPM, Security Hub CSPM arrête automatiquement la configuration centrale et supprime vos politiques de configuration et vos associations de politiques. Les comptes membres conservent les configurations qu'ils avaient avant le changement ou la suppression de l'administrateur délégué.

Si vous utilisez la console Security Hub CSPM pour supprimer l'administrateur délégué dans une région, il est automatiquement supprimé dans toutes les régions.

L'API Security Hub CSPM supprime uniquement le compte administrateur Security Hub CSPM délégué de la région dans laquelle l'appel ou la commande d'API est émis. Vous devez répéter l'action dans les autres régions.

Si vous utilisez l'API Organizations pour supprimer le compte administrateur délégué de Security Hub CSPM, celui-ci est automatiquement supprimé dans toutes les régions.

## Suppression de l'administrateur délégué (API Organizations, AWS CLI)
<a name="remove-admin-orgs"></a>

Vous pouvez utiliser Organizations pour supprimer l'administrateur délégué du Security Hub CSPM dans toutes les régions.

Si vous utilisez la configuration centralisée pour gérer les comptes, la suppression du compte d'administrateur délégué entraîne la suppression de vos politiques de configuration et de vos associations de politiques. Les comptes membres conservent les configurations qu'ils avaient avant le changement ou la suppression de l'administrateur délégué. Toutefois, ces comptes ne peuvent plus être gérés par le compte d'administrateur délégué supprimé. Ils deviennent des comptes autogérés qui doivent être configurés séparément dans chaque région.

Choisissez votre méthode préférée et suivez les instructions pour supprimer le compte administrateur délégué de Security Hub CSPM avec. AWS Organizations

------
#### [ Organizations API, AWS CLI ]

**Pour supprimer l'administrateur délégué du Security Hub CSPM**

Depuis le compte de gestion de l'organisation, utilisez le [https://docs.aws.amazon.com/organizations/latest/APIReference/API_DeregisterDelegatedAdministrator.html](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DeregisterDelegatedAdministrator.html)fonctionnement de l'API Organizations. Si vous utilisez le AWS CLI, exécutez la [deregister-delegated-administrator](https://docs.aws.amazon.com/cli/latest/reference/organizations/deregister-delegated-administrator.html)commande. Indiquez l'ID de compte de l'administrateur délégué et le principal de service pour Security Hub CSPM, à savoir. `securityhub.amazonaws.com`

L'exemple suivant supprime l'administrateur délégué du Security Hub CSPM. Cet exemple est formaté pour Linux, macOS ou Unix et utilise le caractère de continuation de ligne barre oblique inverse (\$1) pour améliorer la lisibilité.

```
$ aws organizations deregister-delegated-administrator --account-id 123456789012 --service-principal securityhub.amazonaws.com
```

------

## Suppression de l'administrateur délégué (console Security Hub CSPM)
<a name="remove-admin-console"></a>

Vous pouvez utiliser la console Security Hub CSPM pour supprimer l'administrateur CSPM délégué de Security Hub dans toutes les régions.

Lorsque le compte administrateur CSPM délégué du Security Hub est supprimé, les comptes des membres sont dissociés du compte administrateur délégué du Security Hub CSPM supprimé.

Security Hub CSPM est toujours activé dans les comptes des membres. Ils deviennent des comptes autonomes jusqu'à ce qu'un nouvel administrateur Security Hub CSPM les autorise en tant que comptes membres.

Si le compte de gestion de l'organisation n'est pas un compte activé dans Security Hub CSPM, utilisez l'option sur la page **Welcome to Security Hub CSPM**.

**Pour supprimer le compte administrateur CSPM délégué de Security Hub depuis la page **Welcome to Security Hub** CSPM**

1. Ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Choisissez **Go to Security Hub**.

1. Sous **Administrateur délégué**, choisissez **Supprimer**.

Si le compte de gestion de l'organisation est un compte activé dans **Security Hub**, utilisez l'option de l'onglet **Général** de la page **Paramètres**.

****Pour supprimer le compte administrateur CSPM délégué de Security Hub depuis la page Paramètres****

1. Ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. **Dans le volet de navigation Security Hub CSPM, choisissez Settings.** Choisissez ensuite **Général**.

1. Sous **Administrateur délégué**, choisissez **Supprimer**.

## Suppression de l'administrateur délégué (API Security Hub CSPM,) AWS CLI
<a name="remove-admin-api"></a>

Vous pouvez utiliser l'API Security Hub CSPM ou les opérations Security Hub CSPM pour supprimer l' AWS CLI administrateur CSPM délégué du Security Hub. Lorsque vous supprimez l'administrateur délégué à l'aide de l'une de ces méthodes, il n'est supprimé que dans la région où l'appel ou la commande d'API a été émis. Security Hub CSPM ne met pas à jour les autres régions et ne supprime pas le compte d'administrateur délégué dans. AWS Organizations

Choisissez votre méthode préférée et suivez ces étapes pour supprimer le compte administrateur délégué de Security Hub CSPM auprès de Security Hub CSPM.

------
#### [ Security Hub CSPM API, AWS CLI ]

**Pour supprimer l'administrateur délégué du Security Hub CSPM**

Depuis le compte de gestion de l'organisation, utilisez le [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisableOrganizationAdminAccount.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisableOrganizationAdminAccount.html)fonctionnement de l'API Security Hub CSPM. Si vous utilisez le AWS CLI, exécutez la [https://docs.aws.amazon.com/cli/latest/reference/securityhub/disable-organization-admin-account.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/disable-organization-admin-account.html)commande. Indiquez l'ID de compte de l'administrateur délégué du Security Hub CSPM.

L'exemple suivant supprime l'administrateur délégué du Security Hub CSPM. Cet exemple est formaté pour Linux, macOS ou Unix et utilise le caractère de continuation de ligne barre oblique inverse (\$1) pour améliorer la lisibilité.

```
$ aws securityhub disable-organization-admin-account --admin-account-id 123456789012
```

------

# Désactivation de l'intégration de Security Hub CSPM avec AWS Organizations
<a name="disable-orgs-integration"></a>

Une fois qu'une AWS Organizations organisation est intégrée à AWS Security Hub CSPM, le compte de gestion des Organizations peut ensuite désactiver l'intégration. En tant qu'utilisateur du compte de gestion des Organizations, vous pouvez le faire en désactivant l'accès sécurisé pour Security Hub CSPM dans. AWS Organizations

Lorsque vous désactivez l'accès sécurisé pour Security Hub CSPM, les événements suivants se produisent :
+ Security Hub CSPM perd son statut de service de confiance en. AWS Organizations
+ Le compte administrateur délégué du Security Hub CSPM perd l'accès aux paramètres, aux données et aux ressources du Security Hub CSPM pour tous les comptes membres du Security Hub CSPM. Régions AWS
+ Si vous utilisiez la [configuration centralisée](central-configuration-intro.md), Security Hub CSPM cesse automatiquement de l'utiliser pour votre organisation. Vos politiques de configuration et vos associations de politiques sont supprimées. Les comptes conservent les configurations qu'ils avaient avant que vous ne désactiviez l'accès sécurisé.
+ Tous les comptes membres du Security Hub CSPM deviennent des comptes autonomes et conservent leurs paramètres actuels. Si Security Hub CSPM a été activé pour un compte membre dans une ou plusieurs régions, le Security Hub CSPM continue d'être activé pour le compte dans ces régions. Les normes et contrôles activés restent également inchangés. Vous pouvez modifier ces paramètres séparément dans chaque compte et région. Toutefois, le compte n'est plus associé à un administrateur délégué dans aucune région.

Pour plus d'informations sur les conséquences de la désactivation de l'accès aux services sécurisés, consultez la section [Utilisation AWS Organizations avec d'autres](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html) personnes Services AWS dans le *Guide de l'AWS Organizations utilisateur*. 

Pour désactiver l'accès sécurisé, vous pouvez utiliser la AWS Organizations console, l'API Organizations ou le AWS CLI. Seul un utilisateur du compte de gestion des Organizations peut désactiver l'accès aux services sécurisés pour Security Hub CSPM. Pour plus de détails sur les autorisations dont vous avez besoin, consultez la section [Autorisations requises pour désactiver l'accès sécurisé](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html#orgs_trusted_access_disable_perms) dans le *Guide de AWS Organizations l'utilisateur*.

Avant de désactiver l'accès sécurisé, nous vous recommandons de contacter l'administrateur délégué de votre organisation afin de désactiver le Security Hub CSPM dans les comptes membres et de nettoyer les ressources Security Hub CSPM de ces comptes.

Choisissez votre méthode préférée et suivez les étapes pour désactiver l'accès sécurisé pour Security Hub CSPM.

------
#### [ Organizations console ]

**Pour désactiver l'accès sécurisé pour Security Hub CSPM**

1. Connectez-vous à l' AWS Management Console aide des informations d'identification du compte AWS Organizations de gestion.

1. Ouvrez la console Organizations à l'adresse [https://console.aws.amazon.com/organizations/](https://console.aws.amazon.com/organizations/).

1. Dans le panneau de navigation, choisissez **Services**.

1. Sous **Services intégrés**, choisissez **AWS Security Hub CSPM**.

1. Choisissez **Disable trusted access (Désactiver l'accès approuvé)**.

1. Confirmez que vous souhaitez désactiver l'accès sécurisé.

------
#### [ Organizations API ]

**Pour désactiver l'accès sécurisé pour Security Hub CSPM**

Invoquez [l'opération Disable AWSService Access](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html) de l' AWS Organizations API. Pour le `ServicePrincipal` paramètre, spécifiez le principal du service Security Hub CSPM ()`securityhub.amazonaws.com`.

------
#### [ AWS CLI ]

**Pour désactiver l'accès sécurisé pour Security Hub CSPM**

Exécutez la [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)commande de l' AWS Organizations API. Pour le `service-principal` paramètre, spécifiez le principal du service Security Hub CSPM ()`securityhub.amazonaws.com`.

**Exemple :**

```
aws organizations disable-aws-service-access --service-principal securityhub.amazonaws.com
```

------

# Activation automatique du Security Hub CSPM dans les nouveaux comptes d'entreprise
<a name="accounts-orgs-auto-enable"></a>

Lorsque de nouveaux comptes rejoignent votre organisation, ils sont ajoutés à la liste sur la page **Comptes** de la console AWS Security Hub CSPM. Pour les comptes de l’organisation, le **type** est **Par organisation**. Par défaut, les nouveaux comptes ne deviennent pas membres du Security Hub CSPM lorsqu'ils rejoignent l'organisation. Leur statut est **Non membre**. Le compte d'administrateur délégué peut automatiquement ajouter de nouveaux comptes en tant que membres et activer Security Hub CSPM sur ces comptes lorsqu'ils rejoignent l'organisation.

**Note**  
Bien que plusieurs d'entre Régions AWS elles soient actives par défaut pour votre région Compte AWS, vous devez activer certaines régions manuellement. Ces régions sont appelées « régions optionnelles » dans ce document. Pour activer automatiquement le Security Hub CSPM sur un nouveau compte dans une région optionnelle, cette région doit d'abord être activée sur le compte. Seul le titulaire du compte peut activer la région opt-in. Pour plus d'informations sur les régions optionnelles, voir [Spécifier celles que Régions AWS votre compte peut utiliser](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html).

Ce processus est différent selon que vous utilisez la configuration centrale (recommandée) ou la configuration locale.

## Activation automatique des nouveaux comptes d'entreprise (configuration centrale)
<a name="central-configuration-auto-enable"></a>

Si vous utilisez la [configuration centralisée](central-configuration-intro.md), vous pouvez activer automatiquement le Security Hub CSPM dans les comptes d'organisation nouveaux et existants en créant une politique de configuration dans laquelle le Security Hub CSPM est activé. Vous pouvez ensuite associer la politique à la racine de l'organisation ou à des unités organisationnelles spécifiques (OUs).

Si vous associez une politique de configuration dans laquelle Security Hub CSPM est activé à une unité d'organisation spécifique, Security Hub CSPM est automatiquement activé dans tous les comptes (existants et nouveaux) appartenant à cette unité d'organisation. Les nouveaux comptes qui n'appartiennent pas à l'unité d'organisation sont autogérés et le Security Hub CSPM n'est pas automatiquement activé. Si vous associez une politique de configuration dans laquelle Security Hub CSPM est activé à la racine, Security Hub CSPM est automatiquement activé dans tous les comptes (existants et nouveaux) qui rejoignent l'organisation. Les exceptions sont les cas où un compte utilise une politique différente par le biais d'une application ou d'un héritage, ou s'il est autogéré.

Dans votre politique de configuration, vous pouvez également définir les normes et contrôles de sécurité qui doivent être activés dans l'unité d'organisation. Pour générer des résultats de contrôle pour les normes activées, les comptes de l'unité d'organisation doivent être AWS Config activés et configurés pour enregistrer les ressources requises. Pour plus d'informations sur AWS Config l'enregistrement, voir [Activation et configuration AWS Config](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-prereq-config.html).

Pour obtenir des instructions sur la création d'une politique de configuration, consultez[Création et association de politiques de configuration](create-associate-policy.md).

## Activation automatique des nouveaux comptes d'organisation (configuration locale)
<a name="limited-configuration-auto-enable"></a>

Lorsque vous utilisez la configuration locale et que vous activez l'activation automatique des normes par défaut, Security Hub CSPM ajoute de *nouveaux* comptes d'organisation en tant que membres et active Security Hub CSPM dans ces comptes dans la région actuelle. Les autres régions ne sont pas touchées. En outre, l'activation automatique n'active pas le Security Hub CSPM dans les comptes d'organisation *existants*, sauf s'ils ont déjà été ajoutés en tant que comptes membres.

Une fois l'activation automatique activée, les normes de sécurité par défaut sont activées pour les nouveaux comptes membres de la région actuelle lorsqu'ils rejoignent l'organisation. Les normes par défaut sont AWS Foundational Security Best Practices (FSBP) et Center for Internet Security (CIS) AWS Foundations Benchmark v1.2.0. Vous ne pouvez pas modifier les normes par défaut. Si vous souhaitez activer d'autres normes au sein de votre organisation, ou activer des normes pour certains comptes OUs, nous vous recommandons d'utiliser une configuration centralisée.

Pour générer des résultats de contrôle pour les normes par défaut (et les autres normes activées), les comptes de votre organisation doivent avoir été AWS Config activés et configurés pour enregistrer les ressources requises. Pour plus d'informations sur AWS Config l'enregistrement, voir [Activation et configuration AWS Config](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-prereq-config.html).

Choisissez votre méthode préférée et suivez les étapes pour activer automatiquement le Security Hub CSPM dans les nouveaux comptes d'entreprise. Ces instructions s'appliquent uniquement si vous utilisez une configuration locale.

------
#### [ Security Hub CSPM console ]

**Pour activer automatiquement les nouveaux comptes d'organisation en tant que membres du Security Hub CSPM**

1. Ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Sign utilise les informations d'identification du compte d'administrateur délégué.

1. **Dans le volet de navigation Security Hub CSPM, sous **Paramètres**, sélectionnez Configuration.**

1. Dans la section **Comptes**, activez l'**activation automatique des comptes**.

------
#### [ Security Hub CSPM API ]

**Pour activer automatiquement les nouveaux comptes d'organisation en tant que membres du Security Hub CSPM**

Appelez l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html)API depuis le compte d'administrateur délégué. Définissez le `AutoEnable` champ sur `true` pour activer automatiquement le Security Hub CSPM dans les nouveaux comptes d'organisation.

------
#### [ AWS CLI ]

**Pour activer automatiquement les nouveaux comptes d'organisation en tant que membres du Security Hub CSPM**

Exécutez la [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html)commande depuis le compte administrateur délégué. Incluez le `auto-enable` paramètre permettant d'activer automatiquement Security Hub CSPM dans les nouveaux comptes d'organisation.

```
aws securityhub update-organization-configuration --auto-enable
```

------

# Activation manuelle du Security Hub CSPM dans les nouveaux comptes d'organisation
<a name="orgs-accounts-enable"></a>

Si vous n'activez pas automatiquement le Security Hub CSPM dans les nouveaux comptes d'organisation lorsqu'ils rejoignent l'organisation, vous pouvez ajouter ces comptes en tant que membres et y activer le Security Hub CSPM manuellement une fois qu'ils ont rejoint l'organisation. Vous devez également activer manuellement le Security Hub CSPM dans Comptes AWS le cas où vous vous êtes précédemment dissocié d'une organisation.

**Note**  
Cette section ne s'applique pas à vous si vous utilisez [la configuration centralisée](central-configuration-intro.md). Si vous utilisez la configuration centralisée, vous pouvez créer des politiques de configuration qui activent le Security Hub CSPM dans des comptes membres et des unités organisationnelles spécifiques ()OUs. Vous pouvez également activer des normes et des contrôles spécifiques dans ces comptes et OUs.

Vous ne pouvez pas activer Security Hub CSPM dans un compte s'il s'agit déjà d'un compte membre au sein d'une autre organisation.

Vous ne pouvez pas non plus activer Security Hub CSPM dans un compte actuellement suspendu. Si vous essayez d'activer le service sur un compte suspendu, le statut du compte passe à **Compte suspendu**.
+ Si Security Hub CSPM n'est pas activé sur le compte, Security Hub CSPM est activé sur ce compte. La norme AWS Foundational Security Best Practices (FSBP) et le CIS AWS Foundations Benchmark v1.2.0 sont également activés dans le compte, sauf si vous désactivez les normes de sécurité par défaut.

  L'exception à cette règle est le compte de gestion des Organizations. Security Hub CSPM ne peut pas être activé automatiquement dans le compte de gestion des Organizations. Vous devez activer manuellement Security Hub CSPM dans le compte de gestion des Organizations avant de pouvoir l'ajouter en tant que compte membre.
+ Si Security Hub CSPM est déjà activé sur le compte, Security Hub CSPM n'apporte aucune autre modification au compte. Cela permet uniquement l'adhésion.

Pour que Security Hub CSPM puisse générer des résultats de contrôle, les comptes membres doivent être AWS Config activés et configurés pour enregistrer les ressources requises. Pour plus d'informations, consultez [Activation et configuration de AWS Config](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-prereq-config.html).

Choisissez votre méthode préférée et suivez les étapes pour activer un compte d'organisation en tant que compte membre du Security Hub CSPM.

------
#### [ Security Hub CSPM console ]

**Pour activer manuellement les comptes d'organisation en tant que membres du Security Hub CSPM**

1. Ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Connectez-vous à l'aide des informations d'identification du compte d'administrateur délégué.

1. **Dans le volet de navigation Security Hub CSPM, sous **Paramètres**, sélectionnez Configuration.**

1. Dans la liste des **comptes**, sélectionnez chaque compte d'organisation que vous souhaitez activer.

1. Choisissez **Actions**, puis **Add member (Ajouter un membre)**.

------
#### [ Security Hub CSPM API ]

**Pour activer manuellement les comptes d'organisation en tant que membres du Security Hub CSPM**

Appelez l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateMembers.html)API depuis le compte d'administrateur délégué. Pour chaque compte à activer, indiquez l'identifiant du compte.

Contrairement au processus d'invitation manuel, lorsque vous appelez `CreateMembers` pour activer un compte d'organisation, vous n'avez pas besoin d'envoyer d'invitation.

------
#### [ AWS CLI ]

**Pour activer manuellement les comptes d'organisation en tant que membres du Security Hub CSPM**

Exécutez la [https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-members.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-members.html)commande depuis le compte administrateur délégué. Pour chaque compte à activer, indiquez l'identifiant du compte.

Contrairement au processus d'invitation manuel, lorsque vous lancez un appel `create-members` pour activer un compte d'organisation, vous n'avez pas besoin d'envoyer d'invitation.

```
aws securityhub create-members --account-details '[{"AccountId": "<accountId>"}]'
```

**Exemple**

```
aws securityhub create-members --account-details '[{"AccountId": "123456789111"}, {"AccountId": "123456789222"}]'
```

------

# Dissocier les comptes membres du Security Hub CSPM de votre organisation
<a name="accounts-orgs-disassociate"></a>

Pour arrêter de recevoir et de consulter les résultats d'un compte membre du AWS Security Hub CSPM, vous pouvez dissocier le compte membre de votre organisation.

**Note**  
Si vous utilisez la [configuration centralisée, la](central-configuration-intro.md) dissociation fonctionne différemment. Vous pouvez créer une politique de configuration qui désactive Security Hub CSPM dans un ou plusieurs comptes membres gérés de manière centralisée. Par la suite, ces comptes font toujours partie de l'organisation, mais ne généreront pas les résultats du Security Hub CSPM. Si vous utilisez la configuration centralisée mais que vous avez également des comptes de membres invités manuellement, vous pouvez dissocier un ou plusieurs comptes invités manuellement.

Les comptes membres gérés via ne AWS Organizations peuvent pas dissocier leurs comptes du compte administrateur. Seul le compte administrateur peut dissocier un compte membre.

La dissociation d'un compte membre ne ferme pas le compte. Il supprime plutôt le compte membre de l'organisation. Le compte de membre dissocié devient un compte autonome Compte AWS qui n'est plus géré par l'intégration de Security Hub CSPM avec. AWS Organizations

Choisissez votre méthode préférée et suivez les étapes pour dissocier un compte membre de l'organisation.

------
#### [ Security Hub CSPM console ]

**Pour dissocier un compte membre de l'organisation**

1. Ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Connectez-vous à l'aide des informations d'identification du compte d'administrateur délégué.

1. Dans le volet de navigation, sous **Paramètres**, sélectionnez **Configuration**.

1. Dans la section **Comptes**, sélectionnez les comptes que vous souhaitez dissocier. Si vous utilisez la configuration centrale, vous pouvez sélectionner un compte invité manuellement à dissocier de l'onglet. `Invitation accounts` Cet onglet n'est visible que si vous utilisez la configuration centralisée.

1. Choisissez **Actions**, puis **Dissocier le compte**.

------
#### [ Security Hub CSPM API ]

**Pour dissocier un compte membre de l'organisation**

Appelez l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisassociateMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisassociateMembers.html)API depuis le compte d'administrateur délégué. Vous devez indiquer les comptes Compte AWS IDs des membres à dissocier. Pour consulter la liste des comptes des membres, appelez l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListMembers.html)API.

------
#### [ AWS CLI ]

**Pour dissocier un compte membre de l'organisation**

Exécutez la `disassociate-members` commande [>](https://docs.aws.amazon.com/cli/latest/reference/securityhub/disassociate-members.html) depuis le compte administrateur délégué. Vous devez indiquer les comptes Compte AWS IDs des membres à dissocier. Pour afficher la liste des comptes des membres, exécutez la `list-members` commande [>](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-members.html).

```
aws securityhub disassociate-members --account-ids "<accountIds>"
```

**Exemple**

```
aws securityhub disassociate-members --account-ids "123456789111" "123456789222"
```

------

 Vous pouvez également utiliser la AWS Organizations console ou AWS SDKs dissocier un compte membre de votre organisation. AWS CLI Pour plus d'informations, consultez la section [Suppression d'un compte membre de votre organisation](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_remove.html) dans le *Guide de AWS Organizations l'utilisateur*.

# Gestion des comptes sur invitation dans Security Hub CSPM
<a name="account-management-manual"></a>

Vous pouvez gérer de manière centralisée plusieurs comptes AWS Security Hub CSPM de deux manières : en intégrant Security Hub CSPM à Security Hub AWS Organizations ou en envoyant et en acceptant manuellement des invitations d'adhésion. Vous devez utiliser le processus manuel si vous possédez un compte autonome ou si vous ne l'intégrez pas à AWS Organizations. Dans le cadre de la gestion manuelle des comptes, l'administrateur du Security Hub CSPM invite les comptes à devenir membres. La relation administrateur-membre est établie lorsqu'un membre potentiel accepte l'invitation. Un compte administrateur Security Hub CSPM peut gérer Security Hub CSPM pour un maximum de 1 000 comptes membres sur invitation. 

**Note**  
[Si vous créez une organisation basée sur des invitations dans Security Hub CSPM, vous pouvez ensuite passer à l'utilisation à la place. AWS Organizations](accounts-transition-to-orgs.md) Si vous avez plusieurs comptes membres, nous vous recommandons d'utiliser les invitations CSPM à la AWS Organizations place de Security Hub pour gérer vos comptes membres. Pour plus d'informations, consultez [Gestion du Security Hub CSPM pour plusieurs comptes avec AWS Organizations](securityhub-accounts-orgs.md).

L'agrégation interrégionale des résultats et d'autres données est disponible pour les comptes que vous invitez par le biais du processus d'invitation manuel. Toutefois, l'administrateur doit inviter le compte membre de la région d'agrégation et de toutes les régions associées pour que l'agrégation entre régions fonctionne. En outre, Security Hub CSPM doit être activé dans la région d'agrégation et dans toutes les régions associées pour permettre à l'administrateur de consulter les résultats du compte membre.

Les politiques de configuration ne sont pas prises en charge pour les comptes de membres invités manuellement. Au lieu de cela, vous devez configurer les paramètres Security Hub CSPM séparément dans chaque compte membre et Région AWS lorsque vous utilisez le processus d'invitation manuel.

Vous devez également utiliser le processus manuel basé sur les invitations pour les comptes qui n'appartiennent pas à votre organisation. Par exemple, il se peut que vous n'incluiez pas de compte de test dans votre organisation. Vous pouvez également regrouper les comptes de plusieurs organisations sous un seul compte administrateur Security Hub CSPM. Le compte administrateur du Security Hub CSPM doit envoyer des invitations aux comptes appartenant à d'autres organisations.

Sur la page de **configuration** de la console Security Hub CSPM, les comptes ajoutés sur invitation sont répertoriés dans l'onglet **Comptes d'invitation**. Si vous utilisez la [configuration centralisée](central-configuration-intro.md), mais que vous invitez également des comptes extérieurs à votre organisation, vous pouvez consulter les résultats des comptes basés sur des invitations dans cet onglet. Toutefois, l'administrateur CSPM de Security Hub ne peut pas configurer de comptes basés sur des invitations dans toutes les régions en utilisant des politiques de configuration.

Les rubriques de cette section expliquent comment gérer les comptes des membres par le biais d'invitations.

**Topics**
+ [Ajouter et inviter des comptes membres dans Security Hub CSPM](securityhub-accounts-add-invite.md)
+ [Répondre à une invitation à devenir membre du Security Hub CSPM](securityhub-invitation-respond.md)
+ [Dissociation des comptes membres dans Security Hub CSPM](securityhub-disassociate-members.md)
+ [Supprimer des comptes de membres dans Security Hub CSPM](securityhub-delete-member-accounts.md)
+ [Dissociation d'un compte administrateur Security Hub CSPM](securityhub-disassociate-from-admin.md)
+ [Transition vers Organizations pour gérer les comptes dans Security Hub CSPM](accounts-transition-to-orgs.md)

# Ajouter et inviter des comptes membres dans Security Hub CSPM
<a name="securityhub-accounts-add-invite"></a>

**Note**  
Nous vous recommandons d'utiliser des invitations CSPM à la AWS Organizations place du Security Hub pour gérer vos comptes de membres. Pour plus d'informations, consultez [Gestion du Security Hub CSPM pour plusieurs comptes avec AWS Organizations](securityhub-accounts-orgs.md).

Votre compte devient l'administrateur du AWS Security Hub CSPM pour les comptes qui acceptent votre invitation à devenir un compte membre du Security Hub CSPM.

Lorsque vous acceptez une invitation provenant d'un autre compte, votre compte devient un compte membre, et ce compte devient votre administrateur.

Si votre compte est un compte administrateur, vous ne pouvez pas accepter une invitation à devenir membre.

L'ajout d'un compte membre comprend les étapes suivantes :

1. Le compte administrateur ajoute le compte du membre à sa liste de comptes membres.

1. Le compte administrateur envoie une invitation au compte membre.

1. Le compte membre accepte l'invitation. 

## Ajouter des comptes de membres
<a name="securityhub-add-accounts"></a>

Depuis la console Security Hub CSPM, vous pouvez ajouter des comptes à votre liste de comptes membres. Dans la console Security Hub CSPM, vous pouvez sélectionner des comptes individuellement ou télécharger un `.csv` fichier contenant les informations du compte.

Pour chaque compte, vous devez fournir l'identifiant du compte et une adresse e-mail. L'adresse e-mail doit être l'adresse e-mail à contacter pour tout problème de sécurité lié au compte. Il n'est pas utilisé pour vérifier le compte.

Choisissez votre méthode préférée et suivez les étapes pour ajouter des comptes de membre.

------
#### [ Security Hub CSPM console ]

**Pour ajouter des comptes à votre liste de comptes membres**

1. Ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Connectez-vous à l'aide des informations d'identification du compte administrateur.

1. Dans le volet de gauche, choisissez **Settings (Paramètres)**.

1. Sur la page **Paramètres**, sélectionnez **Comptes**, puis **Ajouter des comptes**. Vous pouvez ensuite ajouter des comptes individuellement ou télécharger un `.csv` fichier contenant la liste des comptes.

1. Pour sélectionner les comptes, effectuez l'une des opérations suivantes :
   + Pour ajouter les comptes individuellement, sous **Entrez les comptes**, entrez l'ID du compte et l'adresse e-mail du compte à ajouter, puis choisissez **Ajouter**.

     Répétez cette procédure pour chaque compte.
   + Pour utiliser un fichier de valeurs séparées par des virgules (.csv) pour ajouter plusieurs comptes, créez d'abord le fichier. Le fichier doit contenir l'identifiant du compte et l'adresse e-mail de chaque compte à ajouter.

     Dans votre `.csv` liste, les comptes doivent apparaître un par ligne. La première ligne du `.csv` fichier doit contenir l'en-tête. Dans l'en-tête, la première colonne est **Account ID** et la deuxième colonne est**Email**.

     Chaque ligne suivante doit contenir un ID de compte et une adresse e-mail valides pour le compte à ajouter.

     Voici un exemple de `.csv` fichier affiché dans un éditeur de texte.

     ```
     Account ID,Email
     111111111111,user@example.com
     ```

     Dans un tableur, les champs apparaissent dans des colonnes distinctes. Le format sous-jacent est toujours séparé par des virgules. Vous devez formater le compte IDs sous forme de nombres non décimaux. Par exemple, l'ID de compte 444455556666 ne peut pas être formaté sous la forme 444455556666.0. Assurez-vous également que le formatage des nombres ne supprime aucun zéro en début de compte.

     Pour sélectionner le fichier, sur la console, choisissez **Upload list (.csv)**. Choisissez ensuite **Parcourir**.

     Après avoir sélectionné le fichier, choisissez **Ajouter des comptes**.

1. Une fois que vous avez terminé d'ajouter **des comptes, sous Comptes à ajouter**, sélectionnez **Suivant**.

------
#### [ Security Hub CSPM API ]

**Pour ajouter des comptes à votre liste de comptes membres**

Appelez l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateMembers.html)API depuis le compte administrateur. Pour chaque compte membre à ajouter, vous devez fournir l' Compte AWS identifiant.

------
#### [ AWS CLI ]

**Pour ajouter des comptes à votre liste de comptes membres**

Exécutez la [https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-members.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-members.html)commande depuis le compte administrateur. Pour chaque compte membre à ajouter, vous devez fournir l' Compte AWS identifiant.

```
aws securityhub create-members --account-details '[{"AccountId": "<accountID1>"}]'
```

**Exemple**

```
aws securityhub create-members --account-details '[{"AccountId": "123456789111"}, {"AccountId": "123456789222"}]'
```

------

## Inviter des comptes membres
<a name="securityhub-invite-accounts"></a>

Après avoir ajouté les comptes de membre, vous envoyez une invitation au compte de membre. Vous pouvez également renvoyer une invitation à un compte que vous avez dissocié de l'administrateur.

------
#### [ Security Hub CSPM console ]

**Pour inviter des comptes de membres potentiels**

1. Ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Connectez-vous à l'aide des informations d'identification du compte administrateur.

1. Dans le volet de navigation, choisissez **Paramètres**, puis **Comptes**. 

1. Pour le compte à inviter, choisissez **Invite (Inviter)** dans la colonne **Status (Statut)**.

1. Lorsque vous êtes invité à confirmer, choisissez **Inviter**.

**Note**  
**Pour renvoyer des invitations à des comptes dissociés, sélectionnez chaque compte dissocié sur la page Comptes.** Pour **Actions**, choisissez **Renvoyer l'invitation**.

------
#### [ Security Hub CSPM API ]

**Pour inviter des comptes de membres potentiels**

Appelez l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_InviteMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_InviteMembers.html)API depuis le compte administrateur. Pour chaque compte à inviter, vous devez fournir l' Compte AWS identifiant.

------
#### [ AWS CLI ]

**Pour inviter des comptes de membres potentiels**

Exécutez la [https://docs.aws.amazon.com/cli/latest/reference/securityhub/invite-members.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/invite-members.html)commande depuis le compte administrateur. Pour chaque compte à inviter, vous devez fournir l' Compte AWS identifiant.

```
aws securityhub invite-members --account-ids <accountIDs>
```

**Exemple**

```
aws securityhub invite-members --account-ids "123456789111" "123456789222"
```

------

# Répondre à une invitation à devenir membre du Security Hub CSPM
<a name="securityhub-invitation-respond"></a>

**Note**  
Nous vous recommandons d'utiliser des invitations CSPM à la AWS Organizations place du Security Hub pour gérer vos comptes de membres. Pour plus d'informations, consultez [Gestion du Security Hub CSPM pour plusieurs comptes avec AWS Organizations](securityhub-accounts-orgs.md).

Vous pouvez accepter ou refuser une invitation à devenir membre du AWS Security Hub CSPM.

Si vous acceptez une invitation, votre compte devient un compte membre du Security Hub CSPM. Le compte qui a envoyé l'invitation devient votre compte administrateur Security Hub CSPM. L'utilisateur du compte administrateur peut consulter les résultats de votre compte membre dans Security Hub CSPM.

Si vous refusez l'invitation, votre compte est marqué comme **Désigné** sur la liste des comptes membres du compte administrateur.

Vous ne pouvez accepter qu'une seule invitation pour créer un compte membre.

Avant d'accepter ou de refuser une invitation, vous devez activer Security Hub CSPM.

N'oubliez pas que tous les comptes Security Hub CSPM doivent être AWS Config activés et configurés pour enregistrer toutes les ressources. Pour plus de détails sur la configuration requise AWS Config, voir [Activation et configuration AWS Config](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-prereq-config.html).

## Acceptation d'une invitation
<a name="securityhub-accept-invitation"></a>

Vous pouvez envoyer une invitation pour devenir membre du Security Hub CSPM depuis le compte administrateur. Vous pouvez ensuite accepter l'invitation après vous être connecté au compte membre.

Choisissez votre méthode préférée et suivez les étapes pour accepter une invitation à devenir membre.

------
#### [ Security Hub CSPM console ]

**Pour accepter une invitation d'adhésion**

1. Ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Dans le volet de navigation, choisissez **Paramètres**, puis **Comptes**.

1. Dans la section **Compte administrateur**, activez **Accepter**, puis sélectionnez **Accepter l'invitation**.

------
#### [ Security Hub CSPM API ]

**Pour accepter une invitation d'adhésion**

Appelez l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AcceptAdministratortInvitation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AcceptAdministratortInvitation.html)API. Vous devez fournir l'identifiant de l'invitation et l' Compte AWS identifiant du compte administrateur. Pour récupérer les détails de l'invitation, utilisez l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListInvitations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListInvitations.html)opération.

------
#### [ AWS CLI ]

**Pour accepter une invitation d'adhésion**

Exécutez la commande [https://docs.aws.amazon.com/cli/latest/reference/securityhub/accept-administrator-invitation.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/accept-administrator-invitation.html). Vous devez fournir l'identifiant de l'invitation et l' Compte AWS identifiant du compte administrateur. Pour récupérer les détails de l'invitation, exécutez la [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-invitations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-invitations.html)commande.

```
aws securityhub accept-administrator-invitation --administrator-id <administratorAccountID> --invitation-id <invitationID>
```

**Exemple**

```
aws securityhub accept-administrator-invitation --administrator-id 123456789012 --invitation-id 7ab938c5d52d7904ad09f9e7c20cc4eb
```

------

**Note**  
La console Security Hub CSPM continue de fonctionner. `AcceptInvitation` Il finira par changer d'usage`AcceptAdministratorInvitation`. Toutes les politiques IAM qui contrôlent spécifiquement l'accès à cette fonction doivent continuer à être utilisées`AcceptInvitation`. Vous devez également compléter vos politiques `AcceptAdministratorInvitation` pour vous assurer que les autorisations appropriées sont en place une fois que la console commence à être utilisée`AcceptAdministratorInvitation`.

## Refuser une invitation
<a name="securityhub-decline-invitation"></a>

Vous pouvez refuser une invitation à devenir membre du Security Hub CSPM. Lorsque vous refusez une invitation dans la console Security Hub CSPM, votre compte est marqué comme **Désigné** dans la liste des comptes membres du compte administrateur. Le statut **Résigné** apparaît uniquement lorsque vous vous connectez à la console Security Hub CSPM à l'aide du compte administrateur. Toutefois, l'invitation reste inchangée dans la console du compte membre jusqu'à ce que vous vous connectiez au compte administrateur et que vous supprimiez l'invitation.

Pour refuser une invitation, vous devez vous connecter au compte membre qui a reçu l'invitation.

Choisissez votre méthode préférée et suivez les étapes pour refuser une invitation à devenir membre.

------
#### [ Security Hub CSPM console ]

**Pour refuser une invitation d'adhésion**

1. Ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Dans le volet de navigation, choisissez **Paramètres**, puis **Comptes**.

1. Dans la section **Compte administrateur**, choisissez **Refuser l'invitation**.

------
#### [ Security Hub CSPM API ]

**Pour refuser une invitation d'adhésion**

Appelez l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DeclineInvitations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DeclineInvitations.html)API. Vous devez fournir l' Compte AWS ID du compte administrateur qui a émis l'invitation. Pour consulter les informations relatives à vos invitations, utilisez l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListInvitations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListInvitations.html)opération.

------
#### [ AWS CLI ]

**Pour refuser une invitation d'adhésion**

Exécutez la commande [https://docs.aws.amazon.com/cli/latest/reference/securityhub/decline-invitations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/decline-invitations.html). Vous devez fournir l' Compte AWS ID du compte administrateur qui a émis l'invitation. Pour afficher les informations relatives à vos invitations, exécutez la [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-invitations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-invitations.html)commande.

```
aws securityhub decline-invitations --account-ids "<administratorAccountId>"
```

**Exemple**

```
aws securityhub decline-invitations --account-ids "123456789012"
```

------

# Dissociation des comptes membres dans Security Hub CSPM
<a name="securityhub-disassociate-members"></a>

**Note**  
Nous vous recommandons d'utiliser des invitations CSPM à la AWS Organizations place du Security Hub pour gérer vos comptes de membres. Pour plus d'informations, consultez [Gestion du Security Hub CSPM pour plusieurs comptes avec AWS Organizations](securityhub-accounts-orgs.md).

Un compte administrateur AWS Security Hub CSPM peut dissocier un compte membre pour ne plus recevoir ni consulter les résultats de ce compte. Vous devez dissocier un compte membre avant de pouvoir le supprimer.

Lorsque vous dissociez un compte membre, il reste dans votre liste de comptes membres avec le statut **Supprimé (Dissocié**). Votre compte est supprimé des informations du compte administrateur du compte membre.

Pour continuer à recevoir les résultats relatifs au compte, vous pouvez renvoyer l'invitation. Pour supprimer complètement le compte membre, vous pouvez le supprimer.

Choisissez votre méthode préférée et suivez les étapes pour dissocier un compte de membre invité manuellement du compte d'administrateur.

------
#### [ Security Hub CSPM console ]

**Pour dissocier un compte de membre invité manuellement**

1. Ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Connectez-vous à l'aide des informations d'identification du compte administrateur.

1. Dans le volet de navigation, sous **Paramètres**, sélectionnez **Configuration**.

1. Dans la section **Comptes**, sélectionnez les comptes que vous souhaitez dissocier.

1. Choisissez **Actions**, puis **Dissocier le compte**.

------
#### [ Security Hub CSPM API ]

**Pour dissocier un compte de membre invité manuellement**

Appelez l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisassociateMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisassociateMembers.html)API depuis le compte administrateur. Vous devez fournir les comptes Compte AWS IDs de membres que vous souhaitez dissocier. Pour afficher la liste des comptes des membres, utilisez l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListMembers.html)opération.

------
#### [ AWS CLI ]

**Pour dissocier un compte de membre invité manuellement**

Exécutez la [https://docs.aws.amazon.com/cli/latest/reference/securityhub/disassociate-members.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/disassociate-members.html)commande depuis le compte administrateur. Vous devez fournir les comptes Compte AWS IDs de membres que vous souhaitez dissocier. Pour afficher la liste des comptes des membres, exécutez la [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-members.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-members.html)commande.

```
aws securityhub disassociate-members --account-ids <accountIds>
```

**Exemple**

```
aws securityhub disassociate-members --account-ids "123456789111" "123456789222"
```

------

# Supprimer des comptes de membres dans Security Hub CSPM
<a name="securityhub-delete-member-accounts"></a>

**Note**  
Nous vous recommandons d'utiliser des invitations CSPM à la AWS Organizations place du Security Hub pour gérer vos comptes de membres. Pour plus d'informations, consultez [Gestion du Security Hub CSPM pour plusieurs comptes avec AWS Organizations](securityhub-accounts-orgs.md).

En tant que compte administrateur AWS Security Hub CSPM, vous pouvez supprimer les comptes de membres ajoutés sur invitation. Avant de pouvoir supprimer un compte activé, vous devez le dissocier.

Lorsque vous supprimez un compte membre, il est complètement supprimé de la liste. Pour rétablir l'adhésion au compte, vous devez l'ajouter et l'inviter à nouveau comme s'il s'agissait d'un tout nouveau compte de membre.

Vous ne pouvez pas supprimer les comptes qui appartiennent à une organisation et qui sont gérés à l'aide de l'intégration avec AWS Organizations.

Choisissez votre méthode préférée et suivez les étapes pour supprimer les comptes de membres invités manuellement.

------
#### [ Security Hub CSPM console ]

**Pour supprimer un compte de membre invité manuellement**

1. Ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Connectez-vous à l'aide du compte administrateur.

1. Dans le volet de navigation, choisissez **Paramètres**, puis **Configuration**.

1. Choisissez l'onglet **Comptes d'invitation**. Sélectionnez ensuite les comptes à supprimer.

1. Choisissez **Actions**, puis **Supprimer**. Cette option n'est disponible que si vous avez dissocié le compte. Vous devez dissocier un compte membre avant de le supprimer.

------
#### [ Security Hub CSPM API ]

**Pour supprimer un compte de membre invité manuellement**

Appelez l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DeleteMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DeleteMembers.html)API depuis le compte administrateur. Vous devez fournir les comptes Compte AWS IDs de membres que vous souhaitez supprimer. Pour récupérer la liste des comptes membres, appelez l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListMembers.html)API.

------
#### [ AWS CLI ]

**Pour supprimer un compte de membre invité manuellement**

Exécutez la [https://docs.aws.amazon.com/cli/latest/reference/securityhub/delete-members.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/delete-members.html)commande depuis le compte administrateur. Vous devez fournir les comptes Compte AWS IDs de membres que vous souhaitez supprimer. Pour récupérer la liste des comptes membres, exécutez la [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-members.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-members.html)commande.

```
aws securityhub delete-members --account-ids <memberAccountIDs>
```

**Exemple**

```
aws securityhub delete-members --account-ids "123456789111" "123456789222"
```

------

# Dissociation d'un compte administrateur Security Hub CSPM
<a name="securityhub-disassociate-from-admin"></a>

**Note**  
Nous vous recommandons d'utiliser des invitations CSPM à la AWS Organizations place du Security Hub pour gérer vos comptes de membres. Pour plus d'informations, consultez [Gestion du Security Hub CSPM pour plusieurs comptes avec AWS Organizations](securityhub-accounts-orgs.md).

Si votre compte a été ajouté en tant que compte membre du AWS Security Hub CSPM sur invitation, vous pouvez dissocier le compte membre du compte administrateur. Une fois que vous avez dissocié un compte membre, Security Hub CSPM n'envoie pas les résultats du compte au compte administrateur.

Les comptes membres gérés à l'aide de l'intégration avec ne AWS Organizations peuvent pas dissocier leurs comptes du compte administrateur. Seul l'administrateur délégué du Security Hub CSPM peut dissocier les comptes membres gérés avec Organizations.

Lorsque vous vous dissociez de votre compte administrateur, celui-ci reste dans la liste des membres du compte administrateur avec le statut **Désigné**. Cependant, le compte administrateur ne reçoit aucune information concernant votre compte.

Une fois que vous vous êtes dissocié du compte administrateur, l'invitation à devenir membre est toujours valable. Vous pourrez accepter à nouveau l'invitation à l'avenir.

------
#### [ Security Hub CSPM console ]

**Pour vous dissocier de votre compte administrateur**

1. Ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Dans le volet de navigation, choisissez **Paramètres**, puis **Comptes**.

1. Dans la section **Compte administrateur**, désactivez **Accepter**, puis choisissez **Mettre à jour**.

------
#### [ Security Hub CSPM API ]

**Pour vous dissocier de votre compte administrateur**

Appelez l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisassociateFromAdministratorAccount.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisassociateFromAdministratorAccount.html)API.

------
#### [ AWS CLI ]

**Pour vous dissocier de votre compte administrateur**

Exécutez la commande [https://docs.aws.amazon.com/cli/latest/reference/securityhub/disassociate-from-administrator-account.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/disassociate-from-administrator-account.html).

```
aws securityhub disassociate-from-administrator-account
```

------

**Note**  
La console Security Hub CSPM continue de fonctionner. `DisassociateFromMasterAccount` Il finira par changer d'usage`DisassociateFromAdministratorAccount`. Toutes les politiques IAM qui contrôlent spécifiquement l'accès à cette fonction doivent continuer à être utilisées`DisassociateFromMasterAccount`. Vous devez également compléter vos politiques `DisassociateFromAdministratorAccount` pour vous assurer que les autorisations appropriées sont en place une fois que la console commence à être utilisée`DisassociateFromAdministratorAccount`.

# Transition vers Organizations pour gérer les comptes dans Security Hub CSPM
<a name="accounts-transition-to-orgs"></a>

Lorsque vous gérez des comptes manuellement dans AWS Security Hub CSPM, vous devez inviter des comptes de membres potentiels et configurer chaque compte de membre séparément dans chacun d'eux. Région AWS

En intégrant Security Hub CSPM AWS Organizations, vous pouvez éliminer le besoin d'envoyer des invitations et mieux contrôler la façon dont Security Hub CSPM est configuré et personnalisé au sein de votre organisation. C'est pourquoi nous vous recommandons d'utiliser les invitations Security Hub CSPM à la AWS Organizations place des invitations Security Hub pour gérer vos comptes de membres. Pour plus d'informations, consultez [Gestion du Security Hub CSPM pour plusieurs comptes avec AWS Organizations](securityhub-accounts-orgs.md).

Il est possible d'utiliser une approche combinée dans laquelle vous utilisez l' AWS Organizations intégration, mais vous pouvez également inviter manuellement des comptes extérieurs à votre organisation. Cependant, nous vous recommandons d'utiliser exclusivement l'intégration Organizations. [La configuration centralisée](central-configuration-intro.md), une fonctionnalité qui vous aide à gérer Security Hub CSPM sur plusieurs comptes et régions, n'est disponible que lorsque vous intégrez des Organizations.

Cette section explique comment passer de la gestion manuelle des comptes basée sur les invitations à la gestion des comptes avec. AWS Organizations

## Intégration de Security Hub CSPM à AWS Organizations
<a name="transition-activate-orgs-integration"></a>

Tout d'abord, vous devez intégrer Security Hub CSPM et. AWS Organizations

Vous pouvez intégrer ces services en suivant les étapes suivantes :
+ Créez une organisation dans AWS Organizations. Pour obtenir des instructions, voir [Création d'une organisation](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_create.html#create-org) dans le *guide de AWS Organizations l'utilisateur*.
+ Dans le compte de gestion des Organizations, désignez un compte d'administrateur délégué Security Hub CSPM.

**Note**  
Le compte de gestion de l'organisation *ne peut pas* être défini comme compte DA.

Pour obtenir des instructions complètes, consultez [Intégration de Security Hub CSPM à AWS Organizations](designate-orgs-admin-account.md).

En effectuant les étapes précédentes, vous accordez un [accès sécurisé à](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-securityhub.html#integrate-enable-ta-securityhub) Security Hub CSPM dans. AWS Organizations Cela active également Security Hub CSPM en cours Région AWS pour le compte administrateur délégué.

L'administrateur délégué peut gérer l'organisation dans Security Hub CSPM, principalement en ajoutant les comptes de l'organisation en tant que comptes membres du Security Hub CSPM. L'administrateur peut également accéder à certains paramètres, données et ressources du Security Hub CSPM pour ces comptes.

Lorsque vous passez à la gestion des comptes à l'aide d'Organizations, les comptes basés sur des invitations ne deviennent pas automatiquement membres du Security Hub CSPM. Seuls les comptes que vous ajoutez à votre nouvelle organisation peuvent devenir membres du Security Hub CSPM.

Après avoir activé l'intégration, vous pouvez gérer les comptes auprès des Organizations. Pour plus d'informations, consultez [Gestion du Security Hub CSPM pour plusieurs comptes avec AWS Organizations](securityhub-accounts-orgs.md). La gestion des comptes varie en fonction du type de configuration de votre organisation.

# Actions autorisées par les comptes administrateur et membre dans Security Hub CSPM
<a name="securityhub-accounts-allowed-actions"></a>

Les comptes administrateur et membre ont accès aux actions CSPM du AWS Security Hub indiquées dans les tableaux suivants. Dans les tableaux, les valeurs ont les significations suivantes :
+ **N'importe lequel :** le compte peut exécuter l'action pour n'importe quel compte membre sous le même administrateur.
+ **Actuel :** le compte ne peut effectuer l'action que pour lui-même (le compte auquel vous êtes actuellement connecté).
+ **Dash —** Indique que le compte ne peut pas effectuer l'action.

Comme indiqué dans les tableaux, les actions autorisées varient selon que vous les intégrez ou non AWS Organizations et selon le type de configuration utilisé par votre organisation. Pour plus d'informations sur la différence entre la configuration centrale et la configuration locale, consultez[Gérer des comptes avec AWS Organizations](securityhub-accounts.md#securityhub-orgs-account-management-overview).

Security Hub CSPM ne copie pas les résultats des comptes des membres dans le compte administrateur. Dans Security Hub CSPM, tous les résultats sont ingérés dans une région spécifique pour un compte spécifique. Dans chaque région, le compte administrateur peut consulter et gérer les résultats de ses comptes membres dans cette région.

Si vous définissez une région d'agrégation, le compte administrateur peut consulter et gérer les résultats des comptes des membres provenant des régions liées qui sont répliqués dans la région d'agrégation. Pour plus d'informations sur l'agrégation entre régions, voir Agrégation [entre régions.](https://docs.aws.amazon.com/securityhub/latest/userguide/finding-aggregation.html)

Les tableaux suivants indiquent les autorisations par défaut pour les comptes d'administrateur et de membre. Vous pouvez utiliser des politiques IAM personnalisées pour restreindre davantage l'accès aux fonctionnalités et fonctions du Security Hub CSPM. Pour obtenir des conseils et des exemples, consultez le billet de blog [Aligning IAM policies to user personas for AWS Security Hub CSPM](https://aws.amazon.com/blogs/security/aligning-iam-policies-to-user-personas-for-aws-security-hub/).

## Actions autorisées si vous intégrez à Organizations et utilisez une configuration centralisée
<a name="central-configuration-allowed-actions"></a>

Les comptes administrateur et membre peuvent accéder aux actions CSPM de Security Hub comme suit si vous intégrez Organizations et utilisez une configuration centralisée.


|  Action  |  Compte d'administrateur délégué Security Hub CSPM  |  Compte membre géré de manière centralisée  |  Compte de membre autogéré  | 
| --- | --- | --- | --- | 
|  Création et gestion des politiques de configuration CSPM de Security Hub  |  Pour les comptes gérés de manière autonome ou centralisée  |  –  |  –  | 
|  Afficher les comptes de l'organisation  |  N’importe lequel  |  –  |  –  | 
|  Dissocier le compte membre  |  N’importe lequel  |  –  |  –  | 
|  Supprimer le compte du membre  |  Tout compte n'appartenant pas à une organisation  |  –  |  –  | 
|  Désactiver Security Hub CSPM  |  Pour les comptes courants et les comptes gérés de manière centralisée  |  –  |  En cours (doit être dissocié du compte administrateur)  | 
|  Afficher les résultats et retrouver l'historique  |  N’importe lequel  |  Current  |  Current  | 
|  Mettre à jour les résultats  |  N’importe lequel  |  Current  |  Current  | 
|  Afficher les résultats d'analyse  |  N’importe lequel  |  Current  |  Current  | 
|  Afficher les détails du contrôle  |  N’importe lequel  |  Current  |  Current  | 
|  Activer ou désactiver les résultats de contrôle consolidés  |  N’importe lequel  |  –  |  –  | 
|  Activer et désactiver les normes  |  Pour les comptes courants et les comptes gérés de manière centralisée  |  –  |  Current  | 
|  Activer et désactiver les contrôles  |  Pour les comptes courants et les comptes gérés de manière centralisée  |  –  |  Current  | 
|  Activer et désactiver les intégrations  |  Current  |  Current  |  Current  | 
|  Configuration de l'agrégation entre régions  |  N’importe lequel  |  –  |  –  | 
|  Sélectionnez la région d'origine et les régions associées  |  N'importe laquelle (vous devez arrêter et redémarrer la configuration centrale pour changer de région d'origine)  |  –  |  –  | 
|  Configurer des actions personnalisées  |  Current  |  Current  |  Current  | 
|  Configuration des règles d'automatisation  |  N’importe lequel  |  –  |  –  | 
|  Configurer des informations personnalisées  |  Current  |  Current  |  Current  | 

## Actions autorisées si vous intégrez des organisations et utilisez une configuration locale
<a name="orgs-allowed-actions"></a>

Les comptes d'administrateur et de membre peuvent accéder aux actions CSPM de Security Hub comme suit si vous les intégrez à Organizations et utilisez une configuration locale.


|  Action  |  Compte d'administrateur délégué Security Hub CSPM  |  Compte membre  | 
| --- | --- | --- | 
|  Création et gestion des politiques de configuration CSPM de Security Hub  |  –  |  –  | 
|  Afficher les comptes de l'organisation  |  N’importe lequel  |  –  | 
|  Dissocier le compte membre  |  N’importe lequel  |  –  | 
|  Supprimer le compte du membre  |  –  |  –  | 
|  Désactiver Security Hub CSPM  |  –  |  En cours (si le compte est dissocié de l'administrateur délégué)  | 
|  Afficher les résultats et retrouver l'historique  |  N’importe lequel  |  Current  | 
|  Mettre à jour les résultats  |  N’importe lequel  |  Current  | 
|  Afficher les résultats d'analyse  |  N’importe lequel  |  Current  | 
|  Afficher les détails du contrôle  |  N’importe lequel  |  Current  | 
|  Activer ou désactiver les résultats de contrôle consolidés  |  N’importe lequel  |  –  | 
|  Activer et désactiver les normes  |  Current  |  Current  | 
|  Activez automatiquement le Security Hub CSPM et les normes par défaut dans les nouveaux comptes d'entreprise  |  Pour les comptes courants et les nouveaux comptes de l'organisation  |  –  | 
|  Activer et désactiver les contrôles  |  Current  |  Current  | 
|  Activer et désactiver les intégrations  |  Current  |  Current  | 
|  Configuration de l'agrégation entre régions  |  N’importe lequel  |  –  | 
|  Configurer des actions personnalisées  |  Current  |  Current  | 
|  Configuration des règles d'automatisation  |  N’importe lequel  |  –  | 
|  Configurer des informations personnalisées  |  Current  |  Current  | 

## Actions autorisées pour les comptes basés sur des invitations
<a name="manual-allowed-actions"></a>

Les comptes d'administrateur et de membre peuvent accéder aux actions CSPM de Security Hub comme suit si vous utilisez la méthode basée sur les invitations pour gérer manuellement les comptes au lieu de les intégrer. AWS Organizations


|  Action  |  Compte administrateur Security Hub CSPM  |  Compte membre  | 
| --- | --- | --- | 
|  Création et gestion des politiques de configuration CSPM de Security Hub  |  –  |  –  | 
|  Afficher les comptes de l'organisation  |  N’importe lequel  |  –  | 
|  Dissocier le compte membre  |  N’importe lequel  |  Current  | 
|  Supprimer le compte du membre  |  N’importe lequel  |  –  | 
|  Désactiver Security Hub CSPM  |  En cours (si aucun compte de membre n'est activé)  |  En cours (si le compte est dissocié du compte administrateur)  | 
|  Afficher les résultats et retrouver l'historique  |  N’importe lequel  |  Current  | 
|  Mettre à jour les résultats  |  N’importe lequel  |  Current  | 
|  Afficher les résultats d'analyse  |  N’importe lequel  |  Current  | 
|  Afficher les détails du contrôle  |  N’importe lequel  |  Current  | 
|  Activer ou désactiver les résultats de contrôle consolidés  |  N’importe lequel  |  –  | 
|  Activer et désactiver les normes  |  Current  |  Current  | 
|  Activez automatiquement le Security Hub CSPM et les normes par défaut dans les nouveaux comptes d'entreprise  |  –  |  –  | 
|  Activer et désactiver les contrôles  |  Current  |  Current  | 
|  Activer et désactiver les intégrations  |  Current  |  Current  | 
|  Configuration de l'agrégation entre régions  |  N’importe lequel  |  –  | 
|  Configurer des actions personnalisées  |  Current  |  Current  | 
|  Configuration des règles d'automatisation  |  N’importe lequel  |  –  | 
|  Configurer des informations personnalisées  |  Current  |  Current  | 

# Effet des actions du compte sur les données CSPM du Security Hub
<a name="securityhub-data-retention"></a>

Ces actions de compte ont les effets suivants sur les données CSPM du AWS Security Hub.

## Security Hub CSPM désactivé
<a name="securityhub-effects-disable-securityhub"></a>

Si vous utilisez la [configuration centralisée](central-configuration-intro.md), l'administrateur délégué (DA) peut créer des politiques de configuration Security Hub CSPM qui désactivent AWS Security Hub CSPM dans des comptes et des unités organisationnelles spécifiques (). OUs Dans ce cas, Security Hub CSPM est désactivé dans les comptes spécifiés, dans votre région d'origine et OUs dans toutes les régions associées. Si vous n'utilisez pas la configuration centralisée, vous devez désactiver Security Hub CSPM séparément dans chaque compte et région où vous l'avez activé. Vous ne pouvez pas utiliser la configuration centralisée si Security Hub CSPM est désactivé dans le compte DA.

Aucun résultat n'est généré ou mis à jour pour le compte administrateur si Security Hub CSPM est désactivé dans le compte administrateur. Les résultats archivés existants sont supprimés au bout de 30 jours. Les résultats actifs existants sont supprimés au bout de 90 jours.

Les intégrations avec les autres Services AWS sont supprimées.

Les normes et contrôles de sécurité activés sont désactivés.

Les autres données et paramètres du Security Hub CSPM, notamment les actions personnalisées, les informations et les abonnements à des produits tiers, sont conservés pendant 90 jours.

## Compte membre dissocié du compte administrateur
<a name="securityhub-effects-member-disassociation"></a>

Lorsqu'un compte membre est dissocié du compte administrateur, le compte administrateur perd l'autorisation de consulter les résultats du compte membre. Cependant, Security Hub CSPM est toujours activé dans les deux comptes.

Si vous utilisez la configuration centralisée, le DA ne peut pas configurer le Security Hub CSPM pour un compte membre dissocié du compte DA.

Les paramètres personnalisés ou les intégrations définis pour le compte administrateur ne sont pas appliqués aux résultats de l'ancien compte membre. Par exemple, une fois les comptes dissociés, vous pouvez avoir une action personnalisée dans le compte administrateur utilisée comme modèle d'événement dans une EventBridge règle Amazon. Toutefois, cette action personnalisée ne peut pas être utilisée dans le compte du membre.

**Dans la liste des **comptes** du compte administrateur Security Hub CSPM, le statut Dissocié est attribué à un compte supprimé.**

## Le compte de membre est supprimé d'une organisation
<a name="securityhub-effects-member-leaves-org"></a>

Lorsqu'un compte membre est supprimé d'une organisation, le compte administrateur du Security Hub CSPM perd l'autorisation de consulter les résultats du compte membre. Cependant, Security Hub CSPM est toujours activé dans les deux comptes avec les mêmes paramètres qu'avant sa suppression.

Si vous utilisez la configuration centralisée, vous ne pouvez pas configurer le Security Hub CSPM pour un compte membre une fois celui-ci supprimé de l'organisation à laquelle appartient l'administrateur délégué. Toutefois, le compte conserve les paramètres qu'il avait avant sa suppression, sauf si vous les modifiez manuellement.

**Dans la liste des **comptes** du compte administrateur Security Hub CSPM, le statut d'un compte supprimé est Deleted.**

## Le compte est suspendu
<a name="securityhub-effects-account-suspended"></a>

Lorsqu'un compte Compte AWS est suspendu, le compte perd l'autorisation de consulter ses résultats dans Security Hub CSPM. Aucun résultat n'est généré ou mis à jour pour ce compte. Le compte administrateur d'un compte suspendu peut consulter les résultats existants concernant le compte.

Pour un compte d'organisation, le statut du compte membre peut également passer à **Compte suspendu**. Cela se produit si le compte est suspendu au moment où le compte administrateur tente de l'activer. Le compte administrateur d'un **compte suspendu** ne peut pas consulter les résultats relatifs à ce compte. Dans le cas contraire, le statut suspendu n'affecte pas le statut du compte du membre.

Si vous utilisez la configuration centralisée, l'association de politiques échoue si l'administrateur délégué essaie d'associer une politique de configuration à un compte suspendu.

Après 90 jours, le compte est soit résilié, soit réactivé. Lorsque le compte est réactivé, ses autorisations Security Hub CSPM sont restaurées. Si le statut du compte membre est **Compte suspendu**, le compte administrateur doit activer le compte manuellement.

## Le compte est fermé
<a name="securityhub-effects-account-deletion"></a>

Lorsqu'un Compte AWS est fermé, Security Hub CSPM répond à la fermeture comme suit.

Si le compte est un compte administrateur Security Hub CSPM, il est supprimé en tant que compte administrateur et tous les comptes membres sont supprimés. S'il s'agit d'un compte membre, il est dissocié et supprimé en tant que membre du compte administrateur du Security Hub CSPM.

Security Hub CSPM conserve les résultats archivés existants dans le compte pendant 30 jours. Pour une constatation de contrôle, le calcul de 30 jours est basé sur la valeur du `UpdatedAt` champ de la constatation. Pour un autre type de résultat, le calcul est basé sur la valeur du `ProcessedAt` champ `UpdatedAt` ou du résultat, quelle que soit la date la plus récente. À la fin de cette période de 30 jours, Security Hub CSPM supprime définitivement le résultat du compte.

Security Hub CSPM conserve les résultats actifs existants dans le compte pendant 90 jours. Pour une constatation de contrôle, le calcul de 90 jours est basé sur la valeur du `UpdatedAt` champ de la constatation. Pour un autre type de résultat, le calcul est basé sur la valeur du `ProcessedAt` champ `UpdatedAt` ou du résultat, quelle que soit la date la plus récente. À la fin de cette période de 90 jours, Security Hub CSPM supprime définitivement le résultat du compte.

Pour conserver à long terme les résultats existants, vous pouvez les exporter vers un compartiment S3. Vous pouvez le faire en utilisant une action personnalisée avec une EventBridge règle Amazon. Pour de plus amples informations, veuillez consulter [Utilisation EventBridge pour une réponse et une correction automatisées](securityhub-cloudwatch-events.md).

**Important**  
Pour les clients inscrits AWS GovCloud (US) Regions, sauvegardez puis supprimez les données de votre politique et les autres ressources de votre compte avant de fermer votre compte. Vous n'aurez pas accès aux ressources et aux données après la fermeture de votre compte.

Pour plus d'informations, voir [Fermer un Compte AWS](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/close-account.html) dans le *guide Gestion de compte AWS de référence*.