Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Activation du Security Hub CSPM
<a name="securityhub-settingup"></a>

Il existe deux manières d'activer AWS Security Hub CSPM : en intégrant AWS Organizations ou manuellement.

Nous recommandons vivement l'intégration avec Organizations pour les environnements multicomptes et multirégionaux. Si vous avez un compte autonome, il est nécessaire de configurer le Security Hub CSPM manuellement.

## Vérification des autorisations nécessaires
<a name="securityhub-setup-permissions"></a>

Après vous être inscrit à Amazon Web Services (AWS), vous devez activer Security Hub CSPM pour utiliser ses capacités et fonctionnalités. Pour activer Security Hub CSPM, vous devez d'abord configurer des autorisations vous permettant d'accéder à la console Security Hub CSPM et aux opérations de l'API. Vous ou votre AWS administrateur pouvez le faire en utilisant Gestion des identités et des accès AWS (IAM) pour associer la politique AWS gérée appelée `AWSSecurityHubFullAccess` à votre identité IAM.

Pour activer et gérer Security Hub CSPM via l'intégration Organizations, vous devez également joindre la politique AWS gérée appelée. `AWSSecurityHubOrganizationsAccess`

Pour de plus amples informations, veuillez consulter [AWS politiques gérées pour Security Hub](security-iam-awsmanpol.md).

## Activation de l'intégration de Security Hub (CSPM) avec Organizations
<a name="securityhub-orgs-setup-overview"></a>

Pour commencer à utiliser Security Hub CSPM avec AWS Organizations, le compte de AWS Organizations gestion de l'organisation désigne un compte en tant que compte administrateur délégué du Security Hub CSPM pour l'organisation. Security Hub CSPM est automatiquement activé dans le compte d'administrateur délégué de la région actuelle.

Choisissez votre méthode préférée et suivez les étapes pour désigner l'administrateur délégué.

------
#### [ Security Hub CSPM console ]

**Pour désigner l'administrateur délégué du Security Hub CSPM lors de l'intégration**

1. Ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Choisissez **Go to Security Hub CSPM**. Vous êtes invité à vous connecter au compte de gestion des Organizations.

1. Sur la page **Désigner un administrateur délégué**, dans la section **Compte d'administrateur délégué**, spécifiez le compte d'administrateur délégué. Nous vous recommandons de choisir le même administrateur délégué que celui que vous avez défini pour les autres services AWS de sécurité et de conformité.

1. Choisissez **Définir un administrateur délégué**.

------
#### [ Security Hub CSPM API ]

Appelez l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_EnableOrganizationAdminAccount.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_EnableOrganizationAdminAccount.html)API depuis le compte de gestion des Organizations. Indiquez l' Compte AWS ID du compte d'administrateur délégué du Security Hub CSPM.

------
#### [ AWS CLI ]

Exécutez la [https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-organization-admin-account.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-organization-admin-account.html)commande depuis le compte de gestion des Organizations. Indiquez l' Compte AWS ID du compte d'administrateur délégué du Security Hub CSPM.

**Exemple de commande :**

```
aws securityhub enable-organization-admin-account --admin-account-id 777788889999
```

------

Pour plus d'informations sur l'intégration avec Organizations, consultez[Intégration de Security Hub CSPM à AWS Organizations](designate-orgs-admin-account.md).

### Configuration centrale
<a name="securityhub-central-config"></a>

Lorsque vous intégrez Security Hub CSPM et Organizations, vous avez la possibilité d'utiliser une fonctionnalité appelée [configuration centrale](central-configuration-intro.md) pour configurer et gérer Security Hub CSPM pour votre organisation. Nous recommandons vivement d'utiliser la configuration centralisée, car elle permet à l'administrateur de personnaliser la couverture de sécurité pour l'organisation. Le cas échéant, l'administrateur délégué peut autoriser un compte membre à configurer ses propres paramètres de couverture de sécurité.

La configuration centrale permet à l'administrateur délégué de configurer Security Hub CSPM sur tous les comptes OUs, et. Régions AWS L'administrateur délégué configure Security Hub CSPM en créant des politiques de configuration. Dans une politique de configuration, vous pouvez définir les paramètres suivants :
+ Si Security Hub CSPM est activé ou désactivé
+ Quelles normes de sécurité sont activées et désactivées
+ Quels contrôles de sécurité sont activés et désactivés
+ S'il faut personnaliser les paramètres de certaines commandes

En tant qu'administrateur délégué, vous pouvez créer une politique de configuration unique pour l'ensemble de votre organisation ou différentes politiques de configuration pour vos différents comptes et OUs. Par exemple, les comptes de test et les comptes de production peuvent utiliser des politiques de configuration différentes.

Les comptes membres et OUs ceux qui utilisent une politique de configuration sont *gérés de manière centralisée* et ne peuvent être configurés que par l'administrateur délégué. L'administrateur délégué peut désigner des comptes de membre spécifiques et les désigner OUs comme étant *autogérés* afin de donner au membre la possibilité de configurer ses propres paramètres sur une Region-by-Region base donnée.

Si vous n'utilisez pas la configuration centralisée, vous devez configurer Security Hub CSPM séparément dans chaque compte et région. C'est ce qu'on appelle [la configuration locale](local-configuration.md). Dans le cadre de la configuration locale, l'administrateur délégué peut automatiquement activer Security Hub CSPM et un ensemble limité de normes de sécurité dans les nouveaux comptes d'organisation de la région actuelle. La configuration locale ne s'applique pas aux comptes d'organisation existants ni aux régions autres que la région actuelle. La configuration locale ne prend pas non plus en charge l'utilisation de politiques de configuration.

## Activation manuelle du Security Hub CSPM
<a name="securityhub-manual-setup-overview"></a>

Vous devez activer Security Hub CSPM manuellement si vous possédez un compte autonome ou si vous ne l'intégrez pas à. AWS Organizations Les comptes autonomes ne peuvent pas s'intégrer à l' AWS Organizations activation manuelle et doivent l'utiliser.

Lorsque vous activez le Security Hub CSPM manuellement, vous désignez un compte administrateur Security Hub CSPM et vous invitez d'autres comptes à devenir des comptes membres. La relation administrateur-membre est établie lorsqu'un compte de membre potentiel accepte l'invitation.

Choisissez votre méthode préférée et suivez les étapes pour activer Security Hub CSPM. Lorsque vous activez Security Hub CSPM depuis la console, vous avez également la possibilité d'activer les normes de sécurité prises en charge.

------
#### [ Security Hub CSPM console ]

1. Ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1.  Lorsque vous ouvrez la console Security Hub CSPM pour la première fois, choisissez **Go to Security Hub** CSPM.

1. Sur la page d'accueil, la section **Normes de sécurité** répertorie les normes de sécurité prises en charge par Security Hub CSPM.

   Cochez la case correspondant à une norme pour l'activer, puis décochez-la pour la désactiver.

   Vous pouvez activer ou désactiver une norme ou ses contrôles individuels à tout moment. Pour plus d'informations sur la gestion des normes de sécurité, consultez[Comprendre les normes de sécurité dans Security Hub CSPM](standards-view-manage.md).

1. Choisissez **Enable Security Hub (Activer le hub de sécurité)**.

------
#### [ Security Hub CSPM API ]

Appelez l'[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_EnableSecurityHub.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_EnableSecurityHub.html)API. Lorsque vous activez Security Hub CSPM depuis l'API, les normes de sécurité par défaut suivantes sont automatiquement activées :
+ AWS Bonnes pratiques de sécurité fondamentales
+ Benchmark v1.2.0 des AWS fondations du Center for Internet Security (CIS)

Si vous ne souhaitez pas activer ces normes, définissez `EnableDefaultStandards` sur `false`.

Vous pouvez également utiliser le `Tags` paramètre pour attribuer des valeurs de balise à la ressource du hub.

------
#### [ AWS CLI ]

Exécutez la commande [https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-security-hub.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-security-hub.html). Pour activer les normes par défaut, incluez`--enable-default-standards`. Pour ne pas activer les normes par défaut, incluez`--no-enable-default-standards`. Les normes de sécurité par défaut sont les suivantes :
+ AWS Bonnes pratiques de sécurité fondamentales
+ Benchmark v1.2.0 des AWS fondations du Center for Internet Security (CIS)

```
aws securityhub enable-security-hub [--tags <tag values>] [--enable-default-standards | --no-enable-default-standards]
```

**Exemple**

```
aws securityhub enable-security-hub --enable-default-standards --tags '{"Department": "Security"}'
```

------

### Script d'activation multi-comptes
<a name="securityhub-enable-multiaccount-script"></a>

**Note**  
Au lieu de ce script, nous vous recommandons d'utiliser une configuration centralisée pour activer et configurer Security Hub CSPM sur plusieurs comptes et régions. 

Le [script d'activation multicompte Security Hub CSPM vous GitHub permet d'activer le](https://github.com/awslabs/aws-securityhub-multiaccount-scripts) Security Hub CSPM sur plusieurs comptes et régions. Le script automatise également le processus d'envoi d'invitations aux comptes des membres et d'activation AWS Config.

Le script active automatiquement l'enregistrement AWS Config des ressources pour toutes les ressources, y compris les ressources globales, dans toutes les régions. Il ne limite pas l'enregistrement des ressources mondiales à une seule région. Pour réduire les coûts, nous recommandons de n'enregistrer les ressources mondiales que dans une seule région. Si vous utilisez la configuration centrale ou l'agrégation entre régions, il doit s'agir de votre région d'origine. Pour de plus amples informations, veuillez consulter [Enregistrer des ressources dans AWS Config](securityhub-setup-prereqs.md#config-resource-recording).

Il existe un script correspondant pour désactiver le Security Hub CSPM entre les comptes et les régions.

## Prochaines étapes : gestion de la posture et intégrations
<a name="securityhub-enable-next-steps"></a>

Après avoir activé Security Hub CSPM, nous vous recommandons d'activer les normes et les contrôles de sécurité pour surveiller votre niveau de sécurité. Une fois les contrôles activés, Security Hub CSPM commence à exécuter des contrôles de sécurité et à générer des résultats de contrôle qui vous aident à détecter les erreurs de configuration dans votre environnement. AWS Pour recevoir les résultats des contrôles, vous devez activer et configurer AWS Config le Security Hub CSPM. Pour de plus amples informations, veuillez consulter [Activation et configuration AWS Config pour Security Hub CSPM](securityhub-setup-prereqs.md).

Après avoir activé Security Hub CSPM, vous pouvez également tirer parti des intégrations entre Security Hub CSPM Services AWS et d'autres solutions tierces pour consulter leurs conclusions dans Security Hub CSPM. Security Hub CSPM regroupe les résultats provenant de différentes sources et les intègre dans un format cohérent. Pour de plus amples informations, veuillez consulter [Comprendre les intégrations dans Security Hub CSPM](securityhub-findings-providers.md). 

# Activation et configuration AWS Config pour Security Hub CSPM
<a name="securityhub-setup-prereqs"></a>

AWS Security Hub CSPM utilise des AWS Config règles pour exécuter des contrôles de sécurité et générer des résultats pour la plupart des contrôles. AWS Config fournit une vue détaillée de la configuration des AWS ressources de votre Compte AWS. Il utilise des règles pour établir une configuration de base pour vos ressources et un enregistreur de configuration pour détecter si une ressource particulière enfreint les conditions d'une règle.

Certaines règles, appelées règles AWS Config gérées, sont prédéfinies et développées par AWS Config. Les autres règles sont des AWS Config règles personnalisées développées par Security Hub CSPM. AWS Config les règles utilisées par Security Hub CSPM pour les contrôles sont appelées règles liées aux *services*. Les règles liées aux services permettent, Services AWS par exemple au Security Hub CSPM, de créer des AWS Config règles dans votre compte. 

Pour recevoir les résultats des contrôles dans Security Hub CSPM, vous devez activer votre AWS Config compte. Vous devez également activer l'enregistrement des ressources pour les types de ressources que les contrôles activés évaluent. Security Hub CSPM peut ensuite créer les AWS Config règles appropriées pour les contrôles, commencer à exécuter des contrôles de sécurité et générer des résultats pour les contrôles.

**Topics**
+ [Considérations avant l'activation et la configuration AWS Config](#securityhub-prereq-config)
+ [Enregistrer des ressources dans AWS Config](#config-resource-recording)
+ [Méthodes d'activation et de configuration AWS Config](#config-how-to-enable)
+ [Comprendre le contrôle Config.1](#config-1-overview)
+ [Génération de règles liées à un service](#securityhub-standards-generate-awsconfigrules)
+ [Considérations de coût](#config-cost-considerations)

## Considérations avant l'activation et la configuration AWS Config
<a name="securityhub-prereq-config"></a>

Pour recevoir les résultats de contrôle dans Security Hub CSPM, celui-ci AWS Config doit être activé pour votre compte dans chaque Région AWS cas où Security Hub CSPM est activé. Si vous utilisez Security Hub CSPM pour un environnement multi-comptes, celui-ci AWS Config doit être activé dans chaque région pour le compte administrateur et tous les comptes membres.

Nous vous recommandons vivement d'activer l'enregistrement des ressources AWS Config *avant* d'activer les normes et contrôles CSPM du Security Hub. Cela vous permet de vous assurer que les résultats de vos contrôles sont exacts.

Pour activer l'enregistrement des ressources dans AWS Config, vous devez disposer des autorisations suffisantes pour enregistrer les ressources dans le rôle Gestion des identités et des accès AWS (IAM) attaché à l'enregistreur de configuration. En outre, assurez-vous qu'aucune politique ou AWS Organizations politique IAM n' AWS Config empêche d'avoir l'autorisation d'enregistrer vos ressources. Les contrôles CSPM du Security Hub évaluent directement les configurations des ressources et ne tiennent pas compte AWS Organizations des politiques. Pour plus d'informations sur AWS Config l'enregistrement, consultez la section [Utilisation de l'enregistreur de configuration](https://docs.aws.amazon.com/config/latest/developerguide/stop-start-recorder.html) dans le *Guide du AWS Config développeur*.

Si vous activez une norme dans Security Hub CSPM mais que vous ne l'avez pas activée AWS Config, Security Hub CSPM essaie de créer des AWS Config règles liées au service selon le calendrier suivant :
+ Le jour où vous activez la norme.
+ Le lendemain de l'activation de la norme.
+ 3 jours après avoir activé la norme.
+ 7 jours après l'activation de la norme, puis en continu tous les 7 jours.

Si vous utilisez la configuration centralisée, Security Hub CSPM essaie également de créer des AWS Config règles liées aux services chaque fois que vous associez une politique de configuration qui active une ou plusieurs normes aux comptes, aux unités organisationnelles (OUs) ou à la racine.

## Enregistrer des ressources dans AWS Config
<a name="config-resource-recording"></a>

Lorsque vous l'activez AWS Config, vous devez spécifier les AWS ressources que vous souhaitez que l'enregistreur de AWS Config configuration enregistre. Grâce aux règles liées au service, l'enregistreur de configuration permet à Security Hub CSPM de détecter les modifications apportées à la configuration de vos ressources.

Pour que Security Hub CSPM génère des résultats de contrôle précis, vous devez activer l'enregistrement AWS Config pour les types de ressources correspondant à vos contrôles activés. Il s'agit principalement de contrôles activés avec un type de calendrier *déclenché par des modifications* qui nécessitent un enregistrement des ressources. Certains contrôles dotés d'un type de calendrier *périodique* nécessitent également un enregistrement des ressources. Pour obtenir la liste de ces contrôles et des ressources correspondantes, consultez[AWS Config Ressources requises pour les résultats des contrôles](controls-config-resources.md).

**Avertissement**  
Si vous ne configurez pas correctement AWS Config l'enregistrement pour les contrôles Security Hub CSPM, cela peut entraîner des résultats de contrôle inexacts, en particulier dans les cas suivants :  
Vous n'avez jamais enregistré la ressource pour un contrôle donné, ou vous avez désactivé l'enregistrement d'une ressource avant de créer ce type de ressource. Dans ces cas, vous recevez un `WARNING` résultat pour le contrôle en question, même si vous avez peut-être créé des ressources dans le cadre du contrôle après avoir désactivé l'enregistrement. Il `WARNING` s'agit d'un résultat par défaut qui n'évalue pas réellement l'état de configuration de la ressource.
Vous désactivez l'enregistrement pour une ressource évaluée par un contrôle particulier. Dans ce cas, Security Hub CSPM conserve les résultats du contrôle générés avant que vous ne désactiviez l'enregistrement, même si le contrôle n'évalue pas les ressources nouvelles ou mises à jour. Security Hub CSPM modifie également le statut de conformité des résultats en. `WARNING` Ces résultats conservés peuvent ne pas refléter avec précision l'état de configuration actuel d'une ressource.

Par défaut, AWS Config enregistre toutes les *ressources régionales* prises en charge qu'il découvre dans le Région AWS système dans lequel il s'exécute. Pour recevoir tous les résultats du contrôle CSPM du Security Hub, vous devez également configurer AWS Config pour enregistrer les ressources *globales*. Pour réduire les coûts, nous recommandons de n'enregistrer les ressources mondiales que dans une seule région. Si vous utilisez la configuration centrale ou l'agrégation entre régions, cette région doit être votre région d'origine.

Dans AWS Config, vous pouvez choisir entre *un enregistrement continu* et un *enregistrement quotidien* des modifications de l'état des ressources. Si vous optez pour un enregistrement quotidien, AWS Config fournit les données de configuration des ressources à la fin de chaque période de 24 heures en cas de modification de l'état des ressources. S'il n'y a aucune modification, aucune donnée n'est transmise. Cela peut retarder la génération des résultats CSPM du Security Hub pour les contrôles déclenchés par des modifications jusqu'à ce qu'une période de 24 heures soit terminée.

Pour plus d'informations sur AWS Config l'enregistrement, consultez la section [AWS Ressources relatives à l'enregistrement](https://docs.aws.amazon.com/config/latest/developerguide/select-resources.html) dans le *Guide du AWS Config développeur*.

## Méthodes d'activation et de configuration AWS Config
<a name="config-how-to-enable"></a>

Vous pouvez activer AWS Config et activer l'enregistrement des ressources de l'une des manières suivantes :
+ **AWS Config console** — Vous pouvez activer un compte AWS Config à l'aide de la AWS Config console. Pour obtenir des instructions, reportez-vous à la section [Configuration AWS Config à l'aide de la console](https://docs.aws.amazon.com/config/latest/developerguide/gs-console.html) dans le *Guide du AWS Config développeur*.
+ **AWS CLI ou SDKs** — Vous pouvez activer AWS Config un compte en utilisant le AWS Command Line Interface (AWS CLI). Pour obtenir des instructions, consultez la section [Configuration AWS Config avec le AWS CLI](https://docs.aws.amazon.com/config/latest/developerguide/gs-cli.html) dans le *guide du AWS Config développeur*. AWS des kits de développement logiciel (SDKs) sont également disponibles pour de nombreux langages de programmation.
+ **CloudFormation modèle** — Pour l'activer AWS Config pour de nombreux comptes, nous vous recommandons d'utiliser le AWS CloudFormation modèle nommé **Enable AWS Config**. Pour accéder à ce modèle, consultez les [AWS CloudFormation StackSet exemples de modèles](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-sampletemplates.html) dans le *guide de AWS CloudFormation l'utilisateur*.

  Par défaut, ce modèle exclut l'enregistrement pour les ressources globales IAM. Assurez-vous d'activer l'enregistrement pour les ressources mondiales IAM en une seule fois afin de réduire Région AWS les coûts d'enregistrement. Si l'agrégation entre régions est activée, il doit s'agir de votre région d'origine du [Security Hub CSPM](finding-aggregation.md). Sinon, il peut s'agir de n'importe quelle région dans laquelle Security Hub CSPM est disponible et qui prend en charge l'enregistrement des ressources mondiales IAM. Nous vous recommandons d'en exécuter un StackSet pour enregistrer toutes les ressources, y compris les ressources globales IAM, dans la région d'origine ou dans une autre région sélectionnée. Exécutez ensuite une seconde StackSet pour enregistrer toutes les ressources, à l'exception des ressources globales IAM dans les autres régions.
+ **GitHub script** : Security Hub CSPM propose un [GitHubscript](https://github.com/awslabs/aws-securityhub-multiaccount-scripts) qui active Security Hub CSPM AWS Config pour plusieurs comptes dans toutes les régions. Ce script est utile si vous ne vous êtes pas intégré à une AWS Organizations organisation ou si vous possédez des comptes membres qui ne font pas partie d'une organisation.

Pour plus d'informations, consultez le billet de blog suivant sur le *blog de AWS sécurité* : [Optimize AWS Config for AWS Security Hub CSPM pour gérer efficacement votre posture de sécurité dans le cloud](https://aws.amazon.com/blogs/security/optimize-aws-config-for-aws-security-hub-to-effectively-manage-your-cloud-security-posture/).

## Comprendre le contrôle Config.1
<a name="config-1-overview"></a>

Dans Security Hub CSPM, le contrôle [Config.1](config-controls.md#config-1) génère des `FAILED` résultats dans votre compte s'il AWS Config est désactivé. Il génère également des `FAILED` résultats dans votre compte s'il AWS Config est activé mais que l'enregistrement des ressources n'est pas activé. 

S'il AWS Config est activé et que l'enregistrement des ressources est activé, mais que l'enregistrement des ressources n'est pas activé pour un type de ressource vérifié par un contrôle activé, Security Hub CSPM génère un `FAILED` résultat pour le contrôle Config.1. Outre ce `FAILED` résultat, Security Hub CSPM génère des `WARNING` résultats concernant le contrôle activé et les types de ressources que le contrôle contrôle. Par exemple, si vous activez le contrôle [KMS.5](kms-controls.md#kms-5) et que l'enregistrement des ressources n'est pas activé pour AWS KMS keys, Security Hub CSPM génère un `FAILED` résultat pour le contrôle Config.1. Security Hub CSPM génère également des `WARNING` résultats pour le contrôle KMS.5 et vos clés KMS.

Pour recevoir un `PASSED` résultat pour le contrôle Config.1, activez l'enregistrement des ressources pour tous les types de ressources correspondant aux contrôles activés. Désactivez également les contrôles qui ne sont pas obligatoires pour votre organisation. Cela permet de s'assurer que vous ne présentez aucune lacune de configuration lors de vos contrôles de sécurité. Cela permet également de garantir que vous recevez des informations précises sur les ressources mal configurées.

Si vous êtes l'administrateur délégué du Security Hub CSPM d'une organisation, l' AWS Config enregistrement doit être correctement configuré pour votre compte et les comptes de vos membres. Si vous utilisez l'agrégation entre régions, AWS Config l'enregistrement doit être correctement configuré dans la région d'origine et dans toutes les régions liées. Les ressources mondiales n'ont pas besoin d'être enregistrées dans les régions liées.

## Génération de règles liées à un service
<a name="securityhub-standards-generate-awsconfigrules"></a>

Pour chaque contrôle utilisant une AWS Config règle liée à un service, Security Hub CSPM crée des instances de la règle requise dans votre environnement. AWS 

Ces règles liées aux services sont spécifiques à Security Hub CSPM. Security Hub CSPM crée ces règles liées aux services même si d'autres instances des mêmes règles existent déjà. La règle liée au service est ajoutée `securityhub` avant le nom de règle d'origine et un identifiant unique après le nom de règle. Par exemple, pour la règle AWS Config gérée`vpc-flow-logs-enabled`, le nom de la règle liée au service peut être. `securityhub-vpc-flow-logs-enabled-12345`

Il existe des quotas pour le nombre de règles AWS Config gérées qui peuvent être utilisées pour évaluer les contrôles. AWS Config les règles créées par Security Hub CSPM ne sont pas prises en compte dans ces quotas. Vous pouvez activer une norme de sécurité même si vous avez déjà atteint le AWS Config quota de règles gérées dans votre compte. Pour en savoir plus sur les quotas pour AWS Config les règles, consultez la section [Limites AWS Config de service](https://docs.aws.amazon.com/config/latest/developerguide/configlimits.html) du *Guide du AWS Config développeur*.

## Considérations de coût
<a name="config-cost-considerations"></a>

Security Hub CSPM peut avoir un impact sur les coûts de votre enregistreur AWS Config de configuration en mettant à jour l'élément de `AWS::Config::ResourceCompliance` configuration. Des mises à jour peuvent avoir lieu chaque fois qu'un contrôle Security Hub CSPM associé à une AWS Config règle change d'état de conformité, est activé ou désactivé, ou comporte des mises à jour de paramètres. Si vous utilisez l'enregistreur de AWS Config configuration uniquement pour Security Hub CSPM et que vous n'utilisez pas cet élément de configuration à d'autres fins, nous vous recommandons de désactiver l'enregistrement dans. AWS Config Cela peut réduire vos AWS Config coûts. Vous n'avez pas besoin de vous enregistrer `AWS::Config::ResourceCompliance` pour que les contrôles de sécurité fonctionnent dans Security Hub CSPM.

[Pour plus d'informations sur les coûts associés à l'enregistrement des ressources, consultez [AWS la section Tarification et AWS Config tarification de Security Hub CSPM](https://aws.amazon.com/security-hub/pricing/).](https://aws.amazon.com/config/pricing/)

# Comprendre la configuration locale dans Security Hub CSPM
<a name="local-configuration"></a>

La configuration locale est la méthode par défaut utilisée par défaut pour configurer une AWS organisation dans Security Hub CSPM. Si vous n'acceptez pas et n'activez pas la configuration centralisée, votre organisation utilise la configuration locale par défaut.

Dans le cadre de la configuration locale, le compte administrateur délégué du Security Hub CSPM dispose d'un contrôle limité sur les paramètres de configuration. Les seuls paramètres que l'administrateur délégué peut appliquer sont l'activation automatique du Security Hub CSPM et des normes de sécurité par défaut dans les nouveaux comptes d'entreprise. Ces paramètres s'appliquent uniquement dans la région dans laquelle vous avez désigné le compte d'administrateur délégué. Les normes de sécurité par défaut sont AWS Foundational Security Best Practices (FSBP) et Center for Internet Security (CIS) AWS Foundations Benchmark v1.2.0. Les paramètres de configuration locaux ne s'appliquent pas aux comptes d'organisation existants ni aux régions autres que celle dans laquelle le compte d'administrateur délégué a été désigné.

Outre l'activation du Security Hub CSPM et des normes par défaut dans les nouveaux comptes d'organisation d'une même région, vous devez configurer les autres paramètres du Security Hub CSPM, y compris les normes et les contrôles, séparément dans chaque région et chaque compte. Comme ce processus peut être dupliqué, nous vous recommandons d'utiliser une configuration centralisée pour un environnement multi-comptes si une ou plusieurs des conditions suivantes s'appliquent à vous :
+ Vous souhaitez des paramètres de configuration différents pour les différentes parties de votre organisation (par exemple, différentes normes activées ou différents contrôles pour différentes équipes).
+ Vous opérez dans plusieurs régions et souhaitez réduire le temps et la complexité liés à la configuration du service dans ces régions.
+ Vous souhaitez que les nouveaux comptes utilisent des paramètres de configuration spécifiques lorsqu'ils rejoignent l'organisation.
+ Vous souhaitez que les comptes d'organisation héritent des paramètres de configuration spécifiques d'un compte parent ou root.

Pour plus d'informations sur la configuration centrale, consultez[Comprendre la configuration centrale dans Security Hub CSPM](central-configuration-intro.md).

# Comprendre la configuration centrale dans Security Hub CSPM
<a name="central-configuration-intro"></a>

La configuration centrale est une fonctionnalité AWS Security Hub CSPM qui vous aide à configurer et à gérer le Security Hub CSPM sur plusieurs et. Comptes AWS Régions AWS Pour utiliser la configuration centralisée, vous devez d'abord intégrer Security Hub CSPM et. AWS Organizations Vous pouvez intégrer les services en créant une organisation et en désignant un compte administrateur Security Hub CSPM délégué pour l'organisation.

À partir du compte administrateur délégué du Security Hub CSPM, vous pouvez activer le Security Hub CSPM pour les comptes et les unités organisationnelles () OUs de votre organisation dans toutes les régions. Vous pouvez également activer, configurer et désactiver les normes de sécurité et les contrôles de sécurité individuels pour les comptes et OUs entre les régions. Vous pouvez configurer ces paramètres en quelques étapes à partir d'une région principale, appelée *région d'origine*.

Lorsque vous utilisez la configuration centralisée, l'administrateur délégué peut choisir les comptes et OUs les configurer. Si l'administrateur délégué désigne un compte membre ou une unité d'organisation comme étant *autogéré*, le membre peut configurer ses propres paramètres séparément dans chaque région. Si l'administrateur délégué désigne un compte membre ou une unité d'organisation comme étant *géré de manière centralisée*, seul l'administrateur délégué peut configurer le compte de membre ou l'unité d'organisation dans toutes les régions. Vous pouvez désigner tous les OUs comptes de votre organisation comme étant gérés de manière centralisée, tous autogérés ou une combinaison des deux.

Pour configurer des comptes gérés de manière centralisée, l'administrateur délégué utilise les politiques de configuration CSPM de Security Hub. Les politiques de configuration permettent à l'administrateur délégué de spécifier si Security Hub CSPM est activé ou désactivé, et quelles normes et contrôles sont activés ou désactivés. Ils peuvent également être utilisés pour personnaliser les paramètres de certaines commandes.

Les politiques de configuration prennent effet dans la région d'origine et dans toutes les régions associées. L'administrateur délégué spécifie la région d'origine de l'organisation et les régions associées avant de commencer à utiliser la configuration centrale. La spécification de régions liées est facultative. L'administrateur délégué peut créer une politique de configuration unique pour l'ensemble de l'organisation, ou créer plusieurs politiques de configuration pour configurer des paramètres variables pour différents comptes etOUs.

**Astuce**  
Si vous n'utilisez pas la configuration centralisée, vous devez configurer Security Hub CSPM séparément dans chaque compte et région. C'est ce qu'on appelle *la configuration locale*. Dans le cadre de la configuration locale, l'administrateur délégué peut automatiquement activer Security Hub CSPM et un ensemble limité de normes de sécurité dans les nouveaux comptes d'organisation de la région actuelle. La configuration locale ne s'applique pas aux comptes d'organisation existants ni aux régions autres que la région actuelle. La configuration locale ne prend pas non plus en charge l'utilisation de politiques de configuration.

Cette section fournit une vue d'ensemble de la configuration centrale.

## Avantages de l'utilisation de la configuration centralisée
<a name="central-configuration-benefits"></a>

Les avantages de la configuration centralisée sont les suivants :

**Simplifier la configuration du service et des fonctionnalités du Security Hub CSPM**  
Lorsque vous utilisez la configuration centralisée, Security Hub CSPM vous guide tout au long du processus de configuration des meilleures pratiques de sécurité pour votre entreprise. Il déploie également les politiques de configuration qui en résultent sur des comptes spécifiés et OUs automatiquement. Si vous disposez de paramètres Security Hub CSPM existants, tels que l'activation automatique de nouveaux contrôles de sécurité, vous pouvez les utiliser comme point de départ pour vos politiques de configuration. En outre, la page **de configuration** de la console Security Hub CSPM affiche un résumé en temps réel de vos politiques de configuration et des comptes OUs utilisés pour chaque politique.

**Configuration sur plusieurs comptes et régions**  
Vous pouvez utiliser la configuration centralisée pour configurer Security Hub CSPM sur plusieurs comptes et régions. Cela permet de garantir que chaque partie de votre organisation conserve une configuration cohérente et une couverture de sécurité adéquate.

**Adaptez différentes configurations à différents comptes et OUs**  
Grâce à la configuration centralisée, vous pouvez choisir de configurer les comptes de votre organisation de différentes OUs manières. Par exemple, vos comptes de test et de production peuvent nécessiter des configurations différentes. Vous pouvez également créer une politique de configuration qui couvre les nouveaux comptes lorsqu'ils rejoignent l'organisation.

**Empêcher la dérive de configuration**  
Une dérive de configuration se produit lorsqu'un utilisateur apporte une modification à un service ou à une fonctionnalité qui entre en conflit avec les sélections de l'administrateur délégué. La configuration centrale empêche cette dérive. Lorsque vous désignez un compte ou une unité d'organisation comme étant géré de manière centralisée, il n'est configurable que par l'administrateur délégué de l'organisation. Si vous préférez qu'un compte ou une unité d'organisation spécifique configure ses propres paramètres, vous pouvez le désigner comme autogéré.

## Quand utiliser la configuration centralisée ?
<a name="central-configuration-audience"></a>

La configuration centralisée est particulièrement avantageuse pour les AWS environnements qui incluent plusieurs comptes Security Hub CSPM. Il est conçu pour vous aider à gérer de manière centralisée le Security Hub CSPM pour plusieurs comptes.

Vous pouvez utiliser la configuration centralisée pour configurer le service Security Hub CSPM, les normes de sécurité et les contrôles de sécurité. Vous pouvez également l'utiliser pour personnaliser les paramètres de certaines commandes. Pour plus d'informations sur les normes de sécurité, consultez[Comprendre les normes de sécurité dans Security Hub CSPM](standards-view-manage.md). Pour plus d'informations sur les contrôles de sécurité, consultez[Comprendre les contrôles de sécurité dans Security Hub CSPM](controls-view-manage.md).



## Termes et concepts de configuration centrale
<a name="central-configuration-concepts"></a>

La compréhension des termes et concepts clés suivants peut vous aider à utiliser la configuration centrale de Security Hub CSPM.

**Configuration centrale**  
Une fonctionnalité Security Hub CSPM qui aide le compte administrateur Security Hub CSPM délégué d'une organisation à configurer le service Security Hub CSPM, les normes de sécurité et les contrôles de sécurité sur plusieurs comptes et régions. Pour configurer ces paramètres, l'administrateur délégué crée et gère les politiques de configuration Security Hub CSPM pour les comptes gérés de manière centralisée au sein de son organisation. Les comptes autogérés peuvent configurer leurs propres paramètres séparément dans chaque région. Pour utiliser la configuration centralisée, vous devez intégrer Security Hub CSPM et. AWS Organizations

**Région d'origine**  
 Région AWS À partir duquel l'administrateur délégué configure le Security Hub CSPM de manière centralisée, en créant et en gérant des politiques de configuration. Les politiques de configuration prennent effet dans la région d'origine et dans toutes les régions associées.  
La région d'origine sert également de région d'agrégation CSPM du Security Hub, recevant les résultats, les informations et autres données des régions liées.  
Les régions AWS introduites le 20 mars 2019 ou après cette date sont appelées régions optionnelles. Une région optionnelle ne peut pas être la région d'origine, mais elle peut être une région liée. Pour obtenir la liste des régions optionnelles, consultez la section [Considérations à prendre en compte avant d'activer et de désactiver les régions](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#manage-acct-regions-considerations) dans le Guide de *référence sur la gestion des AWS comptes*.

**Région liée**  
Et Région AWS qui est configurable depuis la région d'origine. Les politiques de configuration sont créées par l'administrateur délégué dans la région d'origine. Les politiques entrent en vigueur dans la région d'origine et dans toutes les régions associées. La spécification de régions liées est facultative.  
Une région liée envoie également des résultats, des informations et d'autres données à la région d'origine.  
Les régions AWS introduites le 20 mars 2019 ou après cette date sont appelées régions optionnelles. Vous devez activer une telle région pour un compte avant qu'une politique de configuration puisse lui être appliquée. Le compte de gestion des Organizations peut activer l'option « Régions » pour un compte membre. Pour plus d'informations, voir [Spécifier les comptes que Régions AWS votre compte peut utiliser](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#rande-manage-enable) dans le *Guide de référence sur la gestion des AWS comptes*.

**Cible**  
Une Compte AWS unité organisationnelle (UO) ou la racine de l'organisation.

**Politique de configuration CSPM de Security Hub**  
Ensemble de paramètres Security Hub CSPM que l'administrateur délégué peut configurer pour des cibles gérées de manière centralisée. Cela inclut notamment les éléments suivants :  
+ S'il faut activer ou désactiver Security Hub CSPM.
+ S'il faut activer une ou plusieurs [normes de sécurité](standards-reference.md).
+ Quels [contrôles de sécurité](securityhub-controls-reference.md) activer dans le cadre des normes activées. L'administrateur délégué peut le faire en fournissant une liste de contrôles spécifiques qui doivent être activés, et Security Hub CSPM désactive tous les autres contrôles (y compris les nouveaux contrôles lorsqu'ils sont publiés). L'administrateur délégué peut également fournir une liste de contrôles spécifiques qui doivent être désactivés, et Security Hub CSPM active tous les autres contrôles (y compris les nouveaux contrôles lorsqu'ils sont publiés).
+ Vous pouvez éventuellement [personnaliser les paramètres](custom-control-parameters.md) pour sélectionner les contrôles activés selon les normes activées.
Une politique de configuration prend effet dans la région d'origine et dans toutes les régions associées une fois qu'elle est associée à au moins un compte, une unité organisationnelle (UO) ou la racine.  
Sur la console Security Hub CSPM, l'administrateur délégué peut choisir la politique de configuration recommandée par Security Hub CSPM ou créer des politiques de configuration personnalisées. Avec l'API CSPM de Security Hub AWS CLI, l'administrateur délégué ne peut créer que des politiques de configuration personnalisées. L'administrateur délégué peut créer un maximum de 20 politiques de configuration personnalisées.  
Dans la politique de configuration recommandée, Security Hub CSPM, la norme AWS Foundational Security Best Practices (FSBP) et tous les contrôles FSBP existants et nouveaux sont activés. Les contrôles qui acceptent des paramètres utilisent les valeurs par défaut. La politique de configuration recommandée s'applique à l'ensemble de l'organisation.  
Pour appliquer différents paramètres à l'organisation ou appliquer différentes politiques de configuration à différents comptes et OUs créer une politique de configuration personnalisée.

**Configuration locale**  
Type de configuration par défaut pour une organisation, après avoir intégré Security Hub CSPM et. AWS Organizations Avec la configuration locale, l'administrateur délégué peut choisir d'activer automatiquement le Security Hub CSPM et les [normes de sécurité par défaut dans les](securityhub-auto-enabled-standards.md) *nouveaux* comptes d'organisation de la région actuelle. Si l'administrateur délégué active automatiquement les normes par défaut, tous les contrôles inclus dans ces normes sont également automatiquement activés avec les paramètres par défaut pour les nouveaux comptes d'organisation. Ces paramètres ne s'appliquent pas aux comptes existants. Une modification de la configuration est donc possible une fois qu'un compte a rejoint l'organisation. La désactivation de contrôles spécifiques faisant partie des normes par défaut et la configuration de normes et de contrôles supplémentaires doivent être effectuées séparément dans chaque compte et région.  
La configuration locale ne prend pas en charge l'utilisation de politiques de configuration. Pour utiliser les politiques de configuration, vous devez passer à la configuration centralisée.

**Gestion manuelle des comptes**  
Si vous n'intégrez pas Security Hub CSPM à Security Hub AWS Organizations ou si vous possédez un compte autonome, vous devez définir les paramètres de chaque compte séparément dans chaque région. La gestion manuelle des comptes ne prend pas en charge l'utilisation de politiques de configuration.

**Configuration centrale APIs**  
Opérations Security Hub CSPM que seul l'administrateur CSPM délégué au Security Hub peut utiliser dans la région d'origine pour gérer les politiques de configuration des comptes gérés de manière centralisée. Les opérations incluent :  
+ `CreateConfigurationPolicy`
+ `DeleteConfigurationPolicy`
+ `GetConfigurationPolicy`
+ `ListConfigurationPolicies`
+ `UpdateConfigurationPolicy`
+ `StartConfigurationPolicyAssociation`
+ `StartConfigurationPolicyDisassociation`
+ `GetConfigurationPolicyAssociation`
+ `BatchGetConfigurationPolicyAssociations`
+ `ListConfigurationPolicyAssociations`

**Spécifique au compte APIs**  
Opérations CSPM du Security Hub qui peuvent être utilisées pour activer ou désactiver le Security Hub CSPM, les normes et les contrôles sur une base donnée. account-by-account Ces opérations sont utilisées dans chaque région.  
Les comptes autogérés peuvent utiliser des opérations spécifiques au compte pour configurer leurs propres paramètres. Les comptes gérés de manière centralisée ne peuvent pas utiliser les opérations spécifiques suivantes dans la région d'origine et dans les régions associées. Dans ces régions, seul l'administrateur délégué peut configurer des comptes gérés de manière centralisée par le biais d'opérations de configuration et de politiques de configuration centralisées.  
+ `BatchDisableStandards`
+ `BatchEnableStandards`
+ `BatchUpdateStandardsControlAssociations`
+ `DisableSecurityHub`
+ `EnableSecurityHub`
+ `UpdateStandardsControl`
Pour vérifier l'état du compte, le propriétaire d'un compte géré de manière centralisée *peut* utiliser n'importe quelle `Get` `Describe` opération de l'API Security Hub CSPM.  
Si vous utilisez la configuration locale ou la gestion manuelle des comptes, ces opérations spécifiques au compte peuvent être utilisées au lieu d'une configuration centralisée.  
Les comptes autogérés peuvent également utiliser `*Invitations` des `*Members` opérations. Toutefois, nous recommandons que les comptes autogérés n'utilisent pas ces opérations. Les associations de politiques peuvent échouer si un compte membre possède ses propres membres qui font partie d'une organisation différente de celle de l'administrateur délégué.

**Unité d'organisation (UO)**  
Dans AWS Organizations and Security Hub CSPM, un conteneur pour un groupe de. Comptes AWS Une unité organisationnelle (UO) peut également en contenir d'autres OUs, ce qui vous permet de créer une hiérarchie qui ressemble à une arborescence renversée, avec une unité d'organisation parent en haut et des OUs branches allant vers le bas, pour aboutir à des comptes qui sont les feuilles de l'arbre. Une unité organisationnelle peut avoir exactement un parent, et chaque compte d'organisation peut être membre d'une seule unité organisationnelle.  
Vous pouvez gérer OUs dans AWS Organizations ou AWS Control Tower. Pour plus d'informations, voir [Gestion des unités organisationnelles](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_ous.html) dans le *Guide de l'AWS Organizations utilisateur* ou [Gouverner les organisations et les comptes avec AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/existing-orgs.html) dans le *Guide de AWS Control Tower l'utilisateur*.  
L'administrateur délégué peut associer des politiques de configuration à des comptes spécifiques ou à la racine pour couvrir tous les comptes et OUs au sein d'une organisation. OUs

**Géré de manière centralisée**  
Une cible que seul l'administrateur délégué peut configurer dans toutes les régions à l'aide de politiques de configuration.  
Le compte d'administrateur délégué indique si une cible est gérée de manière centralisée. L'administrateur délégué peut également modifier le statut d'une cible de gestion centralisée à autogéré, ou inversement.

**Autogéré**  
Une cible qui gère ses propres paramètres Security Hub CSPM. Une cible autogérée utilise des opérations spécifiques au compte pour configurer Security Hub CSPM séparément dans chaque région. Cela contraste avec les cibles gérées de manière centralisée, qui ne sont configurables que par l'administrateur délégué dans toutes les régions via des politiques de configuration.  
Le compte d'administrateur délégué indique si une cible est autogérée. L'administrateur délégué peut appliquer un comportement autogéré à une cible. Un compte ou une unité d'organisation peut également hériter d'un comportement autogéré d'un parent.  
Le compte d'administrateur délégué peut lui-même être un compte autogéré. Le compte d'administrateur délégué peut faire passer le statut d'une cible d'autogéré à géré de manière centralisée, ou inversement.  


**Association de politiques de configuration**  
Lien entre une politique de configuration et un compte, une unité organisationnelle (UO) ou un root. Lorsqu'une association de politiques existe, le compte, l'unité d'organisation ou le root utilise les paramètres définis par la politique de configuration. Une association existe dans l'un ou l'autre des cas suivants :  
+ Lorsque l'administrateur délégué applique directement une politique de configuration à un compte, à une unité d'organisation ou à un root
+ Lorsqu'un compte ou une unité d'organisation hérite d'une politique de configuration d'une unité d'organisation parent ou de la racine
Une association existe jusqu'à ce qu'une configuration différente soit appliquée ou héritée.

**Politique de configuration appliquée**  
Type d'association de politique de configuration dans lequel l'administrateur délégué applique directement une politique de configuration aux comptes cibles OUs, ou à la racine. Les cibles sont configurées conformément à la politique de configuration, et seul l'administrateur délégué peut modifier leur configuration. Si elle est appliquée à root, la politique de configuration s'applique à tous les comptes et OUs au sein de l'organisation qui n'utilisent pas de configuration différente par le biais d'une application ou d'un héritage du parent le plus proche.  
L'administrateur délégué peut également appliquer une configuration autogérée à des comptes spécifiques ou à l'utilisateur root. OUs

**Politique de configuration héritée**  
Type d'association de politique de configuration dans lequel un compte ou une unité d'organisation adopte la configuration de l'unité d'organisation parent la plus proche ou de la racine. Si une politique de configuration n'est pas directement appliquée à un compte ou à une unité d'organisation, elle hérite de la configuration du parent le plus proche. Tous les éléments d'une politique sont hérités. En d'autres termes, un compte ou une unité d'organisation ne peut pas choisir d'hériter de manière sélective de certaines parties d'une politique. Si le parent le plus proche est autogéré, le compte enfant ou l'unité d'organisation hérite du comportement autogéré du parent.   
L'héritage ne peut pas remplacer une configuration appliquée. En d'autres termes, si une politique de configuration ou une configuration autogérée est directement appliquée à un compte ou à une unité d'organisation, elle utilise cette configuration et n'hérite pas de la configuration du parent.

**Racine**  
Dans AWS Organizations and Security Hub CSPM, le nœud parent de niveau supérieur d'une organisation. Si l'administrateur délégué applique une politique de configuration à root, celle-ci est associée à tous les comptes et OUs au sein de l'organisation, sauf s'ils utilisent une stratégie différente, par le biais d'une application ou d'un héritage, ou s'ils sont désignés comme autogérés. Si l'administrateur désigne le root comme étant autogéré, tous les comptes et OUs ceux de l'organisation sont autogérés, sauf s'ils utilisent une politique de configuration via une application ou un héritage. Si le root est autogéré et qu'aucune politique de configuration n'existe actuellement, tous les nouveaux comptes de l'organisation conservent leurs paramètres actuels.  
Les nouveaux comptes qui rejoignent une organisation sont considérés comme des comptes root jusqu'à ce qu'ils soient affectés à une unité d'organisation spécifique. Si aucun nouveau compte n'est attribué à une unité d'organisation, il hérite de la configuration racine, sauf si l'administrateur délégué le désigne comme un compte autogéré.

# Activation de la configuration centralisée dans Security Hub CSPM
<a name="start-central-configuration"></a>

Le compte administrateur délégué du AWS Security Hub CSPM peut utiliser la configuration centrale pour configurer le Security Hub CSPM, les normes et les contrôles pour plusieurs comptes et unités organisationnelles () répartis sur plusieurs comptes et unités organisationnelles (). OUs Régions AWS

Pour obtenir des informations générales sur les avantages de la configuration centralisée et son fonctionnement, consultez[Comprendre la configuration centrale dans Security Hub CSPM](central-configuration-intro.md).

Cette section explique les conditions préalables à la configuration centralisée et explique comment commencer à l'utiliser.

## Prérequis pour une configuration centralisée
<a name="prerequisites-central-configuration"></a>

Avant de commencer à utiliser la configuration centralisée, vous devez intégrer Security Hub CSPM à une région d'origine AWS Organizations et lui désigner une région d'origine. Si vous utilisez la console Security Hub CSPM, ces prérequis sont inclus dans le flux de travail optionnel pour la configuration centralisée.

### Intégrer aux Organisations
<a name="orgs-integration-prereq"></a>

Vous devez intégrer Security Hub CSPM et Organizations pour utiliser la configuration centralisée.

Pour intégrer ces services, vous devez commencer par créer une organisation dans Organizations. À partir du compte de gestion Organizations, vous désignez ensuite un compte d'administrateur délégué Security Hub CSPM. Pour obtenir des instructions, veuillez consulter [Intégration de Security Hub CSPM à AWS Organizations](designate-orgs-admin-account.md).

Assurez-vous de désigner votre administrateur délégué dans la **région d'origine de votre choix**. Lorsque vous commencez à utiliser la configuration centralisée, le même administrateur délégué est également automatiquement défini dans toutes les régions liées. Le compte de gestion des Organisations *ne peut pas* être défini comme compte d'administrateur délégué.

**Important**  
Lorsque vous utilisez la configuration centralisée, vous ne pouvez pas utiliser la console Security Hub CSPM ou le Security Hub CSPM APIs pour modifier ou supprimer le compte d'administrateur délégué. Si le compte de gestion des Organizations est utilisé AWS Organizations APIs pour modifier ou supprimer l'administrateur délégué du Security Hub CSPM, le Security Hub CSPM arrête automatiquement la configuration centrale. Vos politiques de configuration sont également dissociées et supprimées. Les comptes membres conservent la configuration qu'ils avaient avant le changement ou la suppression de l'administrateur délégué.

### Désigner une région d'origine
<a name="home-region-prereq"></a>

Vous devez désigner une région d'origine pour utiliser la configuration centralisée. La région d'origine est la région à partir de laquelle l'administrateur délégué configure l'organisation.

**Note**  
La région d'origine ne peut pas être une région désignée comme région optionnelle. AWS Une région optionnelle est désactivée par défaut. Pour obtenir la liste des régions optionnelles, consultez la section [Considérations à prendre en compte avant d'activer et de désactiver les régions](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#manage-acct-regions-considerations) dans le Guide de *référence sur la gestion des AWS comptes*.

Vous pouvez éventuellement spécifier une ou plusieurs régions liées configurables à partir de la région d'origine.

L'administrateur délégué peut créer et gérer des politiques de configuration uniquement à partir de la région d'origine. Les politiques de configuration prennent effet dans la région d'origine et dans toutes les régions associées. Vous ne pouvez pas créer une politique de configuration qui s'applique uniquement à un sous-ensemble de ces régions, et pas à d'autres. Les contrôles impliquant des ressources globales font exception à cette règle. Si vous utilisez une configuration centralisée, Security Hub CSPM désactive automatiquement les contrôles impliquant des ressources globales dans toutes les régions, à l'exception de la région d'origine. Pour de plus amples informations, veuillez consulter [Contrôles utilisant des ressources globales](controls-to-disable.md#controls-to-disable-global-resources).

La région d'origine est également la région d'agrégation CSPM de votre Security Hub qui reçoit les résultats, les informations et autres données des régions liées.

Si vous avez déjà défini une région d'agrégation pour l'agrégation entre régions, il s'agit de votre région d'origine par défaut pour la configuration centrale. Vous pouvez modifier la région d'origine avant de commencer à utiliser la configuration centrale en supprimant votre agrégateur de recherche actuel et en créant un nouveau dans la région d'origine de votre choix. Un agrégateur de résultats est une ressource Security Hub CSPM qui indique la région d'origine et les régions associées.

Pour désigner une région d'origine, consultez [les étapes de définition d'une région d'agrégation](finding-aggregation-enable.md). Si vous possédez déjà une région d'origine, vous pouvez appeler l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindingAggregator.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindingAggregator.html)API pour en savoir plus, notamment pour savoir quelles régions y sont actuellement liées.

## Instructions pour activer la configuration centralisée
<a name="central-configuration-get-started"></a>

Choisissez votre méthode préférée et suivez les étapes pour activer la configuration centralisée pour votre organisation.

------
#### [ Security Hub CSPM console ]

**Pour activer la configuration centrale (console)**

1. Ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Dans le volet de navigation, sélectionnez **Paramètres** et **configuration**. Choisissez ensuite **Démarrer la configuration centrale**.

   Si vous vous inscrivez à Security Hub CSPM, choisissez **Go to Security Hub** CSPM.

1. Sur la page **Désigner un administrateur délégué**, sélectionnez votre compte d'administrateur délégué ou entrez son identifiant de compte. Le cas échéant, nous vous recommandons de choisir le même administrateur délégué que celui que vous avez défini pour les autres services AWS de sécurité et de conformité. Choisissez **Définir un administrateur délégué**.

1. Sur la page **Centraliser l'organisation**, dans la section **Régions**, sélectionnez votre région d'origine. Vous devez être connecté à votre région d'origine pour continuer. Si vous avez déjà défini une région d'agrégation pour l'agrégation entre régions, elle est affichée en tant que région d'origine. Pour modifier la région d'origine, choisissez **Modifier les paramètres de la région**. Vous pouvez ensuite sélectionner votre région d'origine préférée et revenir à ce flux de travail.

1. Sélectionnez au moins une région pour créer un lien vers la région d'origine. Vous pouvez éventuellement indiquer si vous souhaitez lier automatiquement les futures régions prises en charge à la région d'origine. Les régions que vous sélectionnez ici seront configurables depuis la région d'origine par l'administrateur délégué. Les politiques de configuration entrent en vigueur dans votre région d'origine et dans toutes les régions associées.

1. Choisissez **Confirmer et continuez**.

1.  Vous pouvez désormais utiliser la configuration centralisée. Continuez à suivre les instructions de la console pour créer votre première politique de configuration. Si vous n'êtes pas encore prêt à créer une politique de configuration, choisissez **Je ne suis pas encore prêt à configurer**. Vous pouvez créer une politique ultérieurement en choisissant **Paramètres** et **configuration** dans le volet de navigation. Pour obtenir des instructions sur la création d'une politique de configuration, consultez[Création et association de politiques de configuration](create-associate-policy.md).

------
#### [ Security Hub CSPM API ]

**Pour activer la configuration centrale (API)**

1. À l'aide des informations d'identification du compte administrateur délégué, appelez l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html)API depuis la région d'origine.

1. Réglez le `AutoEnable` champ sur`false`.

1. Définissez le `ConfigurationType` champ de l'`OrganizationConfiguration`objet sur`CENTRAL`. Cette action a les conséquences suivantes :
   + Désigne le compte d'appel en tant qu'administrateur délégué du Security Hub CSPM dans toutes les régions liées.
   + Active le Security Hub CSPM dans le compte d'administrateur délégué dans toutes les régions liées.
   + Désigne le compte appelant en tant qu'administrateur délégué du Security Hub CSPM pour les comptes nouveaux et existants qui utilisent le Security Hub CSPM et appartiennent à l'organisation. Cela se produit dans la région d'origine et dans toutes les régions associées. Le compte appelant est défini comme administrateur délégué pour les nouveaux comptes d'organisation uniquement s'ils sont associés à une politique de configuration dans laquelle Security Hub CSPM est activé. Le compte d'appel est défini comme administrateur délégué pour les comptes d'organisation existants uniquement s'ils ont déjà activé Security Hub CSPM.
   + Définit [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html#securityhub-UpdateOrganizationConfiguration-request-AutoEnable](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html#securityhub-UpdateOrganizationConfiguration-request-AutoEnable)sur `false` dans toutes les régions liées, et définit [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html#securityhub-UpdateOrganizationConfiguration-request-AutoEnableStandards](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html#securityhub-UpdateOrganizationConfiguration-request-AutoEnableStandards)sur `NONE` dans la région d'origine et toutes les régions liées. Ces paramètres ne sont pas pertinents dans les régions d'origine et associées lorsque vous utilisez la configuration centralisée, mais vous pouvez activer automatiquement le Security Hub CSPM et les normes de sécurité par défaut dans les comptes de l'organisation en utilisant des politiques de configuration.

1. Vous pouvez désormais utiliser la configuration centralisée. L'administrateur délégué peut créer des politiques de configuration pour configurer Security Hub CSPM dans votre organisation. Pour obtenir des instructions sur la création d'une politique de configuration, consultez[Création et association de politiques de configuration](create-associate-policy.md).

**Exemple de demande d'API :**

```
{
    "AutoEnable": false,
    "OrganizationConfiguration": {
        "ConfigurationType": "CENTRAL"
    }
}
```

------
#### [ AWS CLI ]

**Pour activer la configuration centrale (AWS CLI)**

1. À l'aide des informations d'identification du compte administrateur délégué, exécutez la [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html)commande depuis la région d'origine.

1. Incluez le paramètre `no-auto-enable`.

1. Définissez le `ConfigurationType` champ de l'`organization-configuration`objet sur`CENTRAL`. Cette action a les conséquences suivantes :
   + Désigne le compte d'appel en tant qu'administrateur délégué du Security Hub CSPM dans toutes les régions liées.
   + Active le Security Hub CSPM dans le compte d'administrateur délégué dans toutes les régions liées.
   + Désigne le compte appelant en tant qu'administrateur délégué du Security Hub CSPM pour les comptes nouveaux et existants qui utilisent le Security Hub CSPM et appartiennent à l'organisation. Cela se produit dans la région d'origine et dans toutes les régions associées. Le compte d'appel est défini comme administrateur délégué pour les nouveaux comptes d'organisation uniquement s'ils sont associés à une politique de configuration dans laquelle Security Hub est activé. Le compte d'appel est défini comme administrateur délégué pour les comptes d'organisation existants uniquement s'ils ont déjà activé Security Hub CSPM.
   + Définit l'option d'activation automatique sur « [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html#options](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html#options)dans toutes les régions liées », et sur « `NONE` dans la région [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html#options](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html#options)d'origine » et dans toutes les régions liées. Ces paramètres ne sont pas pertinents dans les régions d'origine et associées lorsque vous utilisez la configuration centralisée, mais vous pouvez activer automatiquement le Security Hub CSPM et les normes de sécurité par défaut dans les comptes de l'organisation en utilisant des politiques de configuration.

1. Vous pouvez désormais utiliser la configuration centralisée. L'administrateur délégué peut créer des politiques de configuration pour configurer Security Hub CSPM dans votre organisation. Pour obtenir des instructions sur la création d'une politique de configuration, consultez[Création et association de politiques de configuration](create-associate-policy.md).

**Exemple de commande :**

```
aws securityhub --region us-east-1 update-organization-configuration \
--no-auto-enable \
--organization-configuration '{"ConfigurationType": "CENTRAL"}'
```

------

# Cibles gérées de manière centralisée et cibles autogérées
<a name="central-configuration-management-type"></a>

*Lorsque vous activez la configuration centralisée, l'administrateur délégué du AWS Security Hub CSPM peut désigner chaque compte d'organisation, chaque unité organisationnelle (UO) et la racine comme étant gérés de *manière centralisée ou autogérée*.* Le type de gestion d'une cible détermine la manière dont vous pouvez spécifier ses paramètres Security Hub CSPM.

Pour obtenir des informations générales sur les avantages de la configuration centralisée et son fonctionnement, consultez[Comprendre la configuration centrale dans Security Hub CSPM](central-configuration-intro.md).

Cette section explique les différences entre une désignation gérée de manière centralisée et une désignation autogérée et explique comment choisir le type de gestion d'un compte, d'une unité d'organisation ou de la racine.

**Autogéré**  
Le propriétaire d'un compte autogéré, d'une unité d'organisation ou d'un root doit configurer ses paramètres séparément dans chacun Région AWS d'eux. L'administrateur délégué ne peut pas créer de politiques de configuration pour les cibles autogérées.

**Géré de manière centralisée**  
Seul l'administrateur délégué du Security Hub CSPM peut configurer les paramètres des comptes gérés de manière centralisée ou du root dans la région d'origine et les régions associées. OUs Les politiques de configuration peuvent être associées à des comptes gérés de manière centralisée et OUs.

L'administrateur délégué peut changer le statut d'une cible entre autogéré et géré de manière centralisée. Par défaut, tous les comptes et unités d'organisation sont autogérés lorsque vous démarrez la configuration centralisée via l'API Security Hub CSPM. Dans la console, le type de gestion dépend de votre première politique de configuration. Les comptes et OUs ceux que vous associez à votre premier contrat sont gérés de manière centralisée. Les autres comptes OUs sont autogérés par défaut.

Si vous associez une politique de configuration à un compte précédemment autogéré, les paramètres de stratégie remplacent la désignation autogérée. Le compte est géré de manière centralisée et adopte les paramètres reflétés dans la politique de configuration.

Si vous remplacez un compte géré de manière centralisée par un compte autogéré, les paramètres précédemment appliqués au compte par le biais d'une politique de configuration restent en place. Par exemple, un compte géré de manière centralisée peut initialement être associé à une politique activant Security Hub CSPM, activant les meilleures pratiques de sécurité AWS fondamentales et désactivant la version .1. CloudTrail Si vous indiquez ensuite que le compte est autogéré, tous les paramètres restent inchangés. Toutefois, le titulaire du compte peut modifier indépendamment les paramètres du compte à l'avenir.

Les comptes enfants OUs peuvent hériter du comportement autogéré d'un parent autogéré, de la même manière que les comptes enfants et OUs peuvent hériter des politiques de configuration d'un parent géré de manière centralisée. Pour de plus amples informations, veuillez consulter [Association des politiques par le biais de l'application et de l'héritage](configuration-policies-overview.md#policy-association).

Un compte ou une unité d'organisation autogéré ne peut pas hériter d'une politique de configuration d'un nœud parent ou de la racine. Par exemple, si vous souhaitez que tous les OUs comptes de votre organisation héritent d'une politique de configuration depuis la racine, vous devez remplacer le type de gestion des nœuds autogérés par des nœuds gérés de manière centralisée.

## Options pour configurer les paramètres dans les comptes autogérés
<a name="self-managed-settings"></a>

Les comptes autogérés doivent configurer leurs propres paramètres séparément dans chaque région.

Les propriétaires de comptes autogérés peuvent invoquer les opérations suivantes de l'API Security Hub CSPM dans chaque région pour configurer leurs paramètres :
+ `EnableSecurityHub`et `DisableSecurityHub` pour activer ou désactiver le service Security Hub CSPM (si un compte autogéré dispose d'un administrateur Security Hub CSPM délégué, l'administrateur doit [dissocier le compte avant que le propriétaire du compte](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisassociateMembers.html) puisse désactiver Security Hub CSPM).
+ `BatchEnableStandards`et `BatchDisableStandards` pour activer ou désactiver les normes
+ `BatchUpdateStandardsControlAssociations`ou `UpdateStandardsControl` pour activer ou désactiver les commandes

Les comptes autogérés peuvent également utiliser `*Invitations` des `*Members` opérations. Toutefois, nous recommandons que les comptes autogérés n'utilisent pas ces opérations. Les associations de politiques peuvent échouer si un compte membre possède ses propres membres qui font partie d'une organisation différente de celle de l'administrateur délégué.

Pour obtenir une description des actions de l'API CSPM de Security Hub, consultez le document de référence de l'API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/Welcome.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/Welcome.html).

Les comptes autogérés peuvent également utiliser la console Security Hub CSPM ou AWS CLI configurer leurs paramètres dans chaque région.

Les comptes autogérés ne peuvent invoquer aucune politique de configuration ou association de politiques APIs liée à Security Hub CSPM. Seul l'administrateur délégué peut invoquer la configuration centralisée APIs et utiliser des politiques de configuration pour configurer des comptes gérés de manière centralisée.

## Choix du type de gestion d'une cible
<a name="choose-management-type"></a>

Choisissez votre méthode préférée et suivez les étapes pour désigner un compte ou une unité d'organisation comme étant géré de manière centralisée ou autogérée dans AWS Security Hub CSPM.

------
#### [ Security Hub CSPM console ]

**Pour choisir le type de gestion d'un compte ou d'une unité d'organisation**

1. Ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Connectez-vous à l'aide des informations d'identification du compte administrateur délégué du Security Hub CSPM dans la région d'origine.

1. Choisissez **Configuration**.

1. Dans l'onglet **Organisation**, sélectionnez le compte ou l'unité d'organisation cible. Choisissez **Modifier**.

1. Sur la page **Définir la configuration**, pour **Type de gestion**, choisissez Gestion **centralisée** si vous souhaitez que l'administrateur délégué configure le compte ou l'unité d'organisation cible. Choisissez ensuite **Appliquer une politique spécifique** si vous souhaitez associer une politique de configuration existante à la cible. Choisissez **Hériter de mon organisation** si vous souhaitez que la cible hérite de la configuration de son parent le plus proche. Choisissez **Autogéré** si vous souhaitez que le compte ou l'unité d'organisation configure ses propres paramètres.

1. Choisissez **Suivant**. Passez en revue vos modifications, puis choisissez **Enregistrer**.

------
#### [ Security Hub CSPM API ]

**Pour choisir le type de gestion d'un compte ou d'une unité d'organisation**

1. Appelez l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html)API depuis le compte d'administrateur délégué CSPM de Security Hub dans la région d'origine.

1. Dans le `ConfigurationPolicyIdentifier` champ, indiquez `SELF_MANAGED_SECURITY_HUB` si vous souhaitez que le compte ou l'unité d'organisation contrôle ses propres paramètres. Indiquez le nom de ressource Amazon (ARN) ou l'ID de la politique de configuration appropriée si vous souhaitez que l'administrateur délégué contrôle les paramètres du compte ou de l'unité d'organisation.

1. Pour le `Target` champ, indiquez l' Compte AWS ID, l'ID de l'UO ou l'ID racine de la cible dont vous souhaitez modifier le type de gestion. Cela associe le comportement autogéré ou la politique de configuration spécifiée à la cible. Les comptes enfants de la cible peuvent hériter du comportement autogéré ou de la politique de configuration.

**Exemple de demande d'API pour désigner un compte autogéré :**

```
{
    "ConfigurationPolicyIdentifier": "SELF_MANAGED_SECURITY_HUB",
    "Target": {"AccountId": "123456789012"}
}
```

------
#### [ AWS CLI ]

**Pour choisir le type de gestion d'un compte ou d'une unité d'organisation**

1. Exécutez la [https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html)commande depuis le compte d'administrateur délégué Security Hub CSPM dans la région d'origine.

1. Dans le `configuration-policy-identifier` champ, indiquez `SELF_MANAGED_SECURITY_HUB` si vous souhaitez que le compte ou l'unité d'organisation contrôle ses propres paramètres. Indiquez le nom de ressource Amazon (ARN) ou l'ID de la politique de configuration appropriée si vous souhaitez que l'administrateur délégué contrôle les paramètres du compte ou de l'unité d'organisation.

1. Pour le `target` champ, indiquez l' Compte AWS ID, l'ID de l'UO ou l'ID racine de la cible dont vous souhaitez modifier le type de gestion. Cela associe le comportement autogéré ou la politique de configuration spécifiée à la cible. Les comptes enfants de la cible peuvent hériter du comportement autogéré ou de la politique de configuration.

**Exemple de commande pour désigner un compte autogéré :**

```
aws securityhub --region us-east-1 start-configuration-policy-association \
--configuration-policy-identifier "SELF_MANAGED_SECURITY_HUB" \
--target '{"AccountId": "123456789012"}'
```

------

# Fonctionnement des politiques de configuration dans Security Hub CSPM
<a name="configuration-policies-overview"></a>

L'administrateur délégué du AWS Security Hub CSPM peut créer des politiques de configuration pour configurer le Security Hub CSPM, les normes de sécurité et les contrôles de sécurité pour une organisation. Après avoir créé une politique de configuration, l'administrateur délégué peut l'associer à des comptes spécifiques, à des unités organisationnelles (OUs) ou à la racine. La politique prend ensuite effet dans les comptes spécifiés OUs, ou à la racine.

Pour obtenir des informations générales sur les avantages de la configuration centralisée et son fonctionnement, consultez[Comprendre la configuration centrale dans Security Hub CSPM](central-configuration-intro.md).

Cette section fournit une vue d'ensemble détaillée des politiques de configuration.

## Considérations relatives aux politiques
<a name="configuration-policies-considerations"></a>

Avant de créer une politique de configuration dans Security Hub CSPM, prenez en compte les informations suivantes.
+ **Les politiques de configuration doivent être associées pour prendre effet** : après avoir créé une politique de configuration, vous pouvez l'associer à un ou plusieurs comptes, unités organisationnelles (OUs) ou à la racine. Une politique de configuration peut être associée à des comptes, OUs par le biais d'une application directe ou par héritage d'une unité d'organisation parent.
+ **Un compte ou une unité d'organisation ne peut être associé qu'à une seule stratégie de configuration** : pour éviter tout conflit de paramètres, un compte ou une unité d'organisation ne peut être associé qu'à une seule politique de configuration à la fois. Un compte ou une unité d'organisation peut également être autogéré.
+ **Les politiques de configuration sont complètes** : les politiques de configuration fournissent une spécification complète des paramètres. Par exemple, un compte enfant ne peut pas accepter les paramètres de certains contrôles d'une politique et les paramètres d'autres contrôles d'une autre politique. Lorsque vous associez une politique à un compte enfant, assurez-vous que la politique spécifie tous les paramètres que vous souhaitez que le compte enfant utilise.
+ **Les politiques de configuration ne peuvent pas être annulées** : il n'est pas possible d'annuler une politique de configuration une fois que vous l'avez associée à des comptes ou. OUs Par exemple, si vous associez une politique de configuration qui désactive les CloudWatch contrôles à un compte spécifique, puis que vous dissociez cette politique, les CloudWatch contrôles continuent d'être désactivés dans ce compte. Pour réactiver CloudWatch les contrôles, vous pouvez associer le compte à une nouvelle politique qui active les contrôles. Vous pouvez également transformer le compte en compte autogéré et activer chaque CloudWatch contrôle du compte.
+ **Les politiques de configuration prennent effet dans votre région d'origine et dans toutes les régions liées** : une politique de configuration affecte tous les comptes associés dans la région d'origine et toutes les régions liées. Vous ne pouvez pas créer une politique de configuration qui ne s'applique que dans certaines de ces régions et pas dans d'autres. Les [contrôles qui utilisent des ressources globales](controls-to-disable.md#controls-to-disable-global-resources) font exception à cette règle. Security Hub CSPM désactive automatiquement les contrôles impliquant des ressources globales dans toutes les régions, à l'exception de la région d'origine.

  Les régions AWS introduites le 20 mars 2019 ou après cette date sont appelées régions optionnelles. Vous devez activer une telle région pour un compte avant qu'une politique de configuration n'y prenne effet. Le compte de gestion des Organizations peut activer l'option « Régions » pour un compte membre. Pour obtenir des instructions sur l'activation des régions optionnelles, voir [Spécifier les régions que Régions AWS votre compte peut utiliser](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#rande-manage-enable) dans le *Guide de référence AWS sur la gestion des comptes*.

  Si votre politique configure un contrôle qui n'est pas disponible dans la région d'origine ou dans une ou plusieurs régions liées, Security Hub CSPM ignore la configuration du contrôle dans les régions non disponibles mais applique la configuration dans les régions où le contrôle est disponible. Vous n'êtes pas couvert pour un contrôle qui n'est pas disponible dans la région d'origine ou dans l'une des régions associées.
+ **Les politiques de configuration sont des ressources** : en tant que ressource, une politique de configuration possède un Amazon Resource Name (ARN) et un identifiant unique universel (UUID). L'ARN utilise le format suivant : `arn:partition:securityhub:region:delegated administrator account ID:configuration-policy/configuration policy UUID` Une configuration autogérée ne possède ni ARN ni UUID. L'identifiant d'une configuration autogérée est`SELF_MANAGED_SECURITY_HUB`.

## Types de politiques de configuration
<a name="policy-types"></a>

Chaque politique de configuration définit les paramètres suivants :
+ Activez ou désactivez Security Hub CSPM.
+ Activez une ou plusieurs [normes de sécurité](standards-reference.md).
+ Indiquez quels [contrôles de sécurité](securityhub-controls-reference.md) sont activés dans le cadre des normes activées. Vous pouvez le faire en fournissant une liste de contrôles spécifiques qui doivent être activés, et Security Hub CSPM désactive tous les autres contrôles, y compris les nouveaux contrôles lorsqu'ils sont publiés. Vous pouvez également fournir une liste de contrôles spécifiques qui doivent être désactivés, et Security Hub CSPM active tous les autres contrôles, y compris les nouveaux contrôles lorsqu'ils sont publiés.
+ Vous pouvez éventuellement [personnaliser les paramètres](https://docs.aws.amazon.com/securityhub/latest/userguide/custom-control-parameters.html) pour sélectionner les contrôles activés selon les normes activées.

Les politiques de configuration centrales n'incluent pas les paramètres de l' AWS Config enregistreur. Vous devez activer AWS Config et activer séparément l'enregistrement pour les ressources requises afin que Security Hub CSPM puisse générer des résultats de contrôle. Pour de plus amples informations, veuillez consulter [Considérations avant l'activation et la configuration AWS Config](securityhub-setup-prereqs.md#securityhub-prereq-config).

Si vous utilisez une configuration centralisée, Security Hub CSPM désactive automatiquement les contrôles impliquant des ressources globales dans toutes les régions, à l'exception de la région d'origine. Les autres contrôles que vous choisissez d'activer par le biais d'une politique de configuration sont activés dans toutes les régions où ils sont disponibles. Pour limiter les résultats de ces contrôles à une seule région, vous pouvez mettre à jour les paramètres de votre AWS Config enregistreur et désactiver l'enregistrement des ressources globales dans toutes les régions, à l'exception de la région d'origine.

Si un contrôle activé impliquant des ressources globales n'est pas pris en charge dans la région d'origine, Security Hub CSPM essaie d'activer le contrôle dans une région liée où le contrôle est pris en charge. Avec la configuration centralisée, vous ne pouvez pas couvrir un contrôle qui n'est pas disponible dans la région d'origine ou dans l'une des régions associées.

Pour obtenir la liste des contrôles impliquant des ressources globales, voir[Contrôles utilisant des ressources globales](controls-to-disable.md#controls-to-disable-global-resources).

### Politique de configuration recommandée
<a name="recommended-policy"></a>

Lorsque vous créez une politique de configuration pour la *première fois dans la console Security Hub CSPM*, vous avez la possibilité de choisir la politique recommandée par Security Hub CSPM.

La politique recommandée active Security Hub CSPM, la norme AWS Foundational Security Best Practices (FSBP) et tous les contrôles FSBP existants et nouveaux. Les contrôles qui acceptent des paramètres utilisent les valeurs par défaut. La politique recommandée s'applique au root (tous les comptes OUs, qu'ils soient nouveaux ou existants). Après avoir créé la politique recommandée pour votre organisation, vous pouvez la modifier à partir du compte d'administrateur délégué. Par exemple, vous pouvez activer des normes ou des contrôles supplémentaires ou désactiver des contrôles FSBP spécifiques. Pour obtenir des instructions sur la modification d'une politique de configuration, consultez[Mise à jour des politiques de configuration](update-policy.md).

### Politique de configuration personnalisée
<a name="custom-policy"></a>

Au lieu de la stratégie recommandée, l'administrateur délégué peut créer jusqu'à 20 politiques de configuration personnalisées. Vous pouvez associer une seule politique personnalisée à l'ensemble de votre organisation ou différentes politiques personnalisées à différents comptes et OUs. Pour une politique de configuration personnalisée, vous devez spécifier les paramètres souhaités. Par exemple, vous pouvez créer une politique personnalisée qui active le FSBP, le Center for Internet Security (CIS) AWS Foundations Benchmark v1.4.0 et tous les contrôles de ces normes, à l'exception des contrôles Amazon Redshift. Le niveau de granularité que vous utilisez dans les politiques de configuration personnalisées dépend de l'étendue de la couverture de sécurité prévue dans l'ensemble de votre organisation.

**Note**  
Vous ne pouvez pas associer une politique de configuration qui désactive Security Hub CSPM au compte d'administrateur délégué. Une telle politique peut être associée à d'autres comptes mais ignore l'association avec l'administrateur délégué. Le compte d'administrateur délégué conserve sa configuration actuelle.

Après avoir créé une politique de configuration personnalisée, vous pouvez passer à la stratégie de configuration recommandée en mettant à jour votre stratégie de configuration afin de refléter la configuration recommandée. Cependant, vous ne voyez pas la possibilité de créer la politique de configuration recommandée dans la console Security Hub CSPM après la création de votre première politique.

## Association des politiques par le biais de l'application et de l'héritage
<a name="policy-association"></a>

Lorsque vous optez pour la première fois pour la configuration centralisée, votre organisation n'a aucune association et se comporte de la même manière qu'avant l'inscription. L'administrateur délégué peut ensuite établir des associations entre une politique de configuration ou un comportement autogéré et les comptes OUs, ou le root. Les associations peuvent être créées par le biais *d'une demande* ou d'un *héritage*.

À partir du compte d'administrateur délégué, vous pouvez appliquer directement une politique de configuration à un compte, à une unité d'organisation ou à la racine. L'administrateur délégué peut également appliquer directement une désignation autogérée à un compte, à une unité d'organisation ou à la racine.

En l'absence d'application directe, un compte ou une unité d'organisation hérite des paramètres du parent le plus proche doté d'une politique de configuration ou d'un comportement autogéré. Si le parent le plus proche est associé à une politique de configuration, l'enfant hérite de cette politique et n'est configurable que par l'administrateur délégué de la région d'origine. Si le parent le plus proche est autogéré, l'enfant hérite du comportement autogéré et a la possibilité de spécifier ses propres paramètres dans chacun d'eux. Région AWS

L'application a la priorité sur l'héritage. En d'autres termes, l'héritage ne remplace pas une politique de configuration ou une désignation autogérée que l'administrateur délégué a directement appliquée à un compte ou à une unité d'organisation.

Si vous appliquez directement une politique de configuration à un compte autogéré, cette politique remplace la désignation autogérée. Le compte est géré de manière centralisée et adopte les paramètres reflétés dans la politique de configuration.

Nous recommandons d'appliquer directement une politique de configuration à la racine. Si vous appliquez une politique à la racine, les nouveaux comptes qui rejoignent votre organisation hériteront automatiquement de la politique racine, sauf si vous les associez à une autre stratégie ou si vous les désignez comme autogérés.

Une seule politique de configuration peut être associée à un compte ou à une unité d'organisation à la fois, par le biais d'une application ou d'un héritage. Ceci est conçu pour éviter les conflits de paramètres.

Le schéma suivant illustre le fonctionnement de l'application des politiques et de l'héritage dans une configuration centrale.

![\[Appliquer et hériter des politiques de configuration Security Hub CSPM\]](http://docs.aws.amazon.com/fr_fr/securityhub/latest/userguide/images/sechub-diagram-central-configuration-association.png)


Dans cet exemple, une politique de configuration est appliquée à un nœud surligné en vert. Aucune politique de configuration n'est appliquée à un nœud surligné en bleu. Un nœud surligné en jaune a été désigné comme étant autogéré. Chaque compte et unité d'organisation utilise la configuration suivante :
+ **OU:root (vert)** — Cette unité d'organisation utilise la politique de configuration qui lui a été appliquée.
+ **OU:Prod (Blue)** — Cette UO hérite de la politique de configuration de OU:Root.
+ **OU:Applications (vert)** — Cette unité d'organisation utilise la politique de configuration qui lui a été appliquée.
+ **Compte 1 (vert)** — Ce compte utilise la politique de configuration qui lui a été appliquée.
+ **Compte 2 (bleu)** — Ce compte hérite de la politique de configuration de OU:Applications.
+ **OU:dev (Yellow)** — Cette UO est autogérée.
+ **Compte 3 (vert)** — Ce compte utilise la politique de configuration qui lui a été appliquée.
+ **Compte 4 (bleu)** — Ce compte hérite du comportement autogéré de OU:dev.
+ **OU:Test (Blue)** — Ce compte hérite de la politique de configuration de OU:Root.
+ **Compte 5 (bleu)** — Ce compte hérite de la politique de configuration de OU:root puisque son parent immédiat, OU:Test, n'est associé à aucune politique de configuration.

## Tester une politique de configuration
<a name="test-policy"></a>

Pour vous assurer de bien comprendre le fonctionnement des politiques de configuration, nous vous recommandons d'en créer une et de l'associer à un compte de test ou à une unité d'organisation.

**Pour tester une politique de configuration**

1. Créez une politique de configuration personnalisée et vérifiez que les paramètres spécifiés pour l'activation, les normes et les contrôles de Security Hub CSPM sont corrects. Pour obtenir des instructions, veuillez consulter [Création et association de politiques de configuration](create-associate-policy.md).

1. Appliquez la politique de configuration à un compte de test ou à une unité d'organisation qui ne possède aucun compte enfant ou OUs.

1. Vérifiez que le compte de test ou l'unité d'organisation utilise la politique de configuration de la manière prévue dans votre région d'origine et dans toutes les régions associées. Vous pouvez également vérifier que tous les autres comptes et OUs ceux de votre organisation restent autogérés et peuvent modifier leurs propres paramètres dans chaque région.

Après avoir testé une politique de configuration dans un seul compte ou unité d'organisation, vous pouvez l'associer à d'autres comptes et OUs.

# Création et association de politiques de configuration
<a name="create-associate-policy"></a>

Le compte administrateur délégué du AWS Security Hub CSPM peut créer des politiques de configuration qui spécifient la manière dont le Security Hub CSPM, les normes et les contrôles sont configurés dans des comptes et des unités organisationnelles spécifiques (). OUs Une politique de configuration ne prend effet qu'une fois que l'administrateur délégué l'a associée à au moins un compte ou une unité organisationnelle (OUs), ou à la racine. L'administrateur délégué peut également associer une configuration autogérée à des comptes ou à l'utilisateur root. OUs

Si c'est la première fois que vous créez une politique de configuration, nous vous recommandons de la vérifier d'abord[Fonctionnement des politiques de configuration dans Security Hub CSPM](configuration-policies-overview.md).

Choisissez votre méthode d'accès préférée et suivez les étapes pour créer et associer une politique de configuration ou une configuration autogérée. Lorsque vous utilisez la console Security Hub CSPM, vous pouvez associer une configuration à plusieurs comptes ou OUs en même temps. Lorsque vous utilisez l'API Security Hub CSPM ou AWS CLI, vous ne pouvez associer une configuration qu'à un seul compte ou unité d'organisation par demande.

**Note**  
Si vous utilisez une configuration centralisée, Security Hub CSPM désactive automatiquement les contrôles impliquant des ressources globales dans toutes les régions, à l'exception de la région d'origine. Les autres contrôles que vous choisissez d'activer par le biais d'une politique de configuration sont activés dans toutes les régions où ils sont disponibles. Pour limiter les résultats de ces contrôles à une seule région, vous pouvez mettre à jour les paramètres de votre AWS Config enregistreur et désactiver l'enregistrement des ressources globales dans toutes les régions, à l'exception de la région d'origine.  
Si un contrôle activé impliquant des ressources globales n'est pas pris en charge dans la région d'origine, Security Hub CSPM essaie d'activer le contrôle dans une région liée où le contrôle est pris en charge. Avec la configuration centralisée, vous ne pouvez pas couvrir un contrôle qui n'est pas disponible dans la région d'origine ou dans l'une des régions associées.  
Pour obtenir la liste des contrôles impliquant des ressources globales, voir[Contrôles utilisant des ressources globales](controls-to-disable.md#controls-to-disable-global-resources).

------
#### [ Security Hub CSPM console ]

**Pour créer et associer des politiques de configuration**

1. Ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Connectez-vous à l'aide des informations d'identification du compte administrateur délégué du Security Hub CSPM dans la région d'origine.

1. Dans le volet de navigation, choisissez **Configuration** et l'onglet **Politiques**. Choisissez ensuite **Create policy**.

1. Sur la page **Configurer l'organisation**, si c'est la première fois que vous créez une politique de configuration, trois options s'affichent sous **Type de configuration**. Si vous avez déjà créé au moins une politique de configuration, seule l'option **Politique personnalisée** s'affiche.
   + Choisissez **Utiliser la configuration CSPM de Security Hub AWS recommandée dans l'ensemble de mon organisation** pour appliquer notre politique recommandée. La politique recommandée active le Security Hub CSPM dans tous les comptes de l'organisation, applique la norme AWS Foundational Security Best Practices (FSBP) et active tous les contrôles FSBP nouveaux et existants. Les commandes utilisent les valeurs de paramètres par défaut.
   + Choisissez **Je ne suis pas encore prêt à configurer** pour créer une politique de configuration ultérieurement.
   + Choisissez **Politique personnalisée** pour créer une politique de configuration personnalisée. Spécifiez s'il faut activer ou désactiver Security Hub CSPM, les normes à activer et les contrôles à activer selon ces normes. Spécifiez éventuellement des [valeurs de paramètres personnalisés](custom-control-parameters.md) pour un ou plusieurs contrôles activés qui prennent en charge les paramètres personnalisés.

1. Dans la section **Comptes**, choisissez les comptes cibles ou la racine auxquels vous souhaitez que votre politique de configuration s'applique. OUs
   + Choisissez **Tous les comptes** si vous souhaitez appliquer la politique de configuration à la racine. Cela inclut tous les comptes et ceux OUs de l'organisation auxquels aucune autre politique n'est appliquée ou dont aucune autre politique n'est héritée.
   + Choisissez **Comptes spécifiques** si vous souhaitez appliquer la politique de configuration à des comptes spécifiques ou OUs. Entrez le compte IDs, ou sélectionnez les comptes et OUs depuis la structure de l'organisation. Vous pouvez appliquer la politique à un maximum de 15 cibles (comptes ou root) lorsque vous la créez. OUs Pour spécifier un nombre plus élevé, modifiez votre politique après sa création et appliquez-la à des cibles supplémentaires.
   + Choisissez **L'administrateur délégué uniquement** pour appliquer la politique de configuration au compte d'administrateur délégué actuel.

1. Choisissez **Suivant**.

1. Sur la page **Vérifier et appliquer**, passez en revue les détails de votre politique de configuration. Choisissez ensuite **Créer une politique et appliquez**. Dans votre région d'origine et dans les régions associées, cette action remplace les paramètres de configuration existants des comptes associés à cette politique de configuration. Les comptes peuvent être associés à la politique de configuration par le biais d'une application ou d'un héritage d'un nœud parent. Les comptes enfants et les cibles appliquées hériteront automatiquement OUs de cette politique de configuration à moins qu'ils ne soient spécifiquement exclus, qu'ils ne soient autogérés ou qu'ils n'utilisent une politique de configuration différente.

------
#### [ Security Hub CSPM API ]

**Pour créer et associer des politiques de configuration**

1. Appelez l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateConfigurationPolicy.html)API depuis le compte d'administrateur délégué CSPM de Security Hub dans la région d'origine.

1. Pour`Name`, fournissez un nom unique pour la politique de configuration. Facultativement`Description`, pour, fournissez une description de la politique de configuration.

1. Pour le `ServiceEnabled` champ, indiquez si vous souhaitez que Security Hub CSPM soit activé ou désactivé dans cette politique de configuration.

1. Dans le `EnabledStandardIdentifiers` champ, spécifiez les normes CSPM du Security Hub que vous souhaitez activer dans cette politique de configuration.

1. Pour l'`SecurityControlsConfiguration`objet, spécifiez les contrôles que vous souhaitez activer ou désactiver dans cette politique de configuration. Choisir `EnabledSecurityControlIdentifiers` signifie que les commandes spécifiées sont activées. Les autres contrôles qui font partie de vos normes activées (y compris les contrôles récemment publiés) sont désactivés. Choisir `DisabledSecurityControlIdentifiers` signifie que les commandes spécifiées sont désactivées. Les autres contrôles qui font partie de vos normes activées (y compris les contrôles récemment publiés) sont activés.

1. Spécifiez éventuellement les contrôles activés pour le `SecurityControlCustomParameters` champ dont vous souhaitez personnaliser les paramètres. Indiquez `CUSTOM` le `ValueType` champ et la valeur du paramètre personnalisé pour le `Value` champ. La valeur doit correspondre au type de données correct et se situer dans les plages valides spécifiées par Security Hub CSPM. Seules certaines commandes prennent en charge les valeurs de paramètres personnalisées. Pour de plus amples informations, veuillez consulter [Comprendre les paramètres de contrôle dans Security Hub CSPM](custom-control-parameters.md).

1. Pour appliquer votre politique de configuration aux comptes ou OUs pour appeler l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html)API depuis le compte d'administrateur délégué Security Hub CSPM de la région d'origine.

1. Pour le `ConfigurationPolicyIdentifier` champ, indiquez le nom de ressource Amazon (ARN) ou l'identifiant unique universel (UUID) de la politique. L'ARN et l'UUID sont renvoyés par l'`CreateConfigurationPolicy`API. Pour une configuration autogérée, le `ConfigurationPolicyIdentifier` champ est égal à`SELF_MANAGED_SECURITY_HUB`.

1. Pour le `Target` champ, indiquez l'unité d'organisation, le compte ou l'ID racine auquel vous souhaitez que cette politique de configuration s'applique. Vous ne pouvez fournir qu'une seule cible par demande d'API. Les comptes enfants et ceux OUs de la cible sélectionnée hériteront automatiquement de cette politique de configuration à moins qu'ils ne soient autogérés ou qu'ils n'utilisent une politique de configuration différente.

**Exemple de demande d'API pour créer une politique de configuration :**

```
{
    "Name": "SampleConfigurationPolicy",
    "Description": "Configuration policy for production accounts",
    "ConfigurationPolicy": {
        "SecurityHub": {
             "ServiceEnabled": true,
             "EnabledStandardIdentifiers": [
                    "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0",
                    "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"
                ],
            "SecurityControlsConfiguration": {
                "DisabledSecurityControlIdentifiers": [
                    "CloudTrail.2"
                ],
                "SecurityControlCustomParameters": [
                    {
                        "SecurityControlId": "ACM.1",
                        "Parameters": {
                            "daysToExpiration": {
                                "ValueType": "CUSTOM",
                                "Value": {
                                    "Integer": 15
                                }
                            }
                        }
                    }
                ]
            }
        }
    }
}
```

**Exemple de demande d'API pour associer une politique de configuration :**

```
{
    "ConfigurationPolicyIdentifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "Target": {"OrganizationalUnitId": "ou-examplerootid111-exampleouid111"}
}
```

------
#### [ AWS CLI ]

**Pour créer et associer des politiques de configuration**

1. Exécutez la [https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-configuration-policy.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-configuration-policy.html)commande depuis le compte d'administrateur délégué Security Hub CSPM dans la région d'origine.

1. Pour`name`, fournissez un nom unique pour la politique de configuration. Facultativement`description`, pour, fournissez une description de la politique de configuration.

1. Pour le `ServiceEnabled` champ, indiquez si vous souhaitez que Security Hub CSPM soit activé ou désactivé dans cette politique de configuration.

1. Dans le `EnabledStandardIdentifiers` champ, spécifiez les normes CSPM du Security Hub que vous souhaitez activer dans cette politique de configuration.

1. Pour le `SecurityControlsConfiguration` champ, spécifiez les contrôles que vous souhaitez activer ou désactiver dans cette politique de configuration. Choisir `EnabledSecurityControlIdentifiers` signifie que les commandes spécifiées sont activées. Les autres contrôles qui font partie de vos normes activées (y compris les contrôles récemment publiés) sont désactivés. Choisir `DisabledSecurityControlIdentifiers` signifie que les commandes spécifiées sont désactivées. Les autres contrôles qui s'appliquent à vos normes activées (y compris les contrôles récemment publiés) sont activés.

1. Spécifiez éventuellement les contrôles activés pour le `SecurityControlCustomParameters` champ dont vous souhaitez personnaliser les paramètres. Indiquez `CUSTOM` le `ValueType` champ et la valeur du paramètre personnalisé pour le `Value` champ. La valeur doit correspondre au type de données correct et se situer dans les plages valides spécifiées par Security Hub CSPM. Seules certaines commandes prennent en charge les valeurs de paramètres personnalisées. Pour de plus amples informations, veuillez consulter [Comprendre les paramètres de contrôle dans Security Hub CSPM](custom-control-parameters.md).

1. Pour appliquer votre politique de configuration aux comptes ou OUs exécutez la [https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html)commande depuis le compte d'administrateur délégué Security Hub CSPM dans la région d'origine.

1. Pour le `configuration-policy-identifier` champ, indiquez le nom de ressource Amazon (ARN) ou l'ID de la politique de configuration. Cet ARN et cet ID sont renvoyés par la `create-configuration-policy` commande.

1. Pour le `target` champ, indiquez l'unité d'organisation, le compte ou l'ID racine auquel vous souhaitez que cette politique de configuration s'applique. Vous ne pouvez fournir qu'une seule cible à chaque fois que vous exécutez la commande. Les enfants de la cible sélectionnée hériteront automatiquement de cette politique de configuration à moins qu'ils ne soient autogérés ou qu'ils n'utilisent une stratégie de configuration différente.

**Exemple de commande pour créer une politique de configuration :**

```
aws securityhub --region us-east-1 create-configuration-policy \
--name "SampleConfigurationPolicy" \
--description "Configuration policy for production accounts" \
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}}]}}}'
```

**Exemple de commande pour associer une politique de configuration :**

```
aws securityhub --region us-east-1 start-configuration-policy-association \
--configuration-policy-identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--target '{"OrganizationalUnitId": "ou-examplerootid111-exampleouid111"}'
```

------

L'`StartConfigurationPolicyAssociation`API renvoie un champ appelé`AssociationStatus`. Ce champ indique si une association de politiques est en attente ou en état de réussite ou d'échec. Le passage du statut à `SUCCESS` ou peut prendre jusqu'à 24 heures`FAILURE`. `PENDING` Pour plus d'informations sur le statut de l'association, consultez[Révision du statut d'association d'une politique de configuration](view-policy.md#configuration-association-status).

# Examen de l'état et des détails des politiques de configuration
<a name="view-policy"></a>

L'administrateur délégué du AWS Security Hub CSPM peut consulter les politiques de configuration d'une organisation et leurs détails. Cela inclut les comptes et les unités organisationnelles (OUs) auxquels une politique est associée.

Pour obtenir des informations générales sur les avantages de la configuration centralisée et son fonctionnement, consultez[Comprendre la configuration centrale dans Security Hub CSPM](central-configuration-intro.md).

Choisissez votre méthode préférée et suivez les étapes pour consulter vos politiques de configuration.

------
#### [ Security Hub CSPM console ]

**Pour consulter les politiques de configuration (console)**

1. Ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Connectez-vous à l'aide des informations d'identification du compte administrateur délégué du Security Hub CSPM dans la région d'origine.

1. Dans le volet de navigation, sélectionnez **Paramètres** et **configuration**.

1. Choisissez l'onglet **Politiques** pour obtenir un aperçu de vos politiques de configuration.

1. Sélectionnez une politique de configuration, puis choisissez **Afficher les détails** pour obtenir des informations supplémentaires à son sujet, notamment les comptes auxquels OUs elle est associée.

------
#### [ Security Hub CSPM API ]

Pour afficher une liste récapitulative de toutes vos politiques de configuration, utilisez le [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListConfigurationPolicies.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListConfigurationPolicies.html)fonctionnement de l'API Security Hub CSPM. Si vous utilisez le AWS CLI, exécutez la [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-configuration-policies.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-configuration-policies.html)commande. Le compte administrateur délégué du Security Hub CSPM doit appeler l'opération dans la région d'origine.

```
$ aws securityhub list-configuration-policies \
--max-items 5 \
--starting-token U2FsdGVkX19nUI2zoh+Pou9YyutlYJHWpn9xnG4hqSOhvw3o2JqjI23QDxdf
```

Pour afficher les détails d'une politique de configuration spécifique, utilisez l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetConfigurationPolicy.html)opération. Si vous utilisez le AWS CLI, lancez le [https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-configuration-policy.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-configuration-policy.html). Le compte d'administrateur délégué doit invoquer l'opération dans la région d'origine. Indiquez le nom de ressource Amazon (ARN) ou l'ID de la politique de configuration dont vous souhaitez consulter les détails.

```
$ aws securityhub get-configuration-policy \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
```

Pour afficher une liste récapitulative de toutes vos politiques de configuration et de leurs associations de comptes, utilisez l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListConfigurationPolicyAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListConfigurationPolicyAssociations.html)opération use the. Si vous utilisez le AWS CLI, exécutez la [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-configuration-policy-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-configuration-policy-associations.html)commande. Le compte d'administrateur délégué doit invoquer l'opération dans la région d'origine. Vous pouvez éventuellement fournir des paramètres de pagination ou filtrer les résultats en fonction d'un ID de politique, d'un type d'association ou d'un statut d'association spécifique.

```
$ aws securityhub list-configuration-policy-associations \
--filters '{"AssociationType": "APPLIED"}'
```

Pour afficher les associations associées à un compte spécifique, utilisez l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetConfigurationPolicyAssociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetConfigurationPolicyAssociation.html)opération. Si vous utilisez le AWS CLI, exécutez la [https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-configuration-policy-association.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-configuration-policy-association.html)commande. Le compte d'administrateur délégué doit invoquer l'opération dans la région d'origine. Pour`target`, indiquez le numéro de compte, l'ID de l'UO ou l'ID root.

```
$ aws securityhub get-configuration-policy-association \
--target '{"AccountId": "123456789012"}'
```

------

## Révision du statut d'association d'une politique de configuration
<a name="configuration-association-status"></a>

Les opérations d'API de configuration centrale suivantes renvoient un champ appelé `AssociationStatus` :
+ `BatchGetConfigurationPolicyAssociations`
+ `GetConfigurationPolicyAssociation`
+ `ListConfigurationPolicyAssociations`
+ `StartConfigurationPolicyAssociation`

Ce champ est renvoyé à la fois lorsque la configuration sous-jacente est une politique de configuration et lorsqu'il s'agit d'un comportement autogéré.

La valeur de `AssociationStatus` indique si une association de politiques est en attente ou en cours de réussite ou d'échec pour un compte spécifique. Le passage du statut à `SUCCESS` ou peut prendre jusqu'à 24 heures`FAILED`. `PENDING` Un statut de `SUCCESS` signifie que tous les paramètres spécifiés dans la politique de configuration sont associés au compte. Un statut de `FAILED` signifie qu'un ou plusieurs paramètres spécifiés dans la politique de configuration n'ont pas pu être associés au compte. Malgré un `FAILED` statut, le compte peut être partiellement configuré conformément à la politique. Par exemple, vous pouvez essayer d'associer un compte à une politique de configuration qui active Security Hub CSPM, active les meilleures pratiques de sécurité AWS fondamentales et désactive la version .1. CloudTrail Les deux premiers paramètres peuvent réussir, mais le paramètre CloudTrail .1 peut échouer. Dans cet exemple, le statut de l'association est `FAILED` même si certains paramètres ont été correctement configurés.

Le statut d'association d'une unité d'organisation parent ou de la racine dépend du statut de ses enfants. Si le statut d'association de tous les enfants est le `SUCCESS` même, le statut d'association du parent l'est`SUCCESS`. Si le statut d'association d'un ou de plusieurs enfants est le même`FAILED`, le statut d'association du parent l'est`FAILED`.

La valeur de `AssociationStatus` dépend du statut associatif de la politique dans toutes les régions concernées. Si l'association réussit dans la région d'origine et dans toutes les régions associées, la valeur de `AssociationStatus` est`SUCCESS`. Si l'association échoue dans une ou plusieurs de ces régions, la valeur de `AssociationStatus` est`FAILED`.

Le comportement suivant a également un impact sur la valeur de `AssociationStatus` :
+ Si la cible est une unité d'organisation parent ou la racine, elle possède un statut `AssociationStatus` de `SUCCESS` ou `FAILED` uniquement lorsque tous les enfants ont le `FAILED` statut `SUCCESS` ou. Si le statut d'association d'un compte enfant ou d'une unité d'organisation change (par exemple, lorsqu'une région associée est ajoutée ou supprimée) après avoir associé le parent pour la première fois à une configuration, la modification ne met pas à jour le statut d'association du parent, sauf si vous appelez à nouveau l'`StartConfigurationPolicyAssociation`API.
+ Si la cible est un compte, elle possède un `AssociationStatus` compte `SUCCESS` ou `FAILED` uniquement si l'association a un résultat `FAILED` dans `SUCCESS` ou dans la région d'origine et toutes les régions associées. Si le statut d'association d'un compte cible change (par exemple, lorsqu'une région associée est ajoutée ou supprimée) une fois que vous l'avez associée pour la première fois à une configuration, son statut d'association est mis à jour. Toutefois, la modification ne met pas à jour le statut d'association du parent, sauf si vous invoquez à nouveau l'`StartConfigurationPolicyAssociation`API.

Si vous ajoutez une nouvelle région liée, Security Hub CSPM réplique vos associations existantes qui se trouvent dans une `PENDING``SUCCESS`, ou un `FAILED` état de la nouvelle région.

Même lorsque le statut de l'association est défini`SUCCESS`, le statut d'activation d'une norme faisant partie de la politique peut passer à un état incomplet. Dans ce cas, Security Hub CSPM ne peut pas générer de résultats pour les contrôles de la norme. Pour de plus amples informations, veuillez consulter [Vérifier le statut d'une norme](enable-standards.md#standard-subscription-status).

## Résolution des problèmes d'association
<a name="failed-association-reasons"></a>

Dans AWS Security Hub CSPM, une association de politiques de configuration peut échouer pour les raisons courantes suivantes.
+ **Le compte de gestion des Organizations n'est pas membre** : si vous souhaitez associer une politique de configuration au compte de gestion Organizations, AWS Security Hub CSPM doit déjà être activé sur ce compte. Le compte de gestion devient ainsi un compte membre de l'organisation.
+ **AWS Config n'est pas activé ou correctement configuré** : pour activer les normes dans une politique de configuration, AWS Config il doit être activé et configuré pour enregistrer les ressources pertinentes.
+ L'**association doit être effectuée à partir d'un compte d'administrateur délégué** : vous ne pouvez associer une politique qu'à des comptes cibles et OUs lorsque vous êtes connecté au compte administrateur délégué du Security Hub CSPM.
+ Vous **devez vous associer depuis votre région d'origine** : vous ne pouvez associer une politique qu'à des comptes cibles et OUs lorsque vous êtes connecté à votre région d'origine.
+ **Région optionnelle non activée** : l'association de politiques échoue pour un compte membre ou une unité d'organisation dans une région associée s'il s'agit d'une région optionnelle que l'administrateur délégué n'a pas activée. Vous pouvez réessayer après avoir activé la région à partir du compte d'administrateur délégué.
+ **Compte de membre suspendu** : l'association de règles échoue si vous essayez d'associer une politique à un compte de membre suspendu.

# Mise à jour des politiques de configuration
<a name="update-policy"></a>

Après avoir créé une politique de configuration, le compte administrateur délégué du AWS Security Hub CSPM peut mettre à jour les détails de la politique et les associations de politiques. Lorsque les détails de la politique sont mis à jour, les comptes associés à la stratégie de configuration commencent automatiquement à utiliser la politique mise à jour.

Pour obtenir des informations générales sur les avantages de la configuration centralisée et son fonctionnement, consultez[Comprendre la configuration centrale dans Security Hub CSPM](central-configuration-intro.md).

L'administrateur délégué peut mettre à jour les paramètres de stratégie suivants :
+ Activez ou désactivez Security Hub CSPM.
+ Activez une ou plusieurs [normes de sécurité](standards-reference.md).
+ Indiquez quels [contrôles de sécurité](securityhub-controls-reference.md) sont activés dans le cadre des normes activées. Vous pouvez le faire en fournissant une liste de contrôles spécifiques qui doivent être activés, et Security Hub CSPM désactive tous les autres contrôles, y compris les nouveaux contrôles lorsqu'ils sont publiés. Vous pouvez également fournir une liste de contrôles spécifiques qui doivent être désactivés, et Security Hub CSPM active tous les autres contrôles, y compris les nouveaux contrôles lorsqu'ils sont publiés.
+ Vous pouvez éventuellement [personnaliser les paramètres](https://docs.aws.amazon.com/securityhub/latest/userguide/custom-control-parameters.html) pour sélectionner les contrôles activés selon les normes activées.

Choisissez votre méthode préférée et suivez les étapes pour mettre à jour une politique de configuration.

**Note**  
Si vous utilisez une configuration centralisée, Security Hub CSPM désactive automatiquement les contrôles impliquant des ressources globales dans toutes les régions, à l'exception de la région d'origine. Les autres contrôles que vous choisissez d'activer par le biais d'une politique de configuration sont activés dans toutes les régions où ils sont disponibles. Pour limiter les résultats de ces contrôles à une seule région, vous pouvez mettre à jour les paramètres de votre AWS Config enregistreur et désactiver l'enregistrement des ressources globales dans toutes les régions, à l'exception de la région d'origine.  
Si un contrôle activé impliquant des ressources globales n'est pas pris en charge dans la région d'origine, Security Hub CSPM essaie d'activer le contrôle dans une région liée où le contrôle est pris en charge. Avec la configuration centralisée, vous ne pouvez pas couvrir un contrôle qui n'est pas disponible dans la région d'origine ou dans l'une des régions associées.  
Pour obtenir la liste des contrôles impliquant des ressources globales, voir[Contrôles utilisant des ressources globales](controls-to-disable.md#controls-to-disable-global-resources).

------
#### [ Console ]

**Pour mettre à jour les politiques de configuration**

1. Ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Connectez-vous à l'aide des informations d'identification du compte administrateur délégué du Security Hub CSPM dans la région d'origine.

1. Dans le volet de navigation, sélectionnez **Paramètres** et **configuration**.

1. Choisissez l’onglet **Politiques**.

1. Sélectionnez la politique de configuration que vous souhaitez modifier, puis choisissez **Modifier**. Si vous le souhaitez, modifiez les paramètres de politique. Laissez cette section telle quelle si vous souhaitez conserver les paramètres de stratégie inchangés.

1. Choisissez **Next**. Si vous le souhaitez, modifiez les associations de politiques. Laissez cette section telle quelle si vous souhaitez conserver les associations de politiques inchangées. Vous pouvez associer ou dissocier la politique à un maximum de 15 cibles (comptes ou root) lorsque vous la mettez à jour. OUs 

1. Choisissez **Suivant**.

1. Passez en revue vos modifications, puis choisissez **Enregistrer et appliquer**. Dans votre région d'origine et dans les régions associées, cette action remplace les paramètres de configuration existants des comptes associés à cette politique de configuration. Les comptes peuvent être associés à une politique de configuration par le biais d'une application ou d'un héritage provenant d'un nœud parent.

------
#### [ API ]

**Pour mettre à jour les politiques de configuration**

1. Pour mettre à jour les paramètres d'une politique de configuration, appelez l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html)API depuis le compte d'administrateur délégué Security Hub CSPM de la région d'origine.

1. Indiquez le nom de ressource Amazon (ARN) ou l'ID de la politique de configuration que vous souhaitez mettre à jour. 

1. Fournissez des valeurs mises à jour pour les champs ci-dessous`ConfigurationPolicy`. Vous pouvez également indiquer le motif de la mise à jour, si vous le souhaitez.

1. Pour ajouter de nouvelles associations pour cette politique de configuration, appelez l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html)API depuis le compte d'administrateur délégué Security Hub CSPM de la région d'origine. Pour supprimer une ou plusieurs associations actuelles, appelez l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyDisassociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyDisassociation.html)API depuis le compte d'administrateur délégué Security Hub CSPM de la région d'origine.

1. Pour le `ConfigurationPolicyIdentifier` champ, indiquez l'ARN ou l'ID de la politique de configuration dont vous souhaitez mettre à jour les associations.

1. Pour le `Target` champ, indiquez les comptes ou l'ID racine que vous souhaitez associer ou dissocier. OUs Cette action remplace les associations de politiques précédentes pour les comptes OUs ou les comptes spécifiés.

**Note**  
Lorsque vous appelez l'`UpdateConfigurationPolicy`API, Security Hub CSPM remplace la liste complète des champs`EnabledStandardIdentifiers`, `EnabledSecurityControlIdentifiers``DisabledSecurityControlIdentifiers`, et`SecurityControlCustomParameters`. Chaque fois que vous invoquez cette API, fournissez la liste complète des normes que vous souhaitez activer, ainsi que la liste complète des contrôles que vous souhaitez activer ou désactiver et pour lesquels vous souhaitez personnaliser les paramètres.

**Exemple de demande d'API pour mettre à jour une politique de configuration :**

```
{
    "Identifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "Description": "Updated configuration policy",
    "UpdatedReason": "Disabling CloudWatch.1",
    "ConfigurationPolicy": {
        "SecurityHub": {
             "ServiceEnabled": true,
             "EnabledStandardIdentifiers": [
                    "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0",
                    "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0" 
                ],
            "SecurityControlsConfiguration": {
                "DisabledSecurityControlIdentifiers": [
                    "CloudTrail.2",
                    "CloudWatch.1"
                ],
                "SecurityControlCustomParameters": [
                    {
                        "SecurityControlId": "ACM.1",
                        "Parameters": {
                            "daysToExpiration": {
                                "ValueType": "CUSTOM",
                                "Value": {
                                    "Integer": 15
                                }
                            }
                        }
                    }
                ]
            }
        }
    }
}
```

------
#### [ AWS CLI ]

**Pour mettre à jour les politiques de configuration**

1. Pour mettre à jour les paramètres d'une politique de configuration, exécutez la [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-configuration-policy.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-configuration-policy.html)commande depuis le compte d'administrateur délégué Security Hub CSPM dans la région d'origine.

1.  Indiquez le nom de ressource Amazon (ARN) ou l'ID de la politique de configuration que vous souhaitez mettre à jour.

1. Fournissez des valeurs mises à jour pour les champs ci-dessous`configuration-policy`. Vous pouvez également indiquer le motif de la mise à jour, si vous le souhaitez.

1. Pour ajouter de nouvelles associations pour cette politique de configuration, exécutez la [https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html)commande depuis le compte d'administrateur délégué Security Hub CSPM dans la région d'origine. Pour supprimer une ou plusieurs associations actuelles, exécutez la [https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html)commande depuis le compte d'administrateur délégué Security Hub CSPM dans la région d'origine.

1. Pour le `configuration-policy-identifier` champ, indiquez l'ARN ou l'ID de la politique de configuration dont vous souhaitez mettre à jour les associations.

1. Pour le `target` champ, indiquez les comptes ou l'ID racine que vous souhaitez associer ou dissocier. OUs Cette action remplace les associations de politiques précédentes pour les comptes OUs ou les comptes spécifiés.

**Note**  
Lorsque vous exécutez la `update-configuration-policy` commande, Security Hub CSPM remplace la liste complète des champs`EnabledStandardIdentifiers`, `EnabledSecurityControlIdentifiers``DisabledSecurityControlIdentifiers`, et`SecurityControlCustomParameters`. Chaque fois que vous exécutez cette commande, fournissez la liste complète des normes que vous souhaitez activer et la liste complète des contrôles que vous souhaitez activer ou désactiver et pour lesquels vous souhaitez personnaliser les paramètres.

**Exemple de commande pour mettre à jour une politique de configuration :**

```
aws securityhub update-configuration-policy \
--region us-east-1 \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--description "Updated configuration policy" \
--updated-reason "Disabling CloudWatch.1" \
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2","CloudWatch.1"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}}]}}}'
```

------

L'`StartConfigurationPolicyAssociation`API renvoie un champ appelé`AssociationStatus`. Ce champ indique si une association de politiques est en attente ou en état de réussite ou d'échec. Le passage de l'état à `SUCCESS` ou peut prendre jusqu'`PENDING`à 24 heures`FAILURE`. Pour plus d'informations sur le statut de l'association, consultez[Révision du statut d'association d'une politique de configuration](view-policy.md#configuration-association-status).

# Suppression des politiques de configuration
<a name="delete-policy"></a>

Après avoir créé une politique de configuration, l'administrateur délégué du AWS Security Hub CSPM peut la supprimer. L'administrateur délégué peut également conserver la politique, mais la dissocier de comptes ou d'unités organisationnelles spécifiques (OUs), ou de la racine. Pour obtenir des instructions sur la dissociation d'une politique, consultez[Dissociation d'une configuration de ses cibles](disassociate-policy.md).

Pour obtenir des informations générales sur les avantages de la configuration centralisée et son fonctionnement, consultez[Comprendre la configuration centrale dans Security Hub CSPM](central-configuration-intro.md).

Cette section explique comment supprimer les politiques de configuration.

Lorsque vous supprimez une politique de configuration, elle n'existe plus pour votre organisation. Les comptes cibles et la racine de l'organisation ne peuvent plus utiliser la politique de configuration. OUs Les cibles associées à une politique de configuration supprimée héritent de la politique de configuration du parent le plus proche ou deviennent autogérées si le parent le plus proche est autogéré. Si vous souhaitez qu'une cible utilise une configuration différente, vous pouvez l'associer à une nouvelle politique de configuration. Pour de plus amples informations, veuillez consulter [Création et association de politiques de configuration](create-associate-policy.md).

Nous vous recommandons de créer et d'associer au moins une politique de configuration à votre organisation afin de fournir une couverture de sécurité adéquate.

Avant de pouvoir supprimer une politique de configuration, vous devez dissocier la politique de tous les comptes ou de la racine auxquels elle s'applique actuellement. OUs

Choisissez votre méthode préférée et suivez les étapes pour supprimer une politique de configuration.

------
#### [ Console ]

**Pour supprimer une politique de configuration**

1. Ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Connectez-vous à l'aide des informations d'identification du compte administrateur délégué du Security Hub CSPM dans la région d'origine.

1. Dans le volet de navigation, sélectionnez **Paramètres** et **configuration**.

1. Choisissez l’onglet **Politiques**. Sélectionnez la politique de configuration que vous souhaitez supprimer, puis choisissez **Supprimer**. Si la politique de configuration est toujours associée à des comptes ou OUs si vous êtes invité à dissocier d'abord la politique de ces cibles avant de pouvoir la supprimer.

1. Passez en revue le message de confirmation. Entrez**confirm**, puis choisissez **Supprimer**.

------
#### [ API ]

**Pour supprimer une politique de configuration**

Appelez l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DeleteConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DeleteConfigurationPolicy.html)API depuis le compte d'administrateur délégué CSPM de Security Hub dans la région d'origine.

Indiquez le nom de ressource Amazon (ARN) ou l'ID de la politique de configuration que vous souhaitez supprimer. Si vous recevez un `ConflictException` message d'erreur, la politique de configuration s'applique toujours aux comptes ou OUs au sein de votre organisation. Pour résoudre l'erreur, dissociez la politique de configuration de ces comptes ou OUs avant d'essayer de la supprimer.

**Exemple de demande d'API pour supprimer une politique de configuration :**

```
{
    "Identifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
}
```

------
#### [ AWS CLI ]

**Pour supprimer une politique de configuration**

Exécutez la [https://docs.aws.amazon.com/cli/latest/reference/securityhub/delete-configuration-policy.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/delete-configuration-policy.html)commande depuis le compte d'administrateur délégué Security Hub CSPM dans la région d'origine.

 Indiquez le nom de ressource Amazon (ARN) ou l'ID de la politique de configuration que vous souhaitez supprimer. Si vous recevez un `ConflictException` message d'erreur, la politique de configuration s'applique toujours aux comptes ou OUs au sein de votre organisation. Pour résoudre l'erreur, dissociez la politique de configuration de ces comptes ou OUs avant d'essayer de la supprimer.

```
aws securityhub --region us-east-1 delete-configuration-policy \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
```

------

# Dissociation d'une configuration de ses cibles
<a name="disassociate-policy"></a>

À partir du compte administrateur délégué du AWS Security Hub CSPM, vous pouvez dissocier une politique de configuration ou une configuration autogérée d'un compte, d'une unité d'organisation ou d'un root. La dissociation conserve la politique pour une utilisation future, mais supprime les associations existantes de comptes spécifiques OUs, ou de la racine. Vous ne pouvez dissocier qu'une configuration directement appliquée, pas une configuration héritée. Pour modifier une configuration héritée, vous pouvez appliquer une politique de configuration ou un comportement autogéré au compte ou à l'unité d'organisation concerné. Vous pouvez également appliquer une nouvelle politique de configuration, qui inclut les modifications souhaitées, au parent le plus proche.

La dissociation *ne supprime pas* une politique de configuration. La politique est conservée dans votre compte, de sorte que vous pouvez l'associer à d'autres cibles de votre organisation. Pour obtenir des instructions sur la suppression d'une politique de configuration, consultez[Suppression des politiques de configuration](delete-policy.md). Lorsque la dissociation est terminée, la cible affectée hérite de la politique de configuration ou du comportement autogéré du parent le plus proche. S'il n'existe aucune configuration héritable, une cible conserve les paramètres qu'elle avait avant la dissociation mais devient autogérée.

Choisissez votre méthode préférée et suivez les étapes pour dissocier un compte, une unité d'organisation ou un root de sa configuration actuelle.

------
#### [ Console ]

**Pour dissocier un compte ou une unité d'organisation de sa configuration actuelle**

1. Ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Connectez-vous à l'aide des informations d'identification du compte administrateur délégué du Security Hub CSPM dans la région d'origine.

1. Dans le volet de navigation, sélectionnez **Paramètres** et **configuration**.

1. Dans l'onglet **Organizations**, sélectionnez le compte, l'unité d'organisation ou la racine que vous souhaitez dissocier de sa configuration actuelle. Choisissez **Modifier**.

1. Sur la page **Définir la configuration**, pour **Gestion**, choisissez **Politique appliquée** si vous souhaitez que l'administrateur délégué puisse appliquer des politiques directement à la cible. Choisissez **Hierited** si vous souhaitez que la cible hérite de la configuration de son parent le plus proche. Dans les deux cas, l'administrateur délégué contrôle les paramètres de la cible. Choisissez **Autogéré** si vous souhaitez que le compte ou l'unité d'organisation contrôle ses propres paramètres.

1. Après avoir examiné vos modifications, choisissez **Suivant** et **Appliquer**. Cette action remplace les configurations existantes de tous les comptes ou de tous OUs les comptes concernés, si ces configurations entrent en conflit avec vos sélections actuelles.

------
#### [ API ]

**Pour dissocier un compte ou une unité d'organisation de sa configuration actuelle**

1. Appelez l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyDisassociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyDisassociation.html)API depuis le compte d'administrateur délégué CSPM de Security Hub dans la région d'origine.

1.  Pour`ConfigurationPolicyIdentifier`, fournissez le nom de ressource Amazon (ARN) ou l'ID de la politique de configuration que vous souhaitez dissocier. Indiquez ce champ `SELF_MANAGED_SECURITY_HUB` pour dissocier les comportements autogérés.

1.  Pour`Target`, indiquez les comptes ou la racine que vous souhaitez dissocier de cette politique de configuration. OUs

**Exemple de demande d'API pour dissocier une politique de configuration :**

```
{
    "ConfigurationPolicyIdentifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "Target": {"RootId": "r-f6g7h8i9j0example"}
}
```

------
#### [ AWS CLI ]

**Pour dissocier un compte ou une unité d'organisation de sa configuration actuelle**

1. Exécutez la [https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-disassociation.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-disassociation.html)commande depuis le compte d'administrateur délégué Security Hub CSPM dans la région d'origine.

1.  Pour`configuration-policy-identifier`, fournissez le nom de ressource Amazon (ARN) ou l'ID de la politique de configuration que vous souhaitez dissocier. Indiquez ce champ `SELF_MANAGED_SECURITY_HUB` pour dissocier les comportements autogérés.

1.  Pour`target`, indiquez les comptes ou la racine que vous souhaitez dissocier de cette politique de configuration. OUs

**Exemple de commande pour dissocier une politique de configuration :**

```
aws securityhub --region us-east-1 start-configuration-policy-disassociation \
--configuration-policy-identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--target '{"RootId": "r-f6g7h8i9j0example"}'
```

------

# Configuration d'une norme ou d'un contrôle en contexte
<a name="central-configuration-in-context"></a>

Lorsque vous utilisez la [configuration centralisée](central-configuration-intro.md) dans AWS Security Hub CSPM, l'administrateur délégué de Security Hub CSPM peut créer des politiques de configuration qui spécifient la manière dont le Security Hub CSPM, les normes de sécurité et les contrôles de sécurité sont configurés pour une organisation. L'administrateur délégué peut associer des politiques à des comptes et à des unités d'organisation (UO) spécifiques. Les politiques entrent en vigueur dans votre région d'origine et dans toutes les régions associées. L'administrateur délégué peut mettre à jour les politiques de configuration si nécessaire.

Sur la console Security Hub CSPM, l'administrateur délégué peut mettre à jour les politiques de configuration de deux manières : depuis la page **Configuration** ou dans le contexte des flux de travail existants. Ce dernier point peut être utile car, lorsque vous consultez les résultats de sécurité, vous pouvez découvrir les normes et les contrôles les plus pertinents pour votre environnement et les configurer en même temps.

La configuration contextuelle n'est disponible que sur la console Security Hub CSPM. Par programmation, l'administrateur délégué doit invoquer le [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html)fonctionnement de l'API Security Hub CSPM pour modifier la façon dont des normes ou des contrôles spécifiques sont configurés dans l'organisation.

Suivez ces étapes pour configurer une norme ou un contrôle Security Hub CSPM en contexte.

**Pour configurer une norme ou un contrôle en contexte (console)**

1. Ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Connectez-vous à l'aide des informations d'identification du compte administrateur délégué du Security Hub CSPM dans la région d'origine.

1. Dans le volet de navigation, choisissez l'une des options suivantes :
   + Pour configurer une norme, sélectionnez **Normes de sécurité**, puis choisissez une norme spécifique.
   + Pour configurer un contrôle, choisissez **Controls**, puis choisissez un contrôle spécifique.

1. La console répertorie vos politiques de configuration Security Hub CSPM existantes et le statut de la norme ou du contrôle sélectionné dans chacune d'elles. Choisissez les options pour activer ou désactiver la norme ou le contrôle dans chaque politique de configuration existante. Pour les contrôles, vous pouvez également choisir de personnaliser les [paramètres de contrôle](custom-control-parameters.md). Vous ne pouvez pas créer de nouvelle politique lors de la configuration contextuelle. Pour créer une nouvelle politique, vous devez accéder à la page **Configuration**, choisir l'onglet **Stratégies**, puis choisir **Créer une politique**.

1. Après avoir apporté vos modifications, choisissez **Next**.

1. Passez en revue vos modifications, puis choisissez **Appliquer**. Les mises à jour concernent tous OUs les comptes associés à une politique de configuration modifiée. Les mises à jour prennent également effet dans la région d'origine et dans toutes les régions associées.

# Désactivation de la configuration centrale dans Security Hub CSPM
<a name="stop-central-configuration"></a>

Lorsque vous désactivez la configuration centralisée dans AWS Security Hub CSPM, l'administrateur délégué ne peut plus configurer Security Hub CSPM, les normes de sécurité et les contrôles de sécurité sur plusieurs Comptes AWS unités organisationnelles () OUs et. Régions AWS Vous devez plutôt configurer la plupart des paramètres séparément pour chaque compte dans chaque région.

**Important**  
Avant de désactiver la configuration centralisée, vous devez d'abord [dissocier vos comptes et les dissocier OUs](disassociate-policy.md) de leur configuration actuelle, qu'il s'agisse d'une politique de configuration ou d'un comportement autogéré.  
Avant de désactiver la configuration centralisée, vous devez également [supprimer les politiques de configuration existantes](delete-policy.md).

Lorsque vous désactivez la configuration centrale, les modifications suivantes se produisent :
+ L'administrateur délégué ne peut plus créer de politiques de configuration pour l'organisation.
+ Les comptes auxquels une politique de configuration a été appliquée ou héritée conservent leurs paramètres actuels, mais deviennent autogérés.
+ Votre organisation passe à la *configuration locale*. Dans le cadre de la configuration locale, la majorité des paramètres Security Hub CSPM doivent être configurés séparément dans chaque compte d'organisation et dans chaque région. L'administrateur délégué peut choisir d'activer automatiquement le Security Hub CSPM, les [normes de sécurité par défaut](securityhub-auto-enabled-standards.md) et tous les contrôles inclus dans les normes par défaut dans les nouveaux comptes d'organisation. Les normes par défaut sont AWS Foundational Security Best Practices (FSBP) et Center for Internet Security (CIS) AWS Foundations Benchmark v1.2.0. Ces paramètres ne prennent effet que dans la région actuelle et n'ont d'incidence que sur les nouveaux comptes de l'organisation. L'administrateur délégué ne peut pas modifier les normes par défaut. La configuration locale ne prend pas en charge l'utilisation de politiques de configuration ou de configuration au niveau de l'unité d'organisation.

L'identité du compte d'administrateur délégué reste la même lorsque vous arrêtez d'utiliser la configuration centrale. Votre région d'origine et les régions associées restent également les mêmes (votre région d'origine est désormais appelée région d'agrégation et peut être utilisée pour rechercher une agrégation).

Choisissez votre méthode préférée et suivez les étapes pour arrêter d'utiliser la configuration centrale et passer à la configuration locale.

------
#### [ Security Hub CSPM console ]

**Pour désactiver la configuration centrale (console)**

1. Ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Connectez-vous à l'aide des informations d'identification du compte administrateur délégué du Security Hub CSPM dans la région d'origine.

1. Dans le volet de navigation, sélectionnez **Paramètres** et **configuration**.

1. Dans la section **Vue d'ensemble**, choisissez **Modifier**.

1. Dans la zone **Modifier la configuration de l'organisation**, choisissez **Configuration locale**. Si ce n'est pas déjà fait, vous êtes invité à dissocier et à supprimer vos politiques de configuration actuelles avant de pouvoir arrêter la configuration centralisée. Les comptes ou OUs ceux qui sont désignés comme autogérés doivent être dissociés de leur configuration autogérée. Vous pouvez le faire dans la console en [modifiant le type de gestion](central-configuration-management-type.md#choose-management-type) de chaque compte ou unité d'organisation autogéré en mode **géré de manière centralisée** et en **héritant de mon organisation**.

1. Vous pouvez éventuellement sélectionner les paramètres de configuration par défaut locaux pour les nouveaux comptes d'organisation.

1. Choisissez **Confirmer**.

------
#### [ Security Hub CSPM API ]

**Pour désactiver la configuration centrale (API)**

1. Appelez l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html)API.

1. Définissez le `ConfigurationType` champ de l'`OrganizationConfiguration`objet sur`LOCAL`. L'API renvoie une erreur si vous avez des politiques de configuration ou des associations de politiques existantes. Pour dissocier une politique de configuration, appelez l'`StartConfigurationPolicyDisassociation`API. Pour supprimer une politique de configuration, appelez l'`DeleteConfigurationPolicy`API.

1. Si vous souhaitez activer automatiquement le Security Hub CSPM dans les nouveaux comptes d'organisation, définissez le `AutoEnable` champ sur. `true` Par défaut, la valeur de ce champ est`false`, et Security Hub CSPM n'est pas automatiquement activé dans les nouveaux comptes d'organisation. Si vous souhaitez activer automatiquement les normes de sécurité par défaut dans les nouveaux comptes d'organisation, définissez le `AutoEnableStandards` champ sur`DEFAULT`. Il s'agit de la valeur par défaut. Si vous ne souhaitez pas activer automatiquement les normes de sécurité par défaut dans les nouveaux comptes d'organisation, définissez le `AutoEnableStandards` champ sur`NONE`.

**Exemple de demande d'API :**

```
{
    "AutoEnable": true, 
    "OrganizationConfiguration": {
        "ConfigurationType" : "LOCAL"
    }
}
```

------
#### [ AWS CLI ]

**Pour désactiver la configuration centrale (AWS CLI)**

1. Exécutez la commande [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html).

1. Définissez le `ConfigurationType` champ de l'`organization-configuration`objet sur`LOCAL`. La commande renvoie une erreur si vous avez des politiques de configuration ou des associations de politiques existantes. Pour dissocier une politique de configuration, exécutez la `start-configuration-policy-disassociation` commande. Pour supprimer une politique de configuration, exécutez la `delete-configuration-policy` commande.

1. Si vous souhaitez activer automatiquement le Security Hub CSPM dans les nouveaux comptes d'organisation, incluez le `auto-enable` paramètre. Par défaut, la valeur de ce paramètre est`no-auto-enable`, et Security Hub CSPM n'est pas automatiquement activé dans les nouveaux comptes d'organisation. Si vous souhaitez activer automatiquement les normes de sécurité par défaut dans les nouveaux comptes d'organisation, définissez le `auto-enable-standards` champ sur`DEFAULT`. Il s'agit de la valeur par défaut. Si vous ne souhaitez pas activer automatiquement les normes de sécurité par défaut dans les nouveaux comptes d'organisation, définissez le `auto-enable-standards` champ sur`NONE`.

```
aws securityhub --region us-east-1 update-organization-configuration \
--auto-enable \
--organization-configuration '{"ConfigurationType": "LOCAL"}'
```

------