Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Comprendere la configurazione centrale in Security Hub CSPM
La configurazione centrale è una funzionalità CSPM di AWS Security Hub che consente di configurare e gestire Security Hub CSPM su più e. Account AWS Regioni AWS Per utilizzare la configurazione centrale, è necessario prima integrare Security Hub CSPM e. AWS OrganizationsÈ possibile integrare i servizi creando un'organizzazione e designando un account amministratore CSPM Security Hub delegato per l'organizzazione.
Dall'account amministratore CSPM di Security Hub delegato, puoi abilitare Security Hub CSPM per gli account e le unità organizzative dell'organizzazione () in tutte le regioni. OUs È inoltre possibile abilitare, configurare e disabilitare singoli standard di sicurezza e controlli di sicurezza per gli account e tra le regioni. OUs Puoi configurare queste impostazioni in pochi passaggi da una regione principale, denominata *regione d'origine*.
Quando si utilizza la configurazione centrale, l'amministratore delegato può scegliere quali account e OUs configurare. Se l'amministratore delegato designa un account membro o un'unità organizzativa come *autogestita*, il membro può configurare le proprie impostazioni separatamente in ciascuna regione. Se l'amministratore delegato designa un account membro o un'unità organizzativa come *gestita centralmente*, solo l'amministratore delegato può configurare l'account membro o l'unità organizzativa in tutte le regioni. È possibile designare tutti gli account e OUs quelli dell'organizzazione come gestiti centralmente, tutti autogestiti o una combinazione di entrambi.
Per configurare gli account gestiti centralmente, l'amministratore delegato utilizza le politiche di configurazione CSPM di Security Hub. Le politiche di configurazione consentono all'amministratore delegato di specificare se Security Hub CSPM è abilitato o disabilitato e quali standard e controlli sono abilitati o disabilitati. Possono essere utilizzati anche per personalizzare i parametri per determinati controlli.
Le politiche di configurazione hanno effetto nella regione di origine e in tutte le regioni collegate. L'amministratore delegato specifica la regione di origine dell'organizzazione e le regioni collegate prima di iniziare a utilizzare la configurazione centrale. La specificazione delle regioni collegate è facoltativa. L'amministratore delegato può creare un'unica politica di configurazione per l'intera organizzazione o creare più politiche di configurazione per configurare impostazioni variabili per diversi account e. OUs
**Suggerimento**
Se non si utilizza la configurazione centrale, è necessario configurare principalmente Security Hub CSPM separatamente in ogni account e regione. Questa è chiamata configurazione *locale*. Nella configurazione locale, l'amministratore delegato può abilitare automaticamente Security Hub CSPM e un set limitato di standard di sicurezza nei nuovi account dell'organizzazione nella regione corrente. La configurazione locale non si applica agli account dell'organizzazione esistenti o alle regioni diverse dalla regione corrente. Inoltre, la configurazione locale non supporta l'uso di politiche di configurazione.
Questa sezione fornisce una panoramica della configurazione centrale.
## Vantaggi dell'utilizzo della configurazione centrale
I vantaggi della configurazione centrale includono quanto segue:
**Semplifica la configurazione del servizio e delle funzionalità CSPM di Security Hub**
Quando utilizzi la configurazione centrale, Security Hub CSPM ti guida attraverso il processo di configurazione delle best practice di sicurezza per la tua organizzazione. Inoltre, distribuisce le politiche di configurazione risultanti su account specifici e automaticamente. OUs Se disponi di impostazioni CSPM di Security Hub esistenti, come l'abilitazione automatica di nuovi controlli di sicurezza, puoi utilizzarle come punto di partenza per le tue politiche di configurazione. Inoltre, la pagina di **configurazione** sulla console CSPM di Security Hub mostra un riepilogo in tempo reale delle politiche di configurazione e degli account e delle modalità di OUs utilizzo di ciascuna politica.
**Configurazione su più account e regioni**
È possibile utilizzare la configurazione centrale per configurare Security Hub CSPM su più account e regioni. Questo aiuta a garantire che ogni parte dell'organizzazione mantenga una configurazione coerente e una copertura di sicurezza adeguata.
**Adatta configurazioni diverse in account diversi e OUs**
Con la configurazione centralizzata, puoi scegliere di configurare gli account della tua organizzazione e OUs in diversi modi. Ad esempio, gli account di test e gli account di produzione potrebbero richiedere configurazioni diverse. Puoi anche creare una politica di configurazione che copra i nuovi account quando entrano a far parte dell'organizzazione.
**Previeni la deriva della configurazione**
La modifica della configurazione si verifica quando un utente apporta una modifica a un servizio o a una funzionalità che è in conflitto con le selezioni dell'amministratore delegato. La configurazione centrale impedisce questa deriva. Quando si designa un account o un'unità organizzativa come gestito centralmente, tale account o unità organizzativa è configurabile solo dall'amministratore delegato dell'organizzazione. Se si preferisce che un account o un'unità organizzativa specifici configurino le proprie impostazioni, è possibile designarlo come autogestito.
## Quando utilizzare la configurazione centrale?
La configurazione centrale è particolarmente utile per AWS gli ambienti che includono più account CSPM di Security Hub. È progettato per aiutarti a gestire centralmente Security Hub CSPM per più account.
È possibile utilizzare la configurazione centrale per configurare il servizio CSPM Security Hub, gli standard di sicurezza e i controlli di sicurezza. È inoltre possibile utilizzarlo per personalizzare i parametri di determinati controlli. Per ulteriori informazioni sugli standard di sicurezza, vedere[Comprensione degli standard di sicurezza in Security Hub CSPM](standards-view-manage.md). Per ulteriori informazioni sui controlli di sicurezza, vedere[Comprendere i controlli di sicurezza in Security Hub CSPM](controls-view-manage.md).
## Termini e concetti relativi alla configurazione centrale
La comprensione dei seguenti termini e concetti chiave può aiutarti a utilizzare la configurazione centrale CSPM di Security Hub.
**Configurazione centrale**
Una funzionalità CSPM di Security Hub che aiuta l'account amministratore CSPM di Security Hub delegato per un'organizzazione a configurare il servizio CSPM Security Hub, gli standard di sicurezza e i controlli di sicurezza su più account e regioni. Per configurare queste impostazioni, l'amministratore delegato crea e gestisce le politiche di configurazione CSPM di Security Hub per gli account gestiti centralmente nella propria organizzazione. Gli account autogestiti possono configurare le proprie impostazioni separatamente in ciascuna regione. Per utilizzare la configurazione centrale, è necessario integrare Security Hub CSPM e. AWS Organizations
**Regione d'origine**
Regione AWS Da cui l'amministratore delegato configura centralmente Security Hub CSPM, creando e gestendo le politiche di configurazione. Le politiche di configurazione hanno effetto nella regione di origine e in tutte le regioni collegate.
La regione di origine funge anche da regione di aggregazione CSPM del Security Hub e riceve risultati, approfondimenti e altri dati dalle regioni collegate.
Le regioni AWS introdotte a partire dal 20 marzo 2019 sono note come regioni opt-in. Una regione opt-in non può essere la regione di origine, ma può essere una regione collegata. Per un elenco delle regioni che hanno aderito, consulta [Considerazioni prima di abilitare e disabilitare le regioni](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#manage-acct-regions-considerations) nella Guida di riferimento per la gestione degli *AWS account*.
**Regione collegata**
E Regione AWS che è configurabile dalla regione di origine. Le politiche di configurazione vengono create dall'amministratore delegato nella regione di origine. Le politiche hanno effetto nella regione di origine e in tutte le regioni collegate. La specificazione delle regioni collegate è facoltativa.
Una regione collegata invia inoltre risultati, approfondimenti e altri dati alla regione di origine.
Le regioni AWS introdotte a partire dal 20 marzo 2019 sono note come regioni opt-in. È necessario abilitare tale regione per un account prima di potervi applicare una politica di configurazione. L'account di gestione Organizations può abilitare le regioni opzionali per un account membro. Per ulteriori informazioni, consulta [Specificare quali Regioni AWS account può essere utilizzato dal proprio account](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#rande-manage-enable) nella *Guida di riferimento per la gestione degli AWS account*.
**Target**
Un' Account AWS unità organizzativa (OU) o la radice dell'organizzazione.
**Politica di configurazione CSPM di Security Hub**
Una raccolta di impostazioni CSPM di Security Hub che l'amministratore delegato può configurare per destinazioni gestite centralmente. Questo include:
+ Se abilitare o disabilitare Security Hub CSPM.
+ Se abilitare uno o più standard di [sicurezza](standards-reference.md).
+ Quali [controlli di sicurezza](securityhub-controls-reference.md) abilitare tra gli standard abilitati. L'amministratore delegato può farlo fornendo un elenco di controlli specifici che devono essere abilitati e Security Hub CSPM disabilita tutti gli altri controlli (inclusi i nuovi controlli quando vengono rilasciati). In alternativa, l'amministratore delegato può fornire un elenco di controlli specifici che devono essere disabilitati e Security Hub CSPM abilita tutti gli altri controlli (inclusi i nuovi controlli quando vengono rilasciati).
+ Facoltativamente, [personalizza i parametri](custom-control-parameters.md) per selezionare i controlli abilitati tra gli standard abilitati.
Una politica di configurazione ha effetto nella regione di origine e in tutte le regioni collegate dopo essere stata associata ad almeno un account, un'unità organizzativa (OU) o la directory principale.
Sulla console Security Hub CSPM, l'amministratore delegato può scegliere la politica di configurazione consigliata da Security Hub CSPM o creare politiche di configurazione personalizzate. Con l'API Security Hub CSPM e AWS CLI, l'amministratore delegato può creare solo politiche di configurazione personalizzate. L'amministratore delegato può creare un massimo di 20 politiche di configurazione personalizzate.
Nella politica di configurazione consigliata, Security Hub CSPM, lo standard AWS Foundational Security Best Practices (FSBP) e tutti i controlli FSBP esistenti e nuovi sono abilitati. I controlli che accettano i parametri utilizzano i valori predefiniti. La politica di configurazione consigliata si applica all'intera organizzazione.
Per applicare impostazioni diverse all'organizzazione o applicare politiche di configurazione diverse a account diversi e OUs creare una politica di configurazione personalizzata.
**Configurazione locale**
Il tipo di configurazione predefinito per un'organizzazione, dopo l'integrazione di Security Hub CSPM e. AWS Organizations Con la configurazione locale, l'amministratore delegato può scegliere di abilitare automaticamente Security Hub CSPM e [gli standard di sicurezza predefiniti](securityhub-auto-enabled-standards.md) nei *nuovi* account dell'organizzazione nella regione corrente. Se l'amministratore delegato abilita automaticamente gli standard predefiniti, tutti i controlli che fanno parte di questi standard vengono abilitati automaticamente anche con parametri predefiniti per i nuovi account dell'organizzazione. Queste impostazioni non si applicano agli account esistenti, quindi è possibile modificare la configurazione dopo che un account si unisce all'organizzazione. La disabilitazione di controlli specifici che fanno parte degli standard predefiniti e la configurazione di standard e controlli aggiuntivi devono essere eseguite separatamente in ogni account e regione.
La configurazione locale non supporta l'uso di politiche di configurazione. Per utilizzare i criteri di configurazione, è necessario passare alla configurazione centrale.
**Gestione manuale degli account**
Se non integri Security Hub CSPM AWS Organizations o disponi di un account autonomo, devi specificare le impostazioni per ciascun account separatamente in ciascuna regione. La gestione manuale degli account non supporta l'uso di politiche di configurazione.
**Configurazione centrale APIs**
Operazioni CSPM di Security Hub che solo l'amministratore CSPM delegato di Security Hub CSPM di Security Hub CSPM può utilizzare nella regione di residenza per gestire le politiche di configurazione per gli account gestiti centralmente. Le operazioni includono:
+ `CreateConfigurationPolicy`
+ `DeleteConfigurationPolicy`
+ `GetConfigurationPolicy`
+ `ListConfigurationPolicies`
+ `UpdateConfigurationPolicy`
+ `StartConfigurationPolicyAssociation`
+ `StartConfigurationPolicyDisassociation`
+ `GetConfigurationPolicyAssociation`
+ `BatchGetConfigurationPolicyAssociations`
+ `ListConfigurationPolicyAssociations`
**Specifico per l'account APIs**
Operazioni CSPM di Security Hub che possono essere utilizzate per abilitare o disabilitare CSPM, standard e controlli di Security Hub su base. account-by-account Queste operazioni vengono utilizzate in ogni singola regione.
Gli account autogestiti possono utilizzare operazioni specifiche dell'account per configurare le proprie impostazioni. Gli account gestiti centralmente non possono utilizzare le seguenti operazioni specifiche dell'account nella regione di origine e nelle regioni collegate. In tali regioni, solo l'amministratore delegato può configurare gli account gestiti centralmente tramite operazioni di configurazione e politiche di configurazione centralizzate.
+ `BatchDisableStandards`
+ `BatchEnableStandards`
+ `BatchUpdateStandardsControlAssociations`
+ `DisableSecurityHub`
+ `EnableSecurityHub`
+ `UpdateStandardsControl`
Per verificare lo stato dell'account, il proprietario di un account gestito centralmente *può* utilizzare `Get` qualsiasi `Describe` operazione dell'API CSPM Security Hub.
Se si utilizza la configurazione locale o la gestione manuale degli account, anziché la configurazione centrale, è possibile utilizzare queste operazioni specifiche dell'account.
Gli account autogestiti possono inoltre essere utilizzati e utilizzati`*Invitations`. `*Members` Tuttavia, consigliamo che gli account autogestiti non utilizzino queste operazioni. Le associazioni di policy possono fallire se un account membro ha i propri membri che fanno parte di un'organizzazione diversa da quella dell'amministratore delegato.
**Unità organizzativa (UO)**
In AWS Organizations and Security Hub CSPM, un contenitore per un gruppo di. Account AWS Un'unità organizzativa (OU) può anche contenerne altre OUs, il che consente di creare una gerarchia simile a un albero capovolto, con un'unità organizzativa principale nella parte superiore e i rami della stessa che si estendono verso il basso, terminando con gli account OUs che sono le foglie dell'albero. Un'unità organizzativa può avere esattamente un genitore e ogni account dell'organizzazione può essere membro di una sola unità organizzativa.
È possibile gestirlo OUs in AWS Organizations o AWS Control Tower. Per ulteriori informazioni, consulta [Gestire le unità organizzative](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_ous.html) nella *Guida per AWS Organizations l'utente* o [Gestire organizzazioni e account AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/existing-orgs.html) nella *Guida per l'AWS Control Tower utente*.
L'amministratore delegato può associare le politiche di configurazione a account specifici oppure OUs alla directory principale per coprire tutti gli account e OUs all'interno di un'organizzazione.
**Gestito centralmente**
Un obiettivo che solo l'amministratore delegato può configurare in tutte le regioni utilizzando le politiche di configurazione.
L'account amministratore delegato specifica se una destinazione è gestita centralmente. L'amministratore delegato può anche modificare lo stato di una destinazione da gestita centralmente a gestita automaticamente o viceversa.
**Autogestito**
Una destinazione che gestisce le proprie impostazioni CSPM di Security Hub. Una destinazione autogestita utilizza operazioni specifiche dell'account per configurare Security Hub CSPM separatamente in ciascuna regione. Ciò è in contrasto con gli obiettivi gestiti centralmente, che sono configurabili solo dall'amministratore delegato in tutte le regioni tramite politiche di configurazione.
L'account amministratore delegato specifica se una destinazione è gestita automaticamente. L'amministratore delegato può applicare un comportamento autogestito a una destinazione. In alternativa, un account o un'unità organizzativa può ereditare il comportamento autogestito da un genitore.
L'account amministratore delegato può essere esso stesso un account autogestito. L'account amministratore delegato può modificare lo stato di una destinazione da autogestito a gestito centralmente o viceversa.
**Associazione alla politica di configurazione**
Un collegamento tra una politica di configurazione e un account, un'unità organizzativa (OU) o una radice. Quando esiste un'associazione di policy, l'account, l'unità organizzativa o la root utilizza le impostazioni definite dalla politica di configurazione. Esiste un'associazione in uno di questi casi:
+ Quando l'amministratore delegato applica direttamente una politica di configurazione a un account, a un'unità organizzativa o a una cartella principale
+ Quando un account o un'unità organizzativa eredita una politica di configurazione da un'unità organizzativa principale o dalla directory principale
Un'associazione esiste fino a quando non viene applicata o ereditata una configurazione diversa.
**Politica di configurazione applicata**
Un tipo di associazione di criteri di configurazione in cui l'amministratore delegato applica direttamente una politica di configurazione agli account di destinazione o alla directory principale. OUs Gli obiettivi sono configurati nel modo definito dalla politica di configurazione e solo l'amministratore delegato può modificarne la configurazione. Se applicata a root, la politica di configurazione influisce su tutti gli account e OUs nell'organizzazione che non utilizzano una configurazione diversa tramite l'applicazione o l'ereditarietà dal genitore più vicino.
L'amministratore delegato può anche applicare una configurazione autogestita ad account specifici o alla directory principale OUs.
**Politica di configurazione ereditata**
Un tipo di associazione di criteri di configurazione in cui un account o un'unità organizzativa adotta la configurazione dell'unità organizzativa principale o principale più vicina. Se un criterio di configurazione non viene applicato direttamente a un account o a un'unità organizzativa, eredita la configurazione dell'elemento principale più vicino. Tutti gli elementi di una policy vengono ereditati. In altre parole, un account o un'unità organizzativa non possono scegliere di ereditare selettivamente solo parti di una politica. Se il genitore più vicino è autogestito, l'account figlio o l'unità organizzativa eredita il comportamento autogestito del genitore.
L'ereditarietà non può sovrascrivere una configurazione applicata. In altre parole, se un criterio di configurazione o una configurazione autogestita viene applicata direttamente a un account o a un'unità organizzativa, utilizza tale configurazione e non eredita la configurazione dell'unità principale.
**Root**
In AWS Organizations and Security Hub CSPM, il nodo principale di primo livello di un'organizzazione. Se l'amministratore delegato applica una politica di configurazione a root, la politica viene associata a tutti gli account e all'interno dell'organizzazione OUs a meno che non utilizzino una politica diversa, tramite l'applicazione o l'ereditarietà, o non siano designati come autogestiti. Se l'amministratore definisce la directory principale come autogestita, tutti gli account e l'organizzazione vengono gestiti automaticamente, OUs a meno che non utilizzino una politica di configurazione tramite l'applicazione o l'ereditarietà. Se la directory principale è gestita automaticamente e al momento non esistono criteri di configurazione, tutti i nuovi account dell'organizzazione mantengono le impostazioni correnti.
I nuovi account che entrano a far parte di un'organizzazione rientrano nella cartella principale finché non vengono assegnati a un'unità organizzativa specifica. Se un nuovo account non viene assegnato a un'unità organizzativa, eredita la configurazione principale a meno che l'amministratore delegato non lo designi come account autogestito.
# Abilitazione della configurazione centrale in Security Hub CSPM
L'account amministratore delegato AWS di Security Hub CSPM può utilizzare la configurazione centrale per configurare CSPM, standard e controlli di Security Hub per più account e unità organizzative () in tutto. OUs Regioni AWS
Per informazioni di base sui vantaggi della configurazione centralizzata e su come funziona, consulta. [Comprendere la configurazione centrale in Security Hub CSPM](central-configuration-intro.md)
Questa sezione spiega i prerequisiti per la configurazione centrale e come iniziare a utilizzarla.
## Prerequisiti per la configurazione centrale
Prima di poter iniziare a utilizzare la configurazione centrale, è necessario integrare Security Hub CSPM AWS Organizations e designare una regione di residenza. Se si utilizza la console Security Hub CSPM, questi prerequisiti sono inclusi nel flusso di lavoro di attivazione per la configurazione centrale.
### Integrazione con Organizations
È necessario integrare Security Hub CSPM e Organizations per utilizzare la configurazione centrale.
Per integrare questi servizi, è necessario innanzitutto creare un'organizzazione in Organizations. Dall'account di gestione Organizations, si designa quindi un account amministratore delegato CSPM di Security Hub. Per istruzioni, consulta [Integrazione del Security Hub CSPM con AWS Organizations](designate-orgs-admin-account.md).
**Assicurati di designare l'amministratore delegato nella regione di residenza desiderata.** Quando inizi a utilizzare la configurazione centrale, lo stesso amministratore delegato viene impostato automaticamente anche in tutte le regioni collegate. L'account di gestione Organizations *non può* essere impostato come account amministratore delegato.
**Importante**
Quando si utilizza la configurazione centrale, non è possibile utilizzare la console CSPM di Security Hub o il CSPM di Security Hub APIs per modificare o rimuovere l'account amministratore delegato. Se l'account di gestione Organizations utilizza l'account di gestione AWS Organizations APIs per modificare o rimuovere l'amministratore delegato di Security Hub CSPM, Security Hub CSPM interrompe automaticamente la configurazione centrale. Inoltre, le policy di configurazione vengono dissociate ed eliminate. Gli account dei membri mantengono la configurazione che avevano prima della modifica o della rimozione dell'amministratore delegato.
### Designare una regione d'origine
È necessario designare una regione d'origine per utilizzare la configurazione centralizzata. La regione d'origine è la regione da cui l'amministratore delegato configura l'organizzazione.
**Nota**
La regione d'origine non può essere una regione AWS designata come regione opt-in. Per impostazione predefinita, una regione che prevede l'attivazione è disattivata. Per un elenco delle regioni che hanno aderito, consulta [Considerazioni prima di abilitare e disabilitare le regioni](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#manage-acct-regions-considerations) nella Guida di riferimento per la gestione degli *AWS account*.
Facoltativamente, puoi specificare una o più regioni collegate configurabili dalla regione di origine.
L'amministratore delegato può creare e gestire le politiche di configurazione solo dalla regione di origine. Le politiche di configurazione hanno effetto nella regione di origine e in tutte le regioni collegate. Non è possibile creare una politica di configurazione che si applichi solo a un sottoinsieme di queste regioni e non ad altre. L'eccezione è rappresentata dai controlli che coinvolgono risorse globali. Se si utilizza la configurazione centrale, Security Hub CSPM disattiva automaticamente i controlli che coinvolgono risorse globali in tutte le regioni tranne la regione di origine. Per ulteriori informazioni, consulta [Controlli che utilizzano risorse globali](controls-to-disable.md#controls-to-disable-global-resources).
La regione di origine è anche la regione di aggregazione CSPM del Security Hub che riceve risultati, approfondimenti e altri dati dalle regioni collegate.
Se hai già impostato una regione di aggregazione per l'aggregazione tra regioni, questa è la regione principale predefinita per la configurazione centrale. Puoi modificare la regione di residenza prima di iniziare a utilizzare la configurazione centrale eliminando l'aggregatore di ricerca corrente e creandone uno nuovo nella regione di residenza desiderata. Un aggregatore di risultati è una risorsa CSPM di Security Hub che specifica la regione di origine e le regioni collegate.
Per designare una regione di origine, consulta i [passaggi per impostare una regione di aggregazione](finding-aggregation-enable.md). Se disponi già di una regione di residenza, puoi richiamare l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindingAggregator.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindingAggregator.html)API per visualizzarne i dettagli, incluse le regioni attualmente collegate.
## Istruzioni per abilitare la configurazione centrale
Scegliete il metodo preferito e seguite i passaggi per abilitare la configurazione centralizzata per la vostra organizzazione.
------
#### [ Security Hub CSPM console ]
**Per abilitare la configurazione centrale (console)**
1. Aprire la console CSPM AWS di Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. **Nel pannello di navigazione, scegli **Impostazioni e configurazione**.** Quindi, scegli **Avvia configurazione centrale**.
Se stai effettuando l'onboarding su Security Hub CSPM, scegli Vai a **Security Hub** CSPM.
1. Nella pagina **Designare un amministratore delegato, seleziona il tuo account di amministratore** delegato o inserisci l'ID dell'account. Se applicabile, ti consigliamo di scegliere lo stesso amministratore delegato che hai impostato per altri servizi di AWS sicurezza e conformità. Scegli **Imposta amministratore delegato.**
1. Nella pagina **Centralizza l'organizzazione**, nella sezione **Regioni**, seleziona la tua regione d'origine. Devi aver effettuato l'accesso alla regione d'origine per procedere. Se hai già impostato una regione di aggregazione per l'aggregazione tra regioni, viene visualizzata come regione principale. Per modificare la regione d'origine, scegli **Modifica** impostazioni della regione. Puoi quindi selezionare la tua regione d'origine preferita e tornare a questo flusso di lavoro.
1. Seleziona almeno una regione da collegare alla regione d'origine. Facoltativamente, scegli se collegare automaticamente le future regioni supportate alla regione d'origine. Le regioni selezionate qui saranno configurabili dalla regione d'origine dall'amministratore delegato. Le politiche di configurazione hanno effetto nella regione di origine e in tutte le regioni collegate.
1. Scegli **Conferma e continua**.
1. Ora puoi usare la configurazione centrale. Continua a seguire le istruzioni della console per creare la tua prima politica di configurazione. Se non sei ancora pronto per creare una politica di configurazione, scegli **Non sono ancora pronto per la configurazione**. Puoi creare una politica in un secondo momento scegliendo **Impostazioni** e **configurazione** nel riquadro di navigazione. Per istruzioni sulla creazione di una politica di configurazione, consulta[Creazione e associazione di policy di configurazione](create-associate-policy.md).
------
#### [ Security Hub CSPM API ]
**Per abilitare la configurazione centrale (API)**
1. Utilizzando le credenziali dell'account amministratore delegato, richiama l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html)API dalla regione di origine.
1. Imposta il campo su. `AutoEnable` `false`
1. Imposta il `ConfigurationType` campo nell'`OrganizationConfiguration`oggetto su`CENTRAL`. Questa azione ha il seguente impatto:
+ Designa l'account chiamante come amministratore delegato CSPM di Security Hub in tutte le regioni collegate.
+ Abilita Security Hub CSPM nell'account amministratore delegato in tutte le regioni collegate.
+ Designa l'account chiamante come amministratore delegato CSPM di Security Hub per gli account nuovi ed esistenti che utilizzano Security Hub CSPM e appartengono all'organizzazione. Ciò si verifica nella regione d'origine e in tutte le regioni collegate. L'account chiamante viene impostato come amministratore delegato per i nuovi account dell'organizzazione solo se sono associati a una politica di configurazione con Security Hub CSPM abilitato. L'account chiamante viene impostato come amministratore delegato per gli account dell'organizzazione esistenti solo se hanno già abilitato Security Hub CSPM.
+ Viene [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html#securityhub-UpdateOrganizationConfiguration-request-AutoEnable](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html#securityhub-UpdateOrganizationConfiguration-request-AutoEnable)impostato su `false` in tutte le regioni collegate e viene impostato [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html#securityhub-UpdateOrganizationConfiguration-request-AutoEnableStandards](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html#securityhub-UpdateOrganizationConfiguration-request-AutoEnableStandards)su `NONE` nella regione di origine e in tutte le regioni collegate. Questi parametri non sono rilevanti nella home page e nelle aree collegate quando si utilizza la configurazione centrale, ma è possibile abilitare automaticamente Security Hub CSPM e gli standard di sicurezza predefiniti negli account dell'organizzazione tramite l'uso di policy di configurazione.
1. È ora possibile utilizzare la configurazione centrale. L'amministratore delegato può creare policy di configurazione per configurare Security Hub CSPM nell'organizzazione. Per istruzioni sulla creazione di una politica di configurazione, vedere. [Creazione e associazione di policy di configurazione](create-associate-policy.md)
**Esempio di richiesta API:**
```
{
"AutoEnable": false,
"OrganizationConfiguration": {
"ConfigurationType": "CENTRAL"
}
}
```
------
#### [ AWS CLI ]
**Per abilitare la configurazione centrale (AWS CLI)**
1. Utilizzando le credenziali dell'account amministratore delegato, esegui il [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html)comando dalla regione di origine.
1. Includere il parametro `no-auto-enable`.
1. Imposta il `ConfigurationType` campo nell'`organization-configuration`oggetto su. `CENTRAL` Questa azione ha il seguente impatto:
+ Designa l'account chiamante come amministratore delegato CSPM di Security Hub in tutte le regioni collegate.
+ Abilita Security Hub CSPM nell'account amministratore delegato in tutte le regioni collegate.
+ Designa l'account chiamante come amministratore delegato CSPM di Security Hub per gli account nuovi ed esistenti che utilizzano Security Hub CSPM e appartengono all'organizzazione. Ciò si verifica nella regione d'origine e in tutte le regioni collegate. L'account chiamante viene impostato come amministratore delegato per i nuovi account dell'organizzazione solo se sono associati a una politica di configurazione con Security Hub abilitato. L'account chiamante viene impostato come amministratore delegato per gli account dell'organizzazione esistenti solo se hanno già abilitato Security Hub CSPM.
+ Imposta l'opzione di attivazione automatica su tutte le regioni collegate e imposta su [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html#options](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html#options)nella regione [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html#options](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html#options)di origine e `NONE` in tutte le regioni collegate. Questi parametri non sono rilevanti nella home page e nelle aree collegate quando si utilizza la configurazione centrale, ma è possibile abilitare automaticamente Security Hub CSPM e gli standard di sicurezza predefiniti negli account dell'organizzazione tramite l'uso di policy di configurazione.
1. È ora possibile utilizzare la configurazione centrale. L'amministratore delegato può creare policy di configurazione per configurare Security Hub CSPM nell'organizzazione. Per istruzioni sulla creazione di una politica di configurazione, vedere. [Creazione e associazione di policy di configurazione](create-associate-policy.md)
**Comando di esempio:**
```
aws securityhub --region us-east-1 update-organization-configuration \
--no-auto-enable \
--organization-configuration '{"ConfigurationType": "CENTRAL"}'
```
------
# Obiettivi gestiti centralmente e obiettivi autogestiti
*Quando si abilita la configurazione centrale, l'amministratore delegato di AWS Security Hub CSPM può designare ogni account dell'organizzazione, unità organizzativa (OU) e root come gestiti *centralmente* o autogestiti.* Il tipo di gestione di una destinazione determina come specificare le impostazioni CSPM del Security Hub.
Per informazioni di base sui vantaggi della configurazione centralizzata e su come funziona, consulta. [Comprendere la configurazione centrale in Security Hub CSPM](central-configuration-intro.md)
Questa sezione spiega le differenze tra una designazione gestita centralmente e una autogestita e come scegliere il tipo di gestione di un account, di un'unità organizzativa o della directory principale.
**Autogestito**
Il proprietario di un account, unità organizzativa o root autogestito deve configurarne le impostazioni separatamente in ciascuno di essi. Regione AWS L'amministratore delegato non può creare politiche di configurazione per obiettivi autogestiti.
**Gestito centralmente**
Solo l'amministratore delegato di Security Hub CSPM può configurare le impostazioni per gli account gestiti centralmente o la directory principale nella regione di origine e nelle regioni collegate. OUs Le politiche di configurazione possono essere associate ad account gestiti centralmente e. OUs
L'amministratore delegato può cambiare lo stato di una destinazione tra gestione automatica e gestione centralizzata. Per impostazione predefinita, tutti gli account e l'unità organizzativa vengono gestiti automaticamente quando si avvia la configurazione centrale tramite l'API CSPM Security Hub. Nella console, il tipo di gestione dipende dalla prima politica di configurazione. Gli account e OUs quelli associati alla prima policy vengono gestiti centralmente. Gli altri account OUs sono gestiti automaticamente per impostazione predefinita.
Se si associa una politica di configurazione a un account precedentemente gestito in modo autonomo, le impostazioni dei criteri hanno la precedenza sulla designazione autogestita. L'account viene gestito centralmente e adotta le impostazioni riportate nella politica di configurazione.
Se si modifica un account gestito centralmente in un account autogestito, le impostazioni precedentemente applicate all'account tramite una politica di configurazione rimangono invariate. Ad esempio, un account gestito centralmente potrebbe inizialmente essere associato a una policy che abilitava Security Hub CSPM, abilitava AWS Foundational Security Best Practices e disabilitava .1. CloudTrail Se poi si designa l'account come autogestito, tutte le impostazioni rimangono invariate. Tuttavia, il proprietario dell'account può modificare autonomamente le impostazioni dell'account in futuro.
Gli account figlio OUs possono ereditare il comportamento autogestito da un genitore autogestito, allo stesso modo in cui gli account figlio OUs possono ereditare le politiche di configurazione da un genitore gestito centralmente. Per ulteriori informazioni, consulta [Associazione delle politiche tramite applicazione ed ereditarietà](configuration-policies-overview.md#policy-association).
Un account o un'unità organizzativa autogestiti non possono ereditare una politica di configurazione da un nodo principale o dalla radice. Ad esempio, se si desidera che tutti gli account e l'organizzazione OUs ereditino una politica di configurazione dalla radice, è necessario modificare il tipo di gestione dei nodi autogestiti in gestione centralizzata.
## Opzioni per configurare le impostazioni negli account autogestiti
Gli account autogestiti devono configurare le proprie impostazioni separatamente in ciascuna regione.
I proprietari di account autogestiti possono richiamare le seguenti operazioni dell'API CSPM Security Hub in ciascuna regione per configurare le proprie impostazioni:
+ `EnableSecurityHub`e `DisableSecurityHub` per abilitare o disabilitare il servizio CSPM di Security Hub (se un account autogestito ha un amministratore CSPM di Security Hub delegato, l'amministratore [deve dissociare](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisassociateMembers.html) l'account prima che il proprietario dell'account possa disabilitare Security Hub CSPM).
+ `BatchEnableStandards`e `BatchDisableStandards` per abilitare o disabilitare gli standard
+ `BatchUpdateStandardsControlAssociations`o `UpdateStandardsControl` per abilitare o disabilitare i controlli
Gli account autogestiti possono inoltre essere utilizzati `*Invitations` e utilizzati`*Members`. Tuttavia, consigliamo che gli account autogestiti non utilizzino queste operazioni. Le associazioni di policy possono fallire se un account membro ha i propri membri che fanno parte di un'organizzazione diversa da quella dell'amministratore delegato.
Per le descrizioni delle azioni dell'API CSPM di Security Hub, vedere il riferimento all'API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/Welcome.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/Welcome.html).
Gli account autogestiti possono anche utilizzare la console Security Hub CSPM o AWS CLI configurarne le impostazioni in ciascuna regione.
Gli account autogestiti non possono richiamare i criteri di configurazione CSPM e le associazioni di policy APIs relativi ai criteri di configurazione CSPM di Security Hub. Solo l'amministratore delegato può richiamare la configurazione centrale APIs e utilizzare le politiche di configurazione per configurare account gestiti centralmente.
## Scelta del tipo di gestione di una destinazione
Scegli il tuo metodo preferito e segui i passaggi per designare un account o un'unità organizzativa come gestito centralmente o autogestito in AWS Security Hub CSPM.
------
#### [ Security Hub CSPM console ]
**Per scegliere il tipo di gestione di un account o di un'unità organizzativa**
1. Aprire la console CSPM AWS di Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
Accedi utilizzando le credenziali dell'account amministratore CSPM di Security Hub delegato nella regione di residenza.
1. Scegliere **Configuration (Configurazione)**.
1. Nella scheda **Organizzazione**, seleziona l'account o l'unità organizzativa di destinazione. Scegli **Modifica**.
1. Nella pagina **Definisci configurazione**, per **Tipo di gestione**, scegli **Gestito centralmente** se desideri che l'amministratore delegato configuri l'account o l'unità organizzativa di destinazione. Quindi, scegli **Applica una politica specifica** se desideri associare una politica di configurazione esistente alla destinazione. Scegli **Inherit from my organization** se desideri che il target erediti la configurazione del genitore più vicino. Scegli **Autogestito** se desideri che l'account o l'unità organizzativa configurino le proprie impostazioni.
1. Scegli **Next (Successivo)**. Controlla le modifiche e scegli **Salva**.
------
#### [ Security Hub CSPM API ]
**Per scegliere il tipo di gestione di un account o di un'unità organizzativa**
1. Richiama l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html)API dall'account amministratore delegato CSPM di Security Hub nella regione di origine.
1. Per il `ConfigurationPolicyIdentifier` campo, specifica `SELF_MANAGED_SECURITY_HUB` se desideri che l'account o l'unità organizzativa controllino le proprie impostazioni. Fornisci l'Amazon Resource Name (ARN) o l'ID della politica di configurazione pertinente se desideri che l'amministratore delegato controlli le impostazioni dell'account o dell'unità organizzativa.
1. Per il `Target` campo, fornisci l' Account AWS ID, l'ID OU o l'ID root della destinazione di cui desideri modificare il tipo di gestione. Ciò associa il comportamento autogestito o la politica di configurazione specificata alla destinazione. Gli account secondari della destinazione possono ereditare il comportamento autogestito o la politica di configurazione.
**Esempio di richiesta API per designare un account autogestito:**
```
{
"ConfigurationPolicyIdentifier": "SELF_MANAGED_SECURITY_HUB",
"Target": {"AccountId": "123456789012"}
}
```
------
#### [ AWS CLI ]
**Per scegliere il tipo di gestione di un account o di un'unità organizzativa**
1. Esegui il [https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html)comando dall'account amministratore delegato CSPM di Security Hub nella regione di origine.
1. Per `configuration-policy-identifier` campo, specifica `SELF_MANAGED_SECURITY_HUB` se desideri che l'account o l'unità organizzativa controllino le proprie impostazioni. Fornisci l'Amazon Resource Name (ARN) o l'ID della politica di configurazione pertinente se desideri che l'amministratore delegato controlli le impostazioni dell'account o dell'unità organizzativa.
1. Per il `target` campo, fornisci l' Account AWS ID, l'ID OU o l'ID root della destinazione di cui desideri modificare il tipo di gestione. Ciò associa il comportamento autogestito o la politica di configurazione specificata alla destinazione. Gli account secondari della destinazione possono ereditare il comportamento autogestito o la politica di configurazione.
**Esempio di comando per designare un account autogestito:**
```
aws securityhub --region us-east-1 start-configuration-policy-association \
--configuration-policy-identifier "SELF_MANAGED_SECURITY_HUB" \
--target '{"AccountId": "123456789012"}'
```
------
# Come funzionano le politiche di configurazione in Security Hub CSPM
L'amministratore delegato AWS di Security Hub CSPM può creare policy di configurazione per configurare Security Hub CSPM, standard di sicurezza e controlli di sicurezza per un'organizzazione. Dopo aver creato una politica di configurazione, l'amministratore delegato può associarla a account, unità organizzative () OUs o root specifici. La politica ha quindi effetto negli account specificati o nella cartella principale. OUs
Per informazioni di base sui vantaggi della configurazione centralizzata e su come funziona, consulta[Comprendere la configurazione centrale in Security Hub CSPM](central-configuration-intro.md).
Questa sezione fornisce una panoramica dettagliata delle politiche di configurazione.
## Considerazioni sulle politiche
Prima di creare una politica di configurazione in Security Hub CSPM, considera i seguenti dettagli.
+ **Le politiche di configurazione devono essere associate per avere effetto**: dopo aver creato una politica di configurazione, è possibile associarla a uno o più account, unità organizzative (OUs) o root. Una politica di configurazione può essere associata agli account o OUs tramite applicazione diretta o tramite ereditarietà da un'unità organizzativa principale.
+ **Un account o un'unità organizzativa possono essere associati a una sola politica di configurazione**: per evitare conflitti di impostazioni, un account o un'unità organizzativa può essere associato a una sola politica di configurazione alla volta. In alternativa, un account o un'unità organizzativa possono essere gestiti automaticamente.
+ **I criteri di configurazione sono completi**: i criteri di configurazione forniscono una specifica completa delle impostazioni. Ad esempio, un account figlio non può accettare impostazioni per alcuni controlli da un criterio e impostazioni per altri controlli da un altro criterio. Quando associ una politica a un account per bambini, assicurati che la politica specifichi tutte le impostazioni che desideri che l'account per bambini utilizzi.
+ I **criteri di configurazione non possono essere ripristinati**: non è possibile ripristinare un criterio di configurazione dopo averlo associato agli account o. OUs Ad esempio, se si associa una politica di configurazione che disabilita CloudWatch i controlli a un account specifico e poi si dissocia tale politica, i CloudWatch controlli continuano a essere disabilitati in quell'account. Per abilitare nuovamente CloudWatch i controlli, puoi associare l'account a una nuova politica che abilita i controlli. In alternativa, puoi modificare l'account rendendolo autogestito e abilitare ogni CloudWatch controllo nell'account.
+ I **criteri di configurazione hanno effetto nella regione di origine e in tutte le regioni collegate**: i criteri di configurazione hanno effetto su tutti gli account associati nella regione di origine e in tutte le regioni collegate. Non è possibile creare una politica di configurazione che abbia effetto solo in alcune di queste regioni e non in altre. L'eccezione è rappresentata [dai controlli che utilizzano risorse globali](controls-to-disable.md#controls-to-disable-global-resources). Security Hub CSPM disattiva automaticamente i controlli che coinvolgono risorse globali in tutte le regioni tranne la regione di origine.
Le regioni AWS introdotte a partire dal 20 marzo 2019 sono note come regioni opt-in. È necessario abilitare tale regione per un account prima che una politica di configurazione abbia effetto su tale account. L'account di gestione Organizations può abilitare le regioni opzionali per un account membro. Per istruzioni sull'attivazione delle regioni che richiedono l'iscrizione, consulta [Specificare quali possono essere utilizzate dal Regioni AWS tuo account nella Guida](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#rande-manage-enable) di *riferimento per la gestione degli AWS account*.
Se la tua politica configura un controllo che non è disponibile nella regione di origine o in una o più aree collegate, Security Hub CSPM salta la configurazione del controllo nelle regioni non disponibili ma applica la configurazione nelle regioni in cui il controllo è disponibile. Ti manca la copertura necessaria per un controllo che non è disponibile nella regione d'origine o in nessuna delle aree collegate.
+ **Le policy di configurazione sono risorse**: come risorsa, una policy di configurazione ha un Amazon Resource Name (ARN) e un identificatore univoco universale (UUID). L'ARN utilizza il seguente formato:. `arn:partition:securityhub:region:delegated administrator account ID:configuration-policy/configuration policy UUID` Una configurazione autogestita non ha ARN o UUID. L'identificatore per una configurazione autogestita è. `SELF_MANAGED_SECURITY_HUB`
## Tipi di politiche di configurazione
Ogni politica di configurazione specifica le seguenti impostazioni:
+ Abilita o disabilita Security Hub CSPM.
+ Abilita uno o più standard di [sicurezza](standards-reference.md).
+ Indica quali [controlli di sicurezza](securityhub-controls-reference.md) sono abilitati negli standard abilitati. È possibile farlo fornendo un elenco di controlli specifici che devono essere abilitati e Security Hub CSPM disabilita tutti gli altri controlli, inclusi i nuovi controlli quando vengono rilasciati. In alternativa, puoi fornire un elenco di controlli specifici che devono essere disabilitati e Security Hub CSPM abilita tutti gli altri controlli, inclusi i nuovi controlli quando vengono rilasciati.
+ Facoltativamente, [personalizza i parametri](https://docs.aws.amazon.com/securityhub/latest/userguide/custom-control-parameters.html) per selezionare i controlli abilitati tra gli standard abilitati.
Le politiche di configurazione centralizzate non includono le impostazioni del AWS Config registratore. È necessario abilitare AWS Config e attivare separatamente la registrazione per le risorse richieste affinché Security Hub CSPM generi i risultati del controllo. Per ulteriori informazioni, consulta [Considerazioni prima dell'attivazione e della configurazione AWS Config](securityhub-setup-prereqs.md#securityhub-prereq-config).
Se si utilizza la configurazione centrale, Security Hub CSPM disattiva automaticamente i controlli che coinvolgono risorse globali in tutte le regioni tranne la regione di origine. Gli altri controlli che scegli di abilitare tramite una politica di configurazione sono abilitati in tutte le regioni in cui sono disponibili. Per limitare i risultati di questi controlli a una sola regione, puoi aggiornare le impostazioni del AWS Config registratore e disattivare la registrazione globale delle risorse in tutte le regioni tranne la regione d'origine.
Se un controllo abilitato che coinvolge risorse globali non è supportato nella regione di origine, Security Hub CSPM tenta di abilitare il controllo in una regione collegata in cui il controllo è supportato. Con la configurazione centralizzata, ti manca la copertura per un controllo che non è disponibile nella regione d'origine o in nessuna delle regioni collegate.
Per un elenco dei controlli che coinvolgono risorse globali, consulta[Controlli che utilizzano risorse globali](controls-to-disable.md#controls-to-disable-global-resources).
### Politica di configurazione consigliata
Quando si crea una politica di configurazione per la *prima volta nella console CSPM di Security Hub*, è possibile scegliere la politica consigliata da Security Hub CSPM.
La policy consigliata abilita Security Hub CSPM, lo standard AWS Foundational Security Best Practices (FSBP) e tutti i controlli FSBP esistenti e nuovi. I controlli che accettano i parametri utilizzano i valori predefiniti. La politica consigliata si applica a root (tutti gli account OUs, sia nuovi che esistenti). Dopo aver creato la politica consigliata per l'organizzazione, è possibile modificarla dall'account amministratore delegato. Ad esempio, puoi abilitare standard o controlli aggiuntivi o disabilitare controlli FSBP specifici. Per istruzioni sulla modifica di una politica di configurazione, consulta. [Aggiornamento delle politiche di configurazione](update-policy.md)
### Politica di configurazione personalizzata
Invece della politica consigliata, l'amministratore delegato può creare fino a 20 politiche di configurazione personalizzate. È possibile associare una singola politica personalizzata all'intera organizzazione o diverse politiche personalizzate a diversi account e OUs. Per una politica di configurazione personalizzata, è necessario specificare le impostazioni desiderate. Ad esempio, puoi creare una policy personalizzata che abiliti FSBP, il Center for Internet Security (CIS) AWS Foundations Benchmark v1.4.0 e tutti i controlli di tali standard tranne i controlli Amazon Redshift. Il livello di granularità utilizzato nelle politiche di configurazione personalizzate dipende dall'ambito di copertura di sicurezza previsto in tutta l'organizzazione.
**Nota**
Non è possibile associare una politica di configurazione che disabiliti Security Hub CSPM all'account amministratore delegato. Tale politica può essere associata ad altri account ma ignora l'associazione con l'amministratore delegato. L'account amministratore delegato mantiene la configurazione corrente.
Dopo aver creato una politica di configurazione personalizzata, è possibile passare alla politica di configurazione consigliata aggiornando la politica di configurazione in modo che rifletta la configurazione consigliata. Tuttavia, non è possibile scegliere di creare la politica di configurazione consigliata nella console CSPM di Security Hub dopo la creazione della prima politica.
## Associazione delle politiche tramite applicazione ed ereditarietà
Quando si attiva per la prima volta la configurazione centrale, l'organizzazione non ha associazioni e si comporta nello stesso modo in cui si comportava prima dell'opt-in. L'amministratore delegato può quindi stabilire associazioni tra una politica di configurazione o un comportamento e account autogestiti o la radice OUs. *Le associazioni possono essere stabilite tramite *applicazione o ereditarietà*.*
Dall'account amministratore delegato, è possibile applicare direttamente una politica di configurazione a un account, a un'unità organizzativa o alla radice. In alternativa, l'amministratore delegato può applicare direttamente una designazione autogestita a un account, a un'unità organizzativa o alla directory principale.
In assenza di un'applicazione diretta, un account o un'unità organizzativa eredita le impostazioni del genitore più vicino che ha una politica di configurazione o un comportamento autogestito. Se il genitore più vicino è associato a una politica di configurazione, il figlio eredita tale politica ed è configurabile solo dall'amministratore delegato della regione di origine. Se il genitore più prossimo è autogestito, il figlio eredita il comportamento autogestito e ha la possibilità di specificare le proprie impostazioni in ciascuno di essi. Regione AWS
L'applicazione ha la precedenza sull'ereditarietà. In altre parole, l'ereditarietà non sostituisce una politica di configurazione o una designazione autogestita che l'amministratore delegato ha applicato direttamente a un account o a un'unità organizzativa.
Se si applica direttamente un criterio di configurazione a un account autogestito, il criterio ha la precedenza sulla designazione autogestita. L'account viene gestito centralmente e adotta le impostazioni riportate nella politica di configurazione.
Si consiglia di applicare direttamente una politica di configurazione alla radice. Se applichi una policy alla root, i nuovi account che entrano a far parte dell'organizzazione erediteranno automaticamente la policy principale, a meno che non li associ a una politica diversa o non li definiate come autogestiti.
È possibile associare una sola politica di configurazione a un account o a un'unità organizzativa alla volta, tramite applicazione o ereditarietà. Questo è progettato per evitare conflitti di impostazioni.
Il diagramma seguente illustra come funzionano l'applicazione delle politiche e l'ereditarietà nella configurazione centrale.
![\[Applicazione ed eredità delle politiche di configurazione CSPM di Security Hub\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/sechub-diagram-central-configuration-association.png)
In questo esempio, a un nodo evidenziato in verde è stata applicata una politica di configurazione. A un nodo evidenziato in blu non è stata applicata alcuna politica di configurazione. Un nodo evidenziato in giallo è stato designato come autogestito. Ogni account e unità organizzativa utilizza la seguente configurazione:
+ **OU:Root (verde)**: questa unità organizzativa utilizza la politica di configurazione che le è stata applicata.
+ **ou:Prod (blu)** — Questa unità organizzativa eredita la politica di configurazione da OU:Root.
+ **ou:Applications (verde)** — Questa unità organizzativa utilizza la politica di configurazione che le è stata applicata.
+ **Account 1 (verde)**: questo account utilizza la politica di configurazione che gli è stata applicata.
+ **Account 2 (blu)**: questo account eredita la politica di configurazione da OU:Applications.
+ **ou:Dev (giallo)** — Questa unità organizzativa è gestita automaticamente.
+ **Account 3 (verde)**: questo account utilizza la politica di configurazione che gli è stata applicata.
+ **Account 4 (blu)**: questo account eredita il comportamento autogestito da OU:Dev.
+ **ou:Test (Blue)** — Questo account eredita la politica di configurazione da ou:Root.
+ **Account 5 (blu)**: questo account eredita la politica di configurazione da OU:Root poiché il suo genitore immediato, ou:Test, non è associato a una politica di configurazione.
## Test di una politica di configurazione
Per assicurarti di comprendere come funzionano le politiche di configurazione, ti consigliamo di creare una policy e di associarla a un account di prova o a un'unità organizzativa.
**Per testare una politica di configurazione**
1. Crea una politica di configurazione personalizzata e verifica che le impostazioni specificate per l'abilitazione, gli standard e i controlli di Security Hub CSPM siano corretti. Per istruzioni, consulta [Creazione e associazione di policy di configurazione](create-associate-policy.md).
1. Applica la politica di configurazione a un account di prova o a un'unità organizzativa che non dispone di account secondari o. OUs
1. Verifica che l'account di test o l'unità organizzativa utilizzi la politica di configurazione nel modo previsto nella tua regione di origine e in tutte le regioni collegate. Puoi anche verificare che tutti gli altri account e OUs membri della tua organizzazione rimangano autogestiti e puoi modificare le proprie impostazioni in ogni regione.
Dopo aver testato una politica di configurazione in un singolo account o unità organizzativa, puoi associarla ad altri account e OUs.
# Creazione e associazione di policy di configurazione
L'account amministratore delegato AWS di Security Hub CSPM può creare policy di configurazione che specificano come il CSPM, gli standard e i controlli di Security Hub sono configurati in account e unità organizzative specifici (). OUs Una politica di configurazione ha effetto solo dopo che l'amministratore delegato la associa ad almeno un account o unità organizzativa () o alla radice. OUs L'amministratore delegato può anche associare una configurazione autogestita agli account o alla directory principale OUs.
Se è la prima volta che crei una politica di configurazione, ti consigliamo di esaminarla prima. [Come funzionano le politiche di configurazione in Security Hub CSPM](configuration-policies-overview.md)
Scegliete il metodo di accesso preferito e seguite i passaggi per creare e associare una policy di configurazione o una configurazione autogestita. Quando si utilizza la console Security Hub CSPM, è possibile associare una configurazione a più account o OUs contemporaneamente. Quando si utilizza l'API CSPM di Security Hub AWS CLI, è possibile associare una configurazione a un solo account o unità organizzativa in ogni richiesta.
**Nota**
Se si utilizza la configurazione centrale, Security Hub CSPM disattiva automaticamente i controlli che coinvolgono risorse globali in tutte le regioni tranne la regione di origine. Gli altri controlli che scegli di abilitare tramite una politica di configurazione sono abilitati in tutte le regioni in cui sono disponibili. Per limitare i risultati di questi controlli a una sola regione, puoi aggiornare le impostazioni del AWS Config registratore e disattivare la registrazione globale delle risorse in tutte le regioni tranne la regione d'origine.
Se un controllo abilitato che coinvolge risorse globali non è supportato nella regione di origine, Security Hub CSPM tenta di abilitare il controllo in una regione collegata in cui il controllo è supportato. Con la configurazione centralizzata, ti manca la copertura per un controllo che non è disponibile nella regione d'origine o in nessuna delle regioni collegate.
Per un elenco dei controlli che coinvolgono risorse globali, consulta[Controlli che utilizzano risorse globali](controls-to-disable.md#controls-to-disable-global-resources).
------
#### [ Security Hub CSPM console ]
**Per creare e associare politiche di configurazione**
1. Aprire la console CSPM AWS di Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
Accedi utilizzando le credenziali dell'account amministratore CSPM di Security Hub delegato nella regione di residenza.
1. **Nel riquadro di navigazione, scegli **Configurazione** e la scheda Politiche.** Quindi, scegli **Crea politica**.
1. Nella pagina **Configura organizzazione**, se è la prima volta che crei una politica di configurazione, vedi tre opzioni in **Tipo di configurazione**. Se hai già creato almeno una politica di configurazione, vedi solo l'opzione **Politica personalizzata**.
+ Scegli **Usa la configurazione CSPM AWS consigliata di Security Hub in tutta la mia organizzazione** per utilizzare la nostra politica consigliata. La politica consigliata abilita Security Hub CSPM in tutti gli account dell'organizzazione, abilita lo standard AWS Foundational Security Best Practices (FSBP) e abilita tutti i controlli FSBP nuovi ed esistenti. I controlli utilizzano i valori dei parametri predefiniti.
+ Scegli **Non sono ancora pronto a configurare per** creare una politica di configurazione in un secondo momento.
+ Scegli **Politica personalizzata** per creare una politica di configurazione personalizzata. Specificare se abilitare o disabilitare Security Hub CSPM, quali standard abilitare e quali controlli abilitare in base a tali standard. Facoltativamente, specifica [i valori dei parametri personalizzati](custom-control-parameters.md) per uno o più controlli abilitati che supportano i parametri personalizzati.
1. Nella sezione **Account**, scegli a quali account di destinazione o la directory principale a cui desideri applicare la politica di configurazione. OUs
+ Scegli **Tutti gli account** se desideri applicare la politica di configurazione alla radice. Ciò include tutti gli account e l'organizzazione OUs a cui non è stata applicata o ereditata un'altra politica.
+ Scegli **Account specifici** se desideri applicare la politica di configurazione a account specifici o OUs. Inserisci l'account IDs o seleziona gli account OUs dalla struttura dell'organizzazione. È possibile applicare la politica a un massimo di 15 destinazioni (account o root) al momento della creazione. OUs Per specificare un numero maggiore, modifica la policy dopo la creazione e applicala a obiettivi aggiuntivi.
+ Scegli **Solo l'amministratore delegato** per applicare la politica di configurazione all'account amministratore delegato corrente.
1. Scegli **Next (Successivo)**.
1. Nella pagina **Rivedi e applica**, esamina i dettagli della politica di configurazione. Quindi, scegli **Crea politica e applica**. Nella tua regione d'origine e nelle aree collegate, questa azione sostituisce le impostazioni di configurazione esistenti degli account associati a questa politica di configurazione. Gli account possono essere associati alla politica di configurazione tramite l'applicazione o l'ereditarietà da un nodo principale. Gli account secondari e le destinazioni applicate erediteranno automaticamente questa politica OUs di configurazione a meno che non vengano specificamente esclusi, gestiti automaticamente o utilizzino una politica di configurazione diversa.
------
#### [ Security Hub CSPM API ]
**Per creare e associare politiche di configurazione**
1. Richiama l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateConfigurationPolicy.html)API dall'account amministratore delegato CSPM di Security Hub nella regione di origine.
1. Per`Name`, fornisci un nome univoco per la politica di configurazione. Facoltativamente`Description`, fornisci una descrizione della politica di configurazione.
1. Per il `ServiceEnabled` campo, specificare se si desidera che Security Hub CSPM sia abilitato o disabilitato in questa politica di configurazione.
1. Per il `EnabledStandardIdentifiers` campo, specificare gli standard CSPM di Security Hub che si desidera abilitare in questa politica di configurazione.
1. Per l'`SecurityControlsConfiguration`oggetto, specifica quali controlli vuoi abilitare o disabilitare in questa politica di configurazione. La scelta `EnabledSecurityControlIdentifiers` significa che i controlli specificati sono abilitati. Gli altri controlli che fanno parte degli standard abilitati (inclusi i controlli appena rilasciati) sono disabilitati. La scelta `DisabledSecurityControlIdentifiers` significa che i controlli specificati sono disabilitati. Gli altri controlli che fanno parte degli standard abilitati (inclusi i controlli appena rilasciati) sono abilitati.
1. Facoltativamente, per il `SecurityControlCustomParameters` campo, specificate i controlli abilitati per i quali desiderate personalizzare i parametri. `CUSTOM`Specificate il `ValueType` campo e il valore del parametro personalizzato per il `Value` campo. Il valore deve essere il tipo di dati corretto e rientrare negli intervalli validi specificati da Security Hub CSPM. Solo i controlli selezionati supportano valori di parametri personalizzati. Per ulteriori informazioni, consulta [Comprensione dei parametri di controllo in Security Hub CSPM](custom-control-parameters.md).
1. Per applicare la politica di configurazione agli account oppure OUs, richiama l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html)API dall'account amministratore delegato CSPM di Security Hub nella regione di origine.
1. Per il `ConfigurationPolicyIdentifier` campo, fornisci l'Amazon Resource Name (ARN) o l'identificatore univoco universale (UUID) della politica. L'ARN e l'UUID vengono restituiti dall'API. `CreateConfigurationPolicy` Per una configurazione autogestita, il `ConfigurationPolicyIdentifier` campo è uguale a. `SELF_MANAGED_SECURITY_HUB`
1. Per il `Target` campo, fornisci l'unità organizzativa, l'account o l'ID root a cui desideri applicare questa politica di configurazione. È possibile fornire un solo obiettivo in ogni richiesta API. Gli account secondari e OUs della destinazione selezionata erediteranno automaticamente questa politica di configurazione a meno che non vengano gestiti autonomamente o utilizzino una politica di configurazione diversa.
**Esempio di richiesta API per creare una politica di configurazione:**
```
{
"Name": "SampleConfigurationPolicy",
"Description": "Configuration policy for production accounts",
"ConfigurationPolicy": {
"SecurityHub": {
"ServiceEnabled": true,
"EnabledStandardIdentifiers": [
"arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0",
"arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"
],
"SecurityControlsConfiguration": {
"DisabledSecurityControlIdentifiers": [
"CloudTrail.2"
],
"SecurityControlCustomParameters": [
{
"SecurityControlId": "ACM.1",
"Parameters": {
"daysToExpiration": {
"ValueType": "CUSTOM",
"Value": {
"Integer": 15
}
}
}
}
]
}
}
}
}
```
**Esempio di richiesta API per associare una politica di configurazione:**
```
{
"ConfigurationPolicyIdentifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"Target": {"OrganizationalUnitId": "ou-examplerootid111-exampleouid111"}
}
```
------
#### [ AWS CLI ]
**Per creare e associare politiche di configurazione**
1. Esegui il [https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-configuration-policy.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-configuration-policy.html)comando dall'account amministratore delegato CSPM di Security Hub nella regione di origine.
1. Per`name`, fornisci un nome univoco per la politica di configurazione. Facoltativamente`description`, fornisci una descrizione della politica di configurazione.
1. Per il `ServiceEnabled` campo, specificare se si desidera che Security Hub CSPM sia abilitato o disabilitato in questa politica di configurazione.
1. Per il `EnabledStandardIdentifiers` campo, specificare gli standard CSPM di Security Hub che si desidera abilitare in questa politica di configurazione.
1. Per il `SecurityControlsConfiguration` campo, specifica quali controlli vuoi abilitare o disabilitare in questa politica di configurazione. La scelta `EnabledSecurityControlIdentifiers` significa che i controlli specificati sono abilitati. Gli altri controlli che fanno parte degli standard abilitati (inclusi i controlli appena rilasciati) sono disabilitati. La scelta `DisabledSecurityControlIdentifiers` significa che i controlli specificati sono disabilitati. Gli altri controlli che si applicano agli standard abilitati (inclusi i controlli appena rilasciati) sono abilitati.
1. Facoltativamente, per il `SecurityControlCustomParameters` campo, specificate i controlli abilitati per i quali desiderate personalizzare i parametri. `CUSTOM`Specificate il `ValueType` campo e il valore del parametro personalizzato per il `Value` campo. Il valore deve essere il tipo di dati corretto e rientrare negli intervalli validi specificati da Security Hub CSPM. Solo i controlli selezionati supportano valori di parametri personalizzati. Per ulteriori informazioni, consulta [Comprensione dei parametri di controllo in Security Hub CSPM](custom-control-parameters.md).
1. Per applicare la politica di configurazione agli account oppure OUs, esegui il [https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html)comando dall'account amministratore delegato CSPM di Security Hub nella regione di origine.
1. Per il `configuration-policy-identifier` campo, fornisci l'Amazon Resource Name (ARN) o l'ID della policy di configurazione. L'ARN e l'ID vengono restituiti dal `create-configuration-policy` comando.
1. Per il `target` campo, fornisci l'unità organizzativa, l'account o l'ID root a cui desideri applicare questa politica di configurazione. È possibile fornire un solo obiettivo ogni volta che si esegue il comando. I figli della destinazione selezionata erediteranno automaticamente questa politica di configurazione a meno che non si gestiscano autonomamente o utilizzino una politica di configurazione diversa.
**Comando di esempio per creare una politica di configurazione:**
```
aws securityhub --region us-east-1 create-configuration-policy \
--name "SampleConfigurationPolicy" \
--description "Configuration policy for production accounts" \
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}}]}}}'
```
**Comando di esempio per associare una politica di configurazione:**
```
aws securityhub --region us-east-1 start-configuration-policy-association \
--configuration-policy-identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--target '{"OrganizationalUnitId": "ou-examplerootid111-exampleouid111"}'
```
------
L'`StartConfigurationPolicyAssociation`API restituisce un campo chiamato`AssociationStatus`. Questo campo indica se un'associazione di politiche è in sospeso o in uno stato di successo o di fallimento. La modifica dello stato da a `SUCCESS` o `FAILURE` può richiedere fino a 24 ore. `PENDING` Per ulteriori informazioni sullo stato dell'associazione, vedere[Revisione dello stato di associazione di una politica di configurazione](view-policy.md#configuration-association-status).
# Revisione dello stato e dei dettagli delle politiche di configurazione
L'amministratore delegato AWS di Security Hub CSPM può visualizzare le politiche di configurazione per un'organizzazione e i relativi dettagli. Ciò include gli account e le unità organizzative (OUs) a cui è associata una politica.
Per informazioni di base sui vantaggi della configurazione centralizzata e su come funziona, consulta[Comprendere la configurazione centrale in Security Hub CSPM](central-configuration-intro.md).
Scegliete il metodo preferito e seguite i passaggi per visualizzare le vostre politiche di configurazione.
------
#### [ Security Hub CSPM console ]
**Per visualizzare le politiche di configurazione (console)**
1. Aprire la console CSPM AWS di Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
Accedi utilizzando le credenziali dell'account amministratore CSPM di Security Hub delegato nella regione di residenza.
1. ****Nel riquadro di navigazione, scegli Impostazioni e configurazione.****
1. Scegli la scheda **Politiche** per una panoramica delle tue politiche di configurazione.
1. Seleziona una politica di configurazione e scegli **Visualizza dettagli per visualizzare** ulteriori dettagli al riguardo, inclusi gli account a cui OUs è associata.
------
#### [ Security Hub CSPM API ]
Per visualizzare un elenco riepilogativo di tutte le politiche di configurazione, utilizza il [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListConfigurationPolicies.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListConfigurationPolicies.html)funzionamento dell'API CSPM Security Hub. Se usi il AWS CLI, esegui il comando. [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-configuration-policies.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-configuration-policies.html) L'account amministratore delegato di Security Hub CSPM deve richiamare l'operazione nella regione di origine.
```
$ aws securityhub list-configuration-policies \
--max-items 5 \
--starting-token U2FsdGVkX19nUI2zoh+Pou9YyutlYJHWpn9xnG4hqSOhvw3o2JqjI23QDxdf
```
Per visualizzare i dettagli su una politica di configurazione specifica, usa l'operazione. [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetConfigurationPolicy.html) Se usi il AWS CLI, esegui il [https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-configuration-policy.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-configuration-policy.html). L'account amministratore delegato deve richiamare l'operazione nella regione di origine. Fornisci l'Amazon Resource Name (ARN) o l'ID della policy di configurazione di cui desideri visualizzare i dettagli.
```
$ aws securityhub get-configuration-policy \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
```
Per visualizzare un elenco riepilogativo di tutte le politiche di configurazione e le relative associazioni di account, utilizza l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListConfigurationPolicyAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListConfigurationPolicyAssociations.html)operazione. Se usi il AWS CLI, esegui il [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-configuration-policy-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-configuration-policy-associations.html)comando. L'account amministratore delegato deve richiamare l'operazione nella regione di origine. Facoltativamente, è possibile fornire parametri di impaginazione o filtrare i risultati in base a un ID di policy specifico, al tipo di associazione o allo stato dell'associazione.
```
$ aws securityhub list-configuration-policy-associations \
--filters '{"AssociationType": "APPLIED"}'
```
Per visualizzare le associazioni per un account specifico, utilizzare l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetConfigurationPolicyAssociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetConfigurationPolicyAssociation.html)operazione. Se si utilizza il AWS CLI, eseguire il [https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-configuration-policy-association.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-configuration-policy-association.html)comando. L'account amministratore delegato deve richiamare l'operazione nella regione di origine. Per`target`, fornisci il numero di account, l'ID dell'unità organizzativa o l'ID root.
```
$ aws securityhub get-configuration-policy-association \
--target '{"AccountId": "123456789012"}'
```
------
## Revisione dello stato di associazione di una politica di configurazione
Le seguenti operazioni API di configurazione centrale restituiscono un campo chiamato`AssociationStatus`:
+ `BatchGetConfigurationPolicyAssociations`
+ `GetConfigurationPolicyAssociation`
+ `ListConfigurationPolicyAssociations`
+ `StartConfigurationPolicyAssociation`
Questo campo viene restituito sia quando la configurazione sottostante è una politica di configurazione sia quando si tratta di un comportamento autogestito.
Il valore di `AssociationStatus` indica se un'associazione di policy è in sospeso o in stato di successo o di fallimento per un account specifico. La modifica dello stato da a `SUCCESS` o `FAILED` può richiedere fino a 24 ore. `PENDING` Uno stato di `SUCCESS` indica che tutte le impostazioni specificate nella politica di configurazione sono associate all'account. Lo stato di `FAILED` indica che una o più impostazioni specificate nella politica di configurazione non sono state associate all'account. Nonostante `FAILED` lo stato, l'account potrebbe essere parzialmente configurato in base alla politica. Ad esempio, potresti provare ad associare un account a una politica di configurazione che abiliti Security Hub CSPM, abiliti AWS Foundational Security Best Practices e disabiliti .1. CloudTrail Le due impostazioni iniziali potrebbero avere esito positivo, ma l'impostazione .1 potrebbe fallire CloudTrail. In questo esempio, lo stato dell'associazione è valido `FAILED` anche se alcune impostazioni sono state configurate correttamente.
Lo stato di associazione di un'unità organizzativa principale o della radice dipende dallo stato dei relativi figli. Se lo status di associazione di tutti i figli è`SUCCESS`, lo stato dell'associazione del genitore è`SUCCESS`. Se lo status dell'associazione di uno o più figli è`FAILED`, lo stato dell'associazione del genitore è`FAILED`.
Il valore di `AssociationStatus` dipende dallo status di associazione della politica in tutte le regioni pertinenti. Se l'associazione ha successo nella regione d'origine e in tutte le regioni collegate, il valore di `AssociationStatus` è`SUCCESS`. Se l'associazione fallisce in una o più di queste regioni, il valore di `AssociationStatus` è`FAILED`.
Il seguente comportamento influisce anche sul valore di`AssociationStatus`:
+ Se la destinazione è un'unità organizzativa principale o la radice, ha uno stato `AssociationStatus` of `SUCCESS` o `FAILED` solo quando tutti i figli hanno uno `FAILED` stato `SUCCESS` or. Se lo stato di associazione di un account figlio o di un'unità organizzativa cambia (ad esempio, quando viene aggiunta o rimossa una regione collegata) dopo aver associato per la prima volta l'account principale a una configurazione, la modifica non aggiorna lo stato di associazione dell'unità principale a meno che non si richiami nuovamente l'`StartConfigurationPolicyAssociation`API.
+ Se la destinazione è un account, ha un `AssociationStatus` `SUCCESS` o o `FAILED` solo se l'associazione ha un risultato nella regione d'`SUCCESS`origine e `FAILED` in tutte le regioni collegate. Se lo stato dell'associazione di un account di destinazione cambia (ad esempio, quando viene aggiunta o rimossa una regione collegata) dopo averlo associato per la prima volta a una configurazione, lo stato dell'associazione viene aggiornato. Tuttavia, la modifica non aggiorna lo stato dell'associazione del genitore a meno che non si richiami nuovamente l'`StartConfigurationPolicyAssociation`API.
Se aggiungi una nuova regione collegata, Security Hub CSPM replica le associazioni esistenti che si trovano in una `PENDING` o in `FAILED` uno stato della nuova regione. `SUCCESS`
Anche quando lo status di associazione è lo`SUCCESS`, lo stato di abilitazione di uno standard che fa parte della politica può passare a uno stato incompleto. In tal caso, Security Hub CSPM non può generare risultati per i controlli dello standard. Per ulteriori informazioni, consulta [Verifica dello stato di uno standard](enable-standards.md#standard-subscription-status).
## Risoluzione dei problemi di associazione
In AWS Security Hub CSPM, un'associazione di criteri di configurazione potrebbe fallire per i seguenti motivi comuni.
+ L'**account di gestione Organizations non è un membro**: se desideri associare una policy di configurazione all'account di gestione Organizations, tale account deve già avere AWS Security Hub CSPM abilitato. Questo rende l'account di gestione un account membro dell'organizzazione.
+ **AWS Config non è abilitato o configurato correttamente**: per abilitare gli standard in una politica di configurazione, AWS Config deve essere abilitato e configurato per registrare le risorse pertinenti.
+ **Deve essere associata da un account amministratore delegato**: puoi associare una policy solo agli account di destinazione e OUs quando hai effettuato l'accesso all'account amministratore CSPM di Security Hub delegato.
+ **È necessario associare una politica dalla propria regione d'origine**: puoi associare una politica solo agli account target e OUs quando hai effettuato l'accesso alla tua regione d'origine.
+ **Regione di attivazione non abilitata**: l'associazione delle politiche non riesce per un account membro o un'unità organizzativa in una regione collegata se si tratta di una regione opt-in che l'amministratore delegato non ha abilitato. È possibile riprovare dopo aver abilitato la regione dall'account amministratore delegato.
+ **Account membro sospeso**: l'associazione delle politiche fallisce se si tenta di associare una politica a un account membro sospeso.
# Aggiornamento delle politiche di configurazione
Dopo aver creato una politica di configurazione, l'account amministratore CSPM AWS di Security Hub delegato può aggiornare i dettagli e le associazioni delle politiche. Quando i dettagli della politica vengono aggiornati, gli account associati alla politica di configurazione iniziano automaticamente a utilizzare la politica aggiornata.
Per informazioni di base sui vantaggi della configurazione centralizzata e su come funziona, consulta[Comprendere la configurazione centrale in Security Hub CSPM](central-configuration-intro.md).
L'amministratore delegato può aggiornare le seguenti impostazioni dei criteri:
+ Abilita o disabilita Security Hub CSPM.
+ Abilita uno o più standard di [sicurezza](standards-reference.md).
+ Indica quali [controlli di sicurezza](securityhub-controls-reference.md) sono abilitati tra gli standard abilitati. È possibile farlo fornendo un elenco di controlli specifici che devono essere abilitati e Security Hub CSPM disabilita tutti gli altri controlli, inclusi i nuovi controlli quando vengono rilasciati. In alternativa, puoi fornire un elenco di controlli specifici che devono essere disabilitati e Security Hub CSPM abilita tutti gli altri controlli, inclusi i nuovi controlli quando vengono rilasciati.
+ Facoltativamente, [personalizza i parametri](https://docs.aws.amazon.com/securityhub/latest/userguide/custom-control-parameters.html) per selezionare i controlli abilitati tra gli standard abilitati.
Scegli il tuo metodo preferito e segui i passaggi per aggiornare una politica di configurazione.
**Nota**
Se si utilizza la configurazione centrale, Security Hub CSPM disattiva automaticamente i controlli che coinvolgono risorse globali in tutte le regioni tranne la regione di origine. Gli altri controlli che scegli di abilitare tramite una politica di configurazione sono abilitati in tutte le regioni in cui sono disponibili. Per limitare i risultati di questi controlli a una sola regione, puoi aggiornare le impostazioni del AWS Config registratore e disattivare la registrazione globale delle risorse in tutte le regioni tranne la regione d'origine.
Se un controllo abilitato che coinvolge risorse globali non è supportato nella regione di origine, Security Hub CSPM tenta di abilitare il controllo in una regione collegata in cui il controllo è supportato. Con la configurazione centralizzata, ti manca la copertura per un controllo che non è disponibile nella regione d'origine o in nessuna delle regioni collegate.
Per un elenco dei controlli che coinvolgono risorse globali, consulta[Controlli che utilizzano risorse globali](controls-to-disable.md#controls-to-disable-global-resources).
------
#### [ Console ]
**Per aggiornare le politiche di configurazione**
1. Aprire la console CSPM AWS di Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
Accedi utilizzando le credenziali dell'account amministratore CSPM di Security Hub delegato nella regione di residenza.
1. ****Nel riquadro di navigazione, scegli Impostazioni e configurazione.****
1. Scegliere la scheda **Policy**.
1. Seleziona la politica di configurazione che desideri modificare e scegli **Modifica**. Se lo desideri, modifica le impostazioni dei criteri. Lasciate questa sezione così com'è se desiderate mantenere invariate le impostazioni dei criteri.
1. Scegliete **Avanti**. Se lo desiderate, modificate le associazioni di policy. Lasciate questa sezione così com'è se desiderate mantenere invariate le associazioni di politiche. Puoi associare o dissociare la policy con un massimo di 15 obiettivi (account o root) quando la aggiorni. OUs
1. Scegli **Next (Successivo)**.
1. Controlla le modifiche e scegli **Salva e applica**. Nella tua regione d'origine e nelle regioni collegate, questa azione sostituisce le impostazioni di configurazione esistenti degli account associati a questa politica di configurazione. Gli account possono essere associati a una politica di configurazione tramite l'applicazione o ereditati da un nodo principale.
------
#### [ API ]
**Per aggiornare le politiche di configurazione**
1. Per aggiornare le impostazioni in una politica di configurazione, richiama l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html)API dall'account amministratore delegato CSPM di Security Hub nella regione di residenza.
1. Fornisci l'Amazon Resource Name (ARN) o l'ID della policy di configurazione che desideri aggiornare.
1. Fornisci valori aggiornati per i campi `ConfigurationPolicy` sottostanti. Facoltativamente, puoi anche fornire un motivo per l'aggiornamento.
1. Per aggiungere nuove associazioni per questa politica di configurazione, richiama l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html)API dall'account amministratore delegato CSPM di Security Hub nella regione di residenza. Per rimuovere una o più associazioni correnti, richiama l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyDisassociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyDisassociation.html)API dall'account amministratore delegato CSPM di Security Hub nella regione di origine.
1. Per il `ConfigurationPolicyIdentifier` campo, fornisci l'ARN o l'ID della politica di configurazione di cui desideri aggiornare le associazioni.
1. Per il `Target` campo, fornite gli account o l'ID root che desiderate associare o dissociare. OUs Questa azione sostituisce le precedenti associazioni di policy per gli account o gli account specificati OUs .
**Nota**
Quando si richiama l'`UpdateConfigurationPolicy`API, Security Hub CSPM esegue una sostituzione completa dell'elenco per i campi`EnabledStandardIdentifiers`, `EnabledSecurityControlIdentifiers``DisabledSecurityControlIdentifiers`, e. `SecurityControlCustomParameters` Ogni volta che richiami questa API, fornisci l'elenco completo degli standard che desideri abilitare e l'elenco completo dei controlli che desideri abilitare o disabilitare e per cui personalizzare i parametri.
**Esempio di richiesta API per aggiornare una politica di configurazione:**
```
{
"Identifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"Description": "Updated configuration policy",
"UpdatedReason": "Disabling CloudWatch.1",
"ConfigurationPolicy": {
"SecurityHub": {
"ServiceEnabled": true,
"EnabledStandardIdentifiers": [
"arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0",
"arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"
],
"SecurityControlsConfiguration": {
"DisabledSecurityControlIdentifiers": [
"CloudTrail.2",
"CloudWatch.1"
],
"SecurityControlCustomParameters": [
{
"SecurityControlId": "ACM.1",
"Parameters": {
"daysToExpiration": {
"ValueType": "CUSTOM",
"Value": {
"Integer": 15
}
}
}
}
]
}
}
}
}
```
------
#### [ AWS CLI ]
**Per aggiornare le politiche di configurazione**
1. Per aggiornare le impostazioni in una politica di configurazione, esegui il [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-configuration-policy.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-configuration-policy.html)comando dall'account amministratore delegato CSPM di Security Hub nella regione di residenza.
1. Fornisci l'Amazon Resource Name (ARN) o l'ID della policy di configurazione che desideri aggiornare.
1. Fornisci valori aggiornati per i campi `configuration-policy` sottostanti. Facoltativamente, puoi anche fornire un motivo per l'aggiornamento.
1. Per aggiungere nuove associazioni per questa politica di configurazione, esegui il [https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html)comando dall'account amministratore delegato CSPM di Security Hub nell'area di residenza. Per rimuovere una o più associazioni correnti, esegui il [https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html)comando dall'account amministratore delegato CSPM di Security Hub nell'area di residenza.
1. Per il `configuration-policy-identifier` campo, fornisci l'ARN o l'ID della politica di configurazione di cui desideri aggiornare le associazioni.
1. Per il `target` campo, fornite gli account o l'ID root che desiderate associare o dissociare. OUs Questa azione sostituisce le precedenti associazioni di policy per gli account o gli account specificati OUs .
**Nota**
Quando si esegue il `update-configuration-policy` comando, Security Hub CSPM esegue una sostituzione completa dell'elenco per i `EnabledStandardIdentifiers` campi, `EnabledSecurityControlIdentifiers``DisabledSecurityControlIdentifiers`, e`SecurityControlCustomParameters`. Ogni volta che esegui questo comando, fornisci l'elenco completo degli standard che desideri abilitare e l'elenco completo dei controlli per cui desideri abilitare o disabilitare e personalizzare i parametri.
**Comando di esempio per aggiornare una politica di configurazione:**
```
aws securityhub update-configuration-policy \
--region us-east-1 \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--description "Updated configuration policy" \
--updated-reason "Disabling CloudWatch.1" \
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2","CloudWatch.1"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}}]}}}'
```
------
L'`StartConfigurationPolicyAssociation`API restituisce un campo chiamato`AssociationStatus`. Questo campo indica se un'associazione di politiche è in sospeso o in uno stato di successo o di fallimento. La modifica dello stato da a `SUCCESS` o `FAILURE` può richiedere fino a 24 ore. `PENDING` Per ulteriori informazioni sullo stato dell'associazione, vedere[Revisione dello stato di associazione di una politica di configurazione](view-policy.md#configuration-association-status).
# Eliminazione dei criteri di configurazione
Dopo aver creato una politica di configurazione, l'amministratore CSPM AWS di Security Hub delegato può eliminarla. In alternativa, l'amministratore delegato può mantenere la politica, ma dissociarla da account o unità organizzative specifici (OUs) o dalla radice. Per istruzioni sulla dissociazione di una politica, vedere. [Dissociazione di una configurazione dai suoi obiettivi](disassociate-policy.md)
Per informazioni di base sui vantaggi della configurazione centralizzata e su come funziona, consulta. [Comprendere la configurazione centrale in Security Hub CSPM](central-configuration-intro.md)
Questa sezione spiega come eliminare i criteri di configurazione.
Quando si elimina una politica di configurazione, questa non esiste più per l'organizzazione. Gli account di destinazione e la directory principale dell'organizzazione non possono più utilizzare la politica di configurazione. OUs Le destinazioni associate a una politica di configurazione eliminata ereditano la politica di configurazione del genitore più vicino o vengono gestite automaticamente se il genitore più vicino viene gestito automaticamente. Se si desidera che una destinazione utilizzi una configurazione diversa, è possibile associare la destinazione a una nuova politica di configurazione. Per ulteriori informazioni, consulta [Creazione e associazione di policy di configurazione](create-associate-policy.md).
Ti consigliamo di creare e associare almeno una politica di configurazione alla tua organizzazione per fornire una copertura di sicurezza adeguata.
Prima di poter eliminare una politica di configurazione, è necessario dissociarla da qualsiasi account o dalla directory principale a cui si applica attualmente. OUs
Scegliete il metodo preferito e seguite i passaggi per eliminare una politica di configurazione.
------
#### [ Console ]
**Come eliminare una policy di configurazione**
1. Aprire la console CSPM AWS di Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
Accedi utilizzando le credenziali dell'account amministratore CSPM di Security Hub delegato nella regione di residenza.
1. ****Nel riquadro di navigazione, scegli Impostazioni e configurazione.****
1. Scegliere la scheda **Policy**. Seleziona la politica di configurazione che desideri eliminare e scegli **Elimina**. Se la politica di configurazione è ancora associata a qualsiasi account oppure OUs, ti viene richiesto di dissociare la politica da tali obiettivi prima di poterla eliminare.
1. Controlla il messaggio di conferma. Inserisci **confirm** e scegli **Elimina**.
------
#### [ API ]
**Come eliminare una policy di configurazione**
Richiama l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DeleteConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DeleteConfigurationPolicy.html)API dall'account amministratore delegato CSPM di Security Hub nella regione di origine.
Fornisci l'Amazon Resource Name (ARN) o l'ID della policy di configurazione che desideri eliminare. Se ricevi un `ConflictException` errore, la politica di configurazione si applica ancora agli account o OUs all'interno della tua organizzazione. Per risolvere l'errore, dissocia la politica di configurazione da questi account o OUs prima di provare a eliminarla.
**Esempio di richiesta API per eliminare una politica di configurazione:**
```
{
"Identifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
}
```
------
#### [ AWS CLI ]
**Come eliminare una policy di configurazione**
Esegui il [https://docs.aws.amazon.com/cli/latest/reference/securityhub/delete-configuration-policy.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/delete-configuration-policy.html)comando dall'account amministratore delegato CSPM di Security Hub nella regione di origine.
Fornisci l'Amazon Resource Name (ARN) o l'ID della policy di configurazione che desideri eliminare. Se ricevi un `ConflictException` errore, la politica di configurazione si applica ancora agli account o OUs all'interno della tua organizzazione. Per risolvere l'errore, dissocia la politica di configurazione da questi account o OUs prima di provare a eliminarla.
```
aws securityhub --region us-east-1 delete-configuration-policy \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
```
------
# Dissociazione di una configurazione dai suoi obiettivi
Dall'account amministratore delegato AWS di Security Hub CSPM, è possibile dissociare una politica di configurazione o una configurazione autogestita da un account, un'unità organizzativa o una radice. La disassociazione mantiene la politica per usi futuri, ma rimuove le associazioni esistenti da account specifici o dalla radice. È possibile dissociare solo una configurazione applicata direttamente OUs, non una configurazione ereditata. Per modificare una configurazione ereditata, è possibile applicare una politica di configurazione o un comportamento autogestito all'account o all'unità organizzativa interessati. È inoltre possibile applicare una nuova politica di configurazione, che include le modifiche desiderate, al genitore più vicino.
La disassociazione *non* elimina una politica di configurazione. La politica viene mantenuta nel tuo account, quindi puoi associarla ad altri obiettivi della tua organizzazione. Per istruzioni sull'eliminazione di una politica di configurazione, consulta. [Eliminazione dei criteri di configurazione](delete-policy.md) Una volta completata la dissociazione, l'obiettivo interessato eredita la politica di configurazione o il comportamento autogestito del genitore più vicino. Se non esiste una configurazione ereditabile, una destinazione mantiene le impostazioni che aveva prima della disassociazione ma viene gestita automaticamente.
Scegli il metodo preferito e segui i passaggi per dissociare un account, un'unità organizzativa o un utente root dalla configurazione corrente.
------
#### [ Console ]
**Per dissociare un account o un'unità organizzativa dalla configurazione corrente**
1. Aprire la console CSPM AWS di Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
Accedi utilizzando le credenziali dell'account amministratore CSPM di Security Hub delegato nella regione di residenza.
1. ****Nel riquadro di navigazione, scegli Impostazioni e configurazione.****
1. Nella scheda **Organizations**, seleziona l'account, l'unità organizzativa o la radice che desideri dissociare dalla configurazione corrente. Scegli **Modifica**.
1. Nella pagina **Definisci configurazione**, per **Gestione**, scegli **Politica applicata** se desideri che l'amministratore delegato sia in grado di applicare le politiche direttamente alla destinazione. Scegli **Inherited** se desideri che la destinazione erediti la configurazione del suo elemento principale più vicino. In entrambi i casi, l'amministratore delegato controlla le impostazioni per la destinazione. Scegli **Autogestito** se desideri che l'account o l'unità organizzativa controllino le proprie impostazioni.
1. Dopo aver esaminato le modifiche, scegli **Avanti** e **Applica**. Questa azione sostituisce le configurazioni esistenti di qualsiasi account o OUs che rientrano nell'ambito, se tali configurazioni sono in conflitto con le selezioni correnti.
------
#### [ API ]
**Per dissociare un account o un'unità organizzativa dalla configurazione corrente**
1. Richiama l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyDisassociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyDisassociation.html)API dall'account amministratore delegato CSPM di Security Hub nella regione di origine.
1. Per`ConfigurationPolicyIdentifier`, fornisci l'Amazon Resource Name (ARN) o l'ID della policy di configurazione da cui desideri dissociare. Inserisci questo campo `SELF_MANAGED_SECURITY_HUB` per dissociare il comportamento autogestito.
1. Per`Target`, fornisci gli account o la radice che desideri separare da questa politica di configurazione. OUs
**Esempio di richiesta API per dissociare una politica di configurazione:**
```
{
"ConfigurationPolicyIdentifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"Target": {"RootId": "r-f6g7h8i9j0example"}
}
```
------
#### [ AWS CLI ]
**Per dissociare un account o un'unità organizzativa dalla configurazione corrente**
1. Esegui il [https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-disassociation.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-disassociation.html)comando dall'account amministratore delegato CSPM di Security Hub nella regione di origine.
1. Per`configuration-policy-identifier`, fornisci l'Amazon Resource Name (ARN) o l'ID della policy di configurazione da cui desideri dissociare. Inserisci questo campo `SELF_MANAGED_SECURITY_HUB` per dissociare il comportamento autogestito.
1. Per`target`, fornisci gli account o la radice che desideri separare da questa politica di configurazione. OUs
**Esempio di comando per dissociare una politica di configurazione:**
```
aws securityhub --region us-east-1 start-configuration-policy-disassociation \
--configuration-policy-identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--target '{"RootId": "r-f6g7h8i9j0example"}'
```
------
# Configurazione di uno standard o di un controllo nel contesto
Quando si utilizza la [configurazione centrale](central-configuration-intro.md) in AWS Security Hub CSPM, l'amministratore delegato di Security Hub CSPM può creare politiche di configurazione che specificano in che modo Security Hub CSPM, gli standard di sicurezza e i controlli di sicurezza sono configurati per un'organizzazione. L'amministratore delegato può associare le politiche a account e unità organizzative (OU) specifici. Le politiche hanno effetto nella regione di origine e in tutte le regioni collegate. L'amministratore delegato può aggiornare le politiche di configurazione se necessario.
Nella console Security Hub CSPM, l'amministratore delegato può aggiornare i criteri di configurazione in due modi: dalla pagina **Configurazione** o nel contesto dei flussi di lavoro esistenti. Quest'ultima opzione può essere utile perché, man mano che si visualizzano i risultati di sicurezza, è possibile scoprire quali standard e controlli sono più pertinenti per il proprio ambiente e configurarli allo stesso tempo.
La configurazione contestuale è disponibile solo sulla console CSPM di Security Hub. A livello di codice, l'amministratore delegato deve richiamare il [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html)funzionamento dell'API CSPM Security Hub per modificare il modo in cui gli standard o i controlli specifici sono configurati nell'organizzazione.
Segui questi passaggi per configurare uno standard o un controllo CSPM di Security Hub nel contesto.
**Per configurare uno standard o un controllo nel contesto (console)**
1. Aprire la console CSPM AWS di Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
Accedi utilizzando le credenziali dell'account amministratore CSPM di Security Hub delegato nella regione di residenza.
1. Nel riquadro di navigazione, scegli una delle seguenti opzioni:
+ Per configurare uno standard, scegli **Standard di sicurezza** e scegli uno standard specifico.
+ Per configurare un controllo, scegli **Controlli** e scegli un controllo specifico.
1. La console elenca le politiche di configurazione CSPM di Security Hub esistenti e lo stato dello standard o del controllo selezionato in ciascuna di esse. Scegli le opzioni per abilitare o disabilitare lo standard o il controllo in ogni politica di configurazione esistente. Per quanto riguarda i controlli, puoi anche scegliere di personalizzare [i parametri di controllo](custom-control-parameters.md). Non è possibile creare una nuova politica durante la configurazione contestuale. Per creare una nuova politica, devi andare alla pagina **Configurazione**, scegliere la scheda **Politiche**, quindi scegliere **Crea politica**.
1. Dopo aver apportato le modifiche, scegli **Avanti**.
1. Controlla le modifiche e scegli **Applica**. Gli aggiornamenti riguardano tutti gli account e OUs sono associati a una politica di configurazione modificata. Gli aggiornamenti hanno effetto anche nella regione di origine e in tutte le regioni collegate.
# Disabilitazione della configurazione centrale in Security Hub CSPM
Quando si disabilita la configurazione centrale in AWS Security Hub CSPM, l'amministratore delegato perde la possibilità di configurare Security Hub CSPM, gli standard di sicurezza e i controlli di sicurezza su più Account AWS unità organizzative () e. OUs Regioni AWSÈ invece necessario configurare la maggior parte delle impostazioni separatamente per ogni account in ogni regione.
**Importante**
Prima di poter disattivare la configurazione centrale, devi innanzitutto [dissociare gli account e OUs](disassociate-policy.md) la loro configurazione attuale, che si tratti di una politica di configurazione o di un comportamento autogestito.
Prima di poter disabilitare la configurazione centrale, è necessario [eliminare anche le politiche di configurazione esistenti](delete-policy.md).
Quando si disabilita la configurazione centrale, si verificano le seguenti modifiche:
+ L'amministratore delegato non può più creare politiche di configurazione per l'organizzazione.
+ Gli account a cui era stata applicata o ereditata una politica di configurazione mantengono le impostazioni correnti, ma si gestiscono automaticamente.
+ *L'organizzazione passa alla configurazione locale.* Nella configurazione locale, la maggior parte delle impostazioni CSPM di Security Hub deve essere configurata separatamente in ogni account e regione dell'organizzazione. L'amministratore delegato può scegliere di abilitare automaticamente Security Hub CSPM, [gli standard di sicurezza predefiniti](securityhub-auto-enabled-standards.md) e tutti i controlli che fanno parte degli standard predefiniti nei nuovi account dell'organizzazione. Gli standard predefiniti sono AWS Foundational Security Best Practices (FSBP) e Center for Internet Security (CIS) Foundations Benchmark v1.2.0. AWS Queste impostazioni hanno effetto solo nella regione corrente e influiscono solo sui nuovi account dell'organizzazione. L'amministratore delegato non può modificare gli standard predefiniti. La configurazione locale non supporta l'uso di politiche di configurazione o la configurazione a livello di unità organizzativa.
L'identità dell'account amministratore delegato rimane la stessa quando si smette di utilizzare la configurazione centrale. Anche la regione d'origine e le regioni collegate rimangono invariate (la regione d'origine è ora denominata regione di aggregazione e può essere utilizzata per trovare aggregazioni).
Scegli il tuo metodo preferito e segui i passaggi per smettere di usare la configurazione centrale e passare alla configurazione locale.
------
#### [ Security Hub CSPM console ]
**Per disabilitare la configurazione centrale (console)**
1. Aprire la console CSPM AWS di Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
Accedi utilizzando le credenziali dell'account amministratore CSPM di Security Hub delegato nella regione di residenza.
1. ****Nel pannello di navigazione, scegli Impostazioni e configurazione.****
1. Nella sezione **Panoramica**, scegli **Modifica**.
1. Nella casella **Modifica configurazione dell'organizzazione**, scegli **Configurazione locale**. Se non l'hai già fatto, ti viene richiesto di annullare l'associazione ed eliminare le politiche di configurazione correnti prima di poter interrompere la configurazione centrale. Gli account o OUs quelli designati come autogestiti devono essere dissociati dalla relativa configurazione autogestita. È possibile eseguire questa operazione nella console [modificando il tipo di gestione](central-configuration-management-type.md#choose-management-type) di ogni account o unità organizzativa autogestito in Gestito **centralmente e **eredita**** dalla mia organizzazione.
1. Facoltativamente, selezionare le impostazioni predefinite di configurazione locale per i nuovi account dell'organizzazione.
1. Scegli **Conferma**.
------
#### [ Security Hub CSPM API ]
**Per disabilitare la configurazione centrale (API)**
1. Invoca l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html)API.
1. Imposta il `ConfigurationType` campo nell'`OrganizationConfiguration`oggetto su. `LOCAL` L'API restituisce un errore se sono presenti politiche di configurazione o associazioni di politiche esistenti. Per dissociare una politica di configurazione, richiama l'`StartConfigurationPolicyDisassociation`API. Per eliminare una politica di configurazione, richiama l'API. `DeleteConfigurationPolicy`
1. Se desideri abilitare automaticamente Security Hub CSPM nei nuovi account dell'organizzazione, imposta il `AutoEnable` campo su. `true` Per impostazione predefinita, il valore di questo campo è `false` e Security Hub CSPM non viene abilitato automaticamente nei nuovi account dell'organizzazione. Facoltativamente, se desideri abilitare automaticamente gli standard di sicurezza predefiniti nei nuovi account dell'organizzazione, imposta il `AutoEnableStandards` campo su. `DEFAULT` Questo è il valore predefinito. Se non desideri abilitare automaticamente gli standard di sicurezza predefiniti nei nuovi account dell'organizzazione, imposta il `AutoEnableStandards` campo su`NONE`.
**Esempio di richiesta API:**
```
{
"AutoEnable": true,
"OrganizationConfiguration": {
"ConfigurationType" : "LOCAL"
}
}
```
------
#### [ AWS CLI ]
**Per disabilitare la configurazione centrale (AWS CLI)**
1. Esegui il comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html).
1. Imposta il `ConfigurationType` campo nell'`organization-configuration`oggetto su`LOCAL`. Il comando restituisce un errore se sono presenti criteri di configurazione o associazioni di criteri esistenti. Per dissociare una politica di configurazione, esegui il `start-configuration-policy-disassociation` comando. Per eliminare una politica di configurazione, esegui il `delete-configuration-policy` comando.
1. Se desideri abilitare automaticamente Security Hub CSPM nei nuovi account dell'organizzazione, includi il `auto-enable` parametro. Per impostazione predefinita, il valore di questo parametro è `no-auto-enable` e Security Hub CSPM non viene abilitato automaticamente nei nuovi account dell'organizzazione. Facoltativamente, se desideri abilitare automaticamente gli standard di sicurezza predefiniti nei nuovi account dell'organizzazione, imposta il `auto-enable-standards` campo su. `DEFAULT` Questo è il valore predefinito. Se non desideri abilitare automaticamente gli standard di sicurezza predefiniti nei nuovi account dell'organizzazione, imposta il `auto-enable-standards` campo su`NONE`.
```
aws securityhub --region us-east-1 update-organization-configuration \
--auto-enable \
--organization-configuration '{"ConfigurationType": "LOCAL"}'
```
------