Integrazione del Security Hub con AWS Organizations - AWS Security Hub
Creazione di un'organizzazioneConsigli per la scelta dell'amministratore delegato del Security HubVerifica le autorizzazioni per configurare l'amministratore delegatoDesignazione dell'amministratore delegato

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Integrazione del Security Hub con AWS Organizations

Per integrare AWS Security Hub e AWS Organizations, è necessario creare un'organizzazione in Organizations e utilizzare l'account di gestione dell'organizzazione per designare un account amministratore delegato di Security Hub. Ciò abilita Security Hub come servizio affidabile in Organizations. Attiva inoltre Security Hub nella versione corrente Regione AWS per l'account amministratore delegato e consente all'amministratore delegato di abilitare Security Hub per gli account dei membri, visualizzare i dati negli account dei membri ed eseguire altre azioni consentite sugli account dei membri.

Se si utilizza la configurazione centrale, l'amministratore delegato può anche creare politiche di configurazione del Security Hub che specificano come configurare il servizio, gli standard e i controlli di Security Hub negli account dell'organizzazione.

Creazione di un'organizzazione

Un'organizzazione è un'entità creata per consolidare la propria Account AWS in modo da poterla amministrare come una singola unità.

È possibile creare un'organizzazione utilizzando la AWS Organizations console o utilizzando un comando dall'SDK AWS CLI o da uno degli SDK. APIs Per istruzioni dettagliate, consulta Creare un'organizzazione nella Guida per l'AWS Organizations utente.

Puoi utilizzarlo AWS Organizations per visualizzare e gestire centralmente tutti gli account all'interno della tua organizzazione. Un'organizzazione ha un account di gestione insieme a zero o più account membri. È possibile organizzare gli account in una struttura gerarchica ad albero con una radice nella parte superiore e le unità organizzative (OUs) annidate sotto la radice. Ogni account può trovarsi direttamente sotto la radice o collocato in una delle posizioni della gerarchia. OUs Un'unità organizzativa è un contenitore per account specifici. Ad esempio, è possibile creare un'unità organizzativa finanziaria che includa tutti i conti relativi alle operazioni finanziarie.

Consigli per la scelta dell'amministratore delegato del Security Hub

Se disponi di un account amministratore dopo la procedura di invito manuale e stai passando alla gestione dell'account con AWS Organizations, ti consigliamo di designare quell'account come amministratore delegato del Security Hub.

Sebbene Security Hub APIs e console consentano all'account di gestione dell'organizzazione di essere l'amministratore delegato di Security Hub, consigliamo di scegliere due account diversi. Questo perché è probabile che gli utenti che hanno accesso all'account di gestione dell'organizzazione per gestire la fatturazione siano diversi dagli utenti che devono accedere a Security Hub per la gestione della sicurezza.

Si consiglia di utilizzare lo stesso amministratore delegato in tutte le regioni. Se opti per la configurazione centralizzata, Security Hub designa automaticamente lo stesso amministratore delegato nella tua regione d'origine e in tutte le regioni collegate.

Verifica le autorizzazioni per configurare l'amministratore delegato

Per designare e rimuovere un account amministratore delegato di Security Hub, l'account di gestione dell'organizzazione deve disporre delle DisableOrganizationAdminAccount autorizzazioni EnableOrganizationAdminAccount e delle azioni in Security Hub. L'account di gestione Organizations deve inoltre disporre delle autorizzazioni amministrative per Organizations.

Per concedere tutte le autorizzazioni richieste, collega le seguenti politiche gestite da Security Hub al principale IAM per l'account di gestione dell'organizzazione:

Designazione dell'amministratore delegato

Per designare l'account amministratore delegato di Security Hub, è possibile utilizzare la console Security Hub, l'API Security Hub oppure. AWS CLI Security Hub imposta l'amministratore delegato Regione AWS solo nell'area corrente ed è necessario ripetere l'azione in altre regioni. Se inizi a utilizzare la configurazione centrale, Security Hub imposta automaticamente lo stesso amministratore delegato nella regione di origine e nelle regioni collegate.

L'account di gestione dell'organizzazione non deve abilitare Security Hub per designare l'account amministratore delegato di Security Hub.

È consigliabile che l'account di gestione dell'organizzazione non sia l'account amministratore delegato di Security Hub. Tuttavia, se si sceglie l'account di gestione dell'organizzazione come amministratore delegato di Security Hub, l'account di gestione deve avere Security Hub abilitato. Se l'account di gestione non ha Security Hub abilitato, è necessario abilitare Security Hub manualmente. Security Hub non può essere abilitato automaticamente per l'account di gestione dell'organizzazione.

È necessario designare l'amministratore delegato del Security Hub utilizzando uno dei seguenti metodi. La designazione dell'amministratore delegato del Security Hub presso Organizations APIs non si riflette in Security Hub.

Scegli il tuo metodo preferito e segui i passaggi per designare l'account amministratore delegato di Security Hub.

Security Hub console
Per designare l'amministratore delegato durante l'onboarding

  1. Apri la console all'indirizzo. AWS Security Hub https://console.aws.amazon.com/securityhub/

  2. Scegli Vai a Security Hub. Ti viene richiesto di accedere all'account di gestione dell'organizzazione.

  3. Nella pagina Designa amministratore delegato, nella sezione Account amministratore delegato, specifica l'account amministratore delegato. Ti consigliamo di scegliere lo stesso amministratore delegato che hai impostato per altri AWS servizi di sicurezza e conformità.

  4. Scegli Imposta amministratore delegato. Ti viene richiesto di accedere all'account amministratore delegato (se non lo sei già) per continuare l'onboarding con la configurazione centrale. Se non desideri avviare la configurazione centralizzata, scegli Annulla. L'amministratore delegato è impostato, ma non stai ancora utilizzando la configurazione centrale.

Per designare l'amministratore delegato dalla pagina Impostazioni

  1. Apri la AWS Security Hub console all'indirizzo. https://console.aws.amazon.com/securityhub/

  2. Nel riquadro di navigazione Security Hub, scegli Impostazioni. Quindi scegli Generale.

  3. Se al momento è assegnato un account amministratore di Security Hub, prima di poter designare un nuovo account, è necessario rimuovere l'account corrente.

    In Amministratore delegato, per rimuovere l'account corrente, scegli Rimuovi.

  4. Inserisci l'ID dell'account che desideri designare come account amministratore del Security Hub.

    È necessario designare lo stesso account amministratore del Security Hub in tutte le regioni. Se si designa un account diverso da quello indicato in altre regioni, la console restituisce un errore.

  5. Scegli Delega.

Security Hub API, AWS CLI

Dall'account di gestione dell'organizzazione, usa il EnableOrganizationAdminAccountfunzionamento dell'API Security Hub. Se stai usando AWS CLI, esegui il enable-organization-admin-accountcomando. Fornisci l' Account AWS ID dell'amministratore delegato del Security Hub.

L'esempio seguente designa l'amministratore delegato del Security Hub. Questo esempio è formattato per Linux, macOS o Unix e utilizza il carattere di continuazione di barra rovesciata (\) per migliorare la leggibilità.

$ aws securityhub enable-organization-admin-account --admin-account-id 123456789012