Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Gestione del Security Hub CSPM per più account con AWS Organizations
<a name="securityhub-accounts-orgs"></a>

È possibile integrare AWS Security Hub CSPM e quindi gestire Security Hub CSPM per gli account dell'organizzazione. AWS Organizations

Per integrare Security Hub CSPM con AWS Organizations, devi creare un'organizzazione in. AWS Organizations L'account di gestione Organizations designa un account come amministratore delegato CSPM di Security Hub per l'organizzazione. L'amministratore delegato può quindi abilitare Security Hub CSPM per altri account dell'organizzazione, aggiungere tali account come account membro CSPM di Security Hub e intraprendere le azioni consentite sugli account dei membri. L'amministratore delegato CSPM di Security Hub può abilitare e gestire Security Hub CSPM per un massimo di 10.000 account membri.

[L'estensione delle capacità di configurazione dell'amministratore delegato dipende dall'utilizzo o meno della configurazione centrale.](central-configuration-intro.md) Con la configurazione centrale abilitata, non è necessario configurare Security Hub CSPM separatamente in ogni account membro e. Regione AWS L'amministratore delegato può applicare impostazioni CSPM specifiche di Security Hub in specifici account membro e unità organizzative () OUs in tutte le regioni.

L'account amministratore delegato CSPM di Security Hub può eseguire le seguenti azioni sugli account dei membri:
+ Se utilizzi la configurazione centrale, configura centralmente Security Hub CSPM per gli account dei membri e OUs creando politiche di configurazione CSPM di Security Hub. Le policy di configurazione possono essere utilizzate per abilitare e disabilitare Security Hub CSPM, abilitare e disabilitare gli standard e abilitare e disabilitare i controlli.
+ Tratta automaticamente i *nuovi* account come account membri del Security Hub CSPM quando entrano a far parte dell'organizzazione. Se si utilizza la configurazione centrale, una politica di configurazione associata a un'unità organizzativa include account nuovi e esistenti che fanno parte dell'unità organizzativa.
+ Tratta gli account dell'organizzazione *esistenti* come account membri del Security Hub CSPM. Ciò avviene automaticamente se si utilizza la configurazione centrale.
+ Dissocia gli account dei membri che appartengono all'organizzazione. Se si utilizza la configurazione centrale, è possibile dissociare un account membro solo dopo averlo designato come autogestito. In alternativa, è possibile associare una politica di configurazione che disabiliti Security Hub CSPM a specifici account membro gestiti centralmente.

Se non si attiva la configurazione centralizzata, l'organizzazione utilizza il tipo di configurazione predefinito chiamato configurazione locale. Nella configurazione locale, l'amministratore delegato ha una capacità più limitata di applicare le impostazioni negli account dei membri. Per ulteriori informazioni, consulta [Comprendere la configurazione locale in Security Hub CSPM](local-configuration.md).

Per un elenco completo delle azioni che l'amministratore delegato può eseguire sugli account dei membri, vedere. [Azioni consentite dagli account amministratore e membro in Security Hub CSPM](securityhub-accounts-allowed-actions.md)

Gli argomenti di questa sezione spiegano come integrare Security Hub CSPM AWS Organizations e come gestire Security Hub CSPM per gli account di un'organizzazione. Ove pertinente, ogni sezione identifica i vantaggi e le differenze di gestione per gli utenti della configurazione centrale.

**Topics**
+ [Integrazione del Security Hub CSPM con AWS Organizations](designate-orgs-admin-account.md)
+ [Abilitazione automatica di Security Hub CSPM nei nuovi account dell'organizzazione](accounts-orgs-auto-enable.md)
+ [Abilitazione manuale di Security Hub CSPM nei nuovi account dell'organizzazione](orgs-accounts-enable.md)
+ [Dissociazione degli account dei membri di Security Hub CSPM dall'organizzazione](accounts-orgs-disassociate.md)

# Integrazione del Security Hub CSPM con AWS Organizations
<a name="designate-orgs-admin-account"></a>

Per integrare AWS Security Hub CSPM e AWS Organizations, è necessario creare un'organizzazione in Organizations e utilizzare l'account di gestione dell'organizzazione per designare un account amministratore CSPM di Security Hub delegato. Ciò consente a Security Hub CSPM come servizio affidabile in Organizations. [Abilita inoltre Security Hub CSPM nella versione corrente Regione AWS per l'account amministratore delegato e consente all'amministratore delegato di abilitare Security Hub CSPM per gli account membro, visualizzare i dati negli account membro ed eseguire altre azioni consentite sugli account dei membri.](securityhub-accounts-allowed-actions.md)

Se si utilizza la [configurazione centrale](central-configuration-intro.md), l'amministratore delegato può anche creare politiche di configurazione CSPM di Security Hub che specificano come il servizio, gli standard e i controlli CSPM di Security Hub devono essere configurati negli account dell'organizzazione.

## Creazione di un'organizzazione
<a name="create-organization"></a>

Un'organizzazione è un'entità creata per consolidare la propria in Account AWS modo da poterla amministrare come una singola unità.

È possibile creare un'organizzazione utilizzando la AWS Organizations console o utilizzando un comando dall'SDK AWS CLI o da uno degli SDK. APIs Per istruzioni dettagliate, consulta [Creare un'organizzazione](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_create.html) nella *Guida per l'AWS Organizations utente*.

Puoi utilizzarlo AWS Organizations per visualizzare e gestire centralmente tutti gli account all'interno dell'organizzazione. Un'organizzazione ha un account di gestione insieme a zero o più account membri. È possibile organizzare gli account in una struttura gerarchica ad albero con una radice nella parte superiore e le unità organizzative (OUs) annidate sotto la radice. Ogni account può trovarsi direttamente sotto la radice o collocato in una delle posizioni della gerarchia. OUs Un'unità organizzativa è un contenitore per account specifici. Ad esempio, è possibile creare un'unità organizzativa finanziaria che includa tutti i conti relativi alle operazioni finanziarie. 

## Consigli per la scelta dell'amministratore CSPM delegato di Security Hub
<a name="designate-admin-recommendations"></a>

Se disponi di un account amministratore dopo la procedura di invito manuale e stai passando alla gestione dell'account con AWS Organizations, ti consigliamo di designare quell'account come amministratore delegato del Security Hub CSPM.

Sebbene il CSPM APIs e la console di Security Hub consentano all'account di gestione dell'organizzazione di essere l'amministratore CSPM delegato di Security Hub, consigliamo di scegliere due account diversi. Questo perché è probabile che gli utenti che hanno accesso all'account di gestione dell'organizzazione per gestire la fatturazione siano diversi dagli utenti che devono accedere al CSPM di Security Hub per la gestione della sicurezza.

Si consiglia di utilizzare lo stesso amministratore delegato in tutte le regioni. Se opti per la configurazione centralizzata, Security Hub CSPM designa automaticamente lo stesso amministratore delegato nella tua regione di origine e in tutte le regioni collegate.

## Verifica le autorizzazioni per configurare l'amministratore delegato
<a name="designate-admin-permissions"></a>

Per designare e rimuovere un account amministratore CSPM di Security Hub delegato, l'account di gestione dell'organizzazione deve disporre delle autorizzazioni per le azioni e `EnableOrganizationAdminAccount` in `DisableOrganizationAdminAccount` Security Hub CSPM. L'account di gestione Organizations deve inoltre disporre delle autorizzazioni amministrative per Organizations.

Per concedere tutte le autorizzazioni richieste, collega le seguenti politiche gestite da Security Hub CSPM al principale IAM per l'account di gestione dell'organizzazione:
+ [https://docs.aws.amazon.com/securityhub/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-awssecurityhubfullaccess](https://docs.aws.amazon.com/securityhub/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-awssecurityhubfullaccess)
+ [https://docs.aws.amazon.com/securityhub/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-awssecurityhuborganizationsaccess](https://docs.aws.amazon.com/securityhub/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-awssecurityhuborganizationsaccess)

## Designazione dell'amministratore delegato
<a name="designate-admin-instructions"></a>

Per designare l'account amministratore CSPM di Security Hub delegato, è possibile utilizzare la console CSPM di Security Hub, l'API CSPM di Security Hub oppure. AWS CLI Security Hub CSPM imposta l'amministratore delegato Regione AWS solo nella versione corrente ed è necessario ripetere l'azione in altre regioni. Se inizi a utilizzare la configurazione centrale, Security Hub CSPM imposta automaticamente lo stesso amministratore delegato nella regione di origine e nelle regioni collegate.

L'account di gestione dell'organizzazione non deve abilitare Security Hub CSPM per designare l'account amministratore CSPM di Security Hub delegato.

È consigliabile che l'account di gestione dell'organizzazione non sia l'account amministratore delegato di Security Hub CSPM. Tuttavia, se si sceglie l'account di gestione dell'organizzazione come amministratore delegato CSPM di Security Hub, l'account di gestione deve avere Security Hub CSPM abilitato. Se l'account di gestione non ha Security Hub CSPM abilitato, è necessario abilitare il CSPM di Security Hub manualmente. Security Hub CSPM non può essere abilitato automaticamente per l'account di gestione dell'organizzazione.

È necessario designare l'amministratore CSPM delegato di Security Hub utilizzando uno dei seguenti metodi. La designazione dell'amministratore CSPM delegato di Security Hub con Organizations APIs non si riflette nel Security Hub CSPM.

Scegli il tuo metodo preferito e segui i passaggi per designare l'account amministratore CSPM di Security Hub delegato.

------
#### [ Security Hub CSPM console ]

**Per designare l'amministratore delegato durante l'onboarding**

1. Aprire la console CSPM AWS di Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Scegli **Vai a Security Hub CSPM**. Ti viene richiesto di accedere all'account di gestione dell'organizzazione.

1. Nella pagina **Designa amministratore delegato**, nella sezione **Account amministratore delegato, specifica l'account amministratore** delegato. Ti consigliamo di scegliere lo stesso amministratore delegato che hai impostato per altri AWS servizi di sicurezza e conformità.

1. Scegli **Imposta amministratore delegato.** Ti viene richiesto di accedere all'account amministratore delegato (se non lo sei già) per continuare l'onboarding con la configurazione centrale. **Se non desideri avviare la configurazione centralizzata, scegli Annulla.** L'amministratore delegato è impostato, ma non stai ancora utilizzando la configurazione centrale.

****Per designare l'amministratore delegato dalla pagina Impostazioni****

1. Aprire la console CSPM AWS di Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. **Nel pannello di navigazione CSPM di Security Hub, scegli Impostazioni.** **Quindi scegli Generale.**

1. Se al momento è assegnato un account amministratore CSPM di Security Hub, prima di poter designare un nuovo account, è necessario rimuovere l'account corrente.

   **In **Amministratore delegato**, per rimuovere l'account corrente, scegli Rimuovi.**

1. Inserisci l'ID dell'account che desideri designare come account amministratore **CSPM di Security Hub**.

   È necessario designare lo stesso account amministratore CSPM di Security Hub in tutte le regioni. Se si designa un account diverso da quello designato in altre regioni, la console restituisce un errore.

1. Scegli **Delega**.

------
#### [ Security Hub CSPM API, AWS CLI ]

Dall'account di gestione dell'organizzazione, utilizza il [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_EnableOrganizationAdminAccount.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_EnableOrganizationAdminAccount.html)funzionamento dell'API CSPM Security Hub. Se utilizzi il AWS CLI, esegui il comando. [https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-organization-admin-account.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-organization-admin-account.html) Fornisci l' Account AWS ID dell'amministratore CSPM di Security Hub delegato.

L'esempio seguente designa l'amministratore CSPM delegato di Security Hub. Questo esempio è formattato per Linux, macOS o Unix e utilizza il carattere di continuazione di barra rovesciata (\$1) per migliorare la leggibilità.

```
$ aws securityhub enable-organization-admin-account --admin-account-id 123456789012
```

------

# Rimuovere o modificare l'amministratore delegato
<a name="remove-admin-overview"></a>

Solo l'account di gestione dell'organizzazione può rimuovere l'account amministratore CSPM di Security Hub delegato.

Per cambiare l'amministratore delegato di Security Hub CSPM, è necessario prima rimuovere l'account amministratore delegato corrente e quindi designarne uno nuovo.

**avvertimento**  
Quando si utilizza la [configurazione centrale](central-configuration-intro.md), non è possibile utilizzare la console CSPM di Security Hub o il CSPM di Security Hub APIs per modificare o rimuovere l'account amministratore delegato. Se l'account di gestione dell'organizzazione utilizza la AWS Organizations console o AWS Organizations APIs per modificare o rimuovere l'amministratore delegato di Security Hub CSPM, Security Hub CSPM interrompe automaticamente la configurazione centrale ed elimina i criteri di configurazione e le associazioni di criteri. Gli account dei membri mantengono le configurazioni che avevano prima della modifica o della rimozione dell'amministratore delegato.

Se si utilizza la console Security Hub CSPM per rimuovere l'amministratore delegato in una regione, questo viene rimosso automaticamente in tutte le regioni.

L'API CSPM di Security Hub rimuove solo l'account amministratore CSPM di Security Hub delegato dalla regione in cui viene emessa la chiamata o il comando API. È necessario ripetere l'azione in altre regioni.

Se si utilizza l'API Organizations per rimuovere l'account amministratore CSPM delegato di Security Hub, questo viene rimosso automaticamente in tutte le regioni.

## Rimozione dell'amministratore delegato (Organizations API, AWS CLI)
<a name="remove-admin-orgs"></a>

È possibile utilizzare Organizations per rimuovere l'amministratore CSPM delegato di Security Hub in tutte le regioni.

Se si utilizza la configurazione centrale per gestire gli account, la rimozione dell'account amministratore delegato comporta l'eliminazione delle politiche di configurazione e delle associazioni di politiche. Gli account membro mantengono le configurazioni che avevano prima della modifica o della rimozione dell'amministratore delegato. Tuttavia, questi account non possono più essere gestiti dall'account amministratore delegato rimosso. Diventano account autogestiti che devono essere configurati separatamente in ciascuna regione.

Scegli il tuo metodo preferito e segui le istruzioni per rimuovere l'account amministratore CSPM di Security Hub delegato con. AWS Organizations

------
#### [ Organizations API, AWS CLI ]

**Per rimuovere l'amministratore CSPM delegato di Security Hub**

Dall'account di gestione dell'organizzazione, utilizza il [https://docs.aws.amazon.com/organizations/latest/APIReference/API_DeregisterDelegatedAdministrator.html](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DeregisterDelegatedAdministrator.html)funzionamento dell'API Organizations. Se utilizzi il AWS CLI, esegui il [deregister-delegated-administrator](https://docs.aws.amazon.com/cli/latest/reference/organizations/deregister-delegated-administrator.html)comando. Fornisci l'ID account dell'amministratore delegato e il responsabile del servizio per Security Hub CSPM, che è. `securityhub.amazonaws.com`

L'esempio seguente rimuove l'amministratore CSPM delegato di Security Hub. Questo esempio è formattato per Linux, macOS o Unix e utilizza il carattere di continuazione di barra rovesciata (\$1) per migliorare la leggibilità.

```
$ aws organizations deregister-delegated-administrator --account-id 123456789012 --service-principal securityhub.amazonaws.com
```

------

## Rimozione dell'amministratore delegato (console Security Hub CSPM)
<a name="remove-admin-console"></a>

È possibile utilizzare la console CSPM di Security Hub per rimuovere l'amministratore CSPM di Security Hub delegato in tutte le regioni.

Quando l'account amministratore delegato di Security Hub CSPM viene rimosso, gli account membro vengono dissociati dall'account amministratore CSPM di Security Hub delegato rimosso.

Il CSPM di Security Hub è ancora abilitato negli account dei membri. Diventano account autonomi finché un nuovo amministratore CSPM di Security Hub non li abilita come account membro.

Se l'account di gestione dell'organizzazione non è un account abilitato in Security Hub CSPM, utilizza l'opzione nella pagina **CSPM di benvenuto in Security Hub**.

**Per rimuovere l'account amministratore CSPM di Security Hub delegato dalla pagina CSPM di **benvenuto in Security Hub****

1. Aprire la console CSPM AWS di Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Scegli **Vai a Security Hub**.

1. In **Amministratore delegato**, scegli **Rimuovi**.

Se l'account di gestione dell'organizzazione è un account abilitato in **Security Hub**, utilizza l'opzione nella scheda **Generale** della pagina **Impostazioni**.

****Per rimuovere l'account amministratore CSPM di Security Hub delegato dalla pagina Impostazioni****

1. Aprire la console CSPM AWS di Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. **Nel pannello di navigazione CSPM di Security Hub, scegli Impostazioni.** **Quindi scegli Generale.**

1. In **Amministratore delegato**, scegli **Rimuovi**.

## Rimozione dell'amministratore delegato (Security Hub CSPM API,) AWS CLI
<a name="remove-admin-api"></a>

È possibile utilizzare l'API CSPM di Security Hub o le operazioni CSPM di Security Hub per rimuovere l'amministratore CSPM AWS CLI delegato di Security Hub. Quando si rimuove l'amministratore delegato con uno di questi metodi, questo viene rimosso solo nella regione in cui è stata emessa la chiamata o il comando API. Security Hub CSPM non aggiorna altre regioni e non rimuove l'account amministratore delegato in. AWS Organizations

Scegli il tuo metodo preferito e segui questi passaggi per rimuovere l'account amministratore delegato di Security Hub CSPM con Security Hub CSPM.

------
#### [ Security Hub CSPM API, AWS CLI ]

**Per rimuovere l'amministratore CSPM delegato di Security Hub**

Dall'account di gestione dell'organizzazione, utilizza il [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisableOrganizationAdminAccount.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisableOrganizationAdminAccount.html)funzionamento dell'API CSPM Security Hub. Se utilizzi il AWS CLI, esegui il comando. [https://docs.aws.amazon.com/cli/latest/reference/securityhub/disable-organization-admin-account.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/disable-organization-admin-account.html) Fornisci l'ID account dell'amministratore CSPM di Security Hub delegato.

L'esempio seguente rimuove l'amministratore CSPM delegato di Security Hub. Questo esempio è formattato per Linux, macOS o Unix e utilizza il carattere di continuazione di barra rovesciata (\$1) per migliorare la leggibilità.

```
$ aws securityhub disable-organization-admin-account --admin-account-id 123456789012
```

------

# Disattivazione dell'integrazione CSPM di Security Hub con AWS Organizations
<a name="disable-orgs-integration"></a>

Dopo l'integrazione di un' AWS Organizations organizzazione con AWS Security Hub CSPM, l'account di gestione Organizations può successivamente disabilitare l'integrazione. Come utente dell'account di gestione Organizations, puoi farlo disabilitando l'accesso affidabile per Security Hub CSPM in. AWS Organizations

Quando si disabilita l'accesso affidabile per Security Hub CSPM, si verifica quanto segue:
+ Security Hub CSPM perde lo status di servizio affidabile in. AWS Organizations
+ L'account amministratore delegato CSPM di Security Hub perde l'accesso alle impostazioni, ai dati e alle risorse CSPM di Security Hub per tutti gli account membri CSPM di Security Hub. Regioni AWS
+ Se stavi utilizzando la [configurazione centrale](central-configuration-intro.md), Security Hub CSPM smette automaticamente di utilizzarla per la tua organizzazione. Le policy di configurazione e le associazioni di policy vengono eliminate. Gli account mantengono le configurazioni che avevano prima della disattivazione dell'accesso affidabile.
+ Tutti gli account membri di Security Hub CSPM diventano account autonomi e mantengono le impostazioni correnti. Se Security Hub CSPM è stato abilitato per un account membro in una o più regioni, Security Hub CSPM continua a essere abilitato per l'account in tali regioni. Anche gli standard e i controlli abilitati rimangono invariati. Puoi modificare queste impostazioni separatamente in ogni account e regione. Tuttavia, l'account non è più associato a un amministratore delegato in nessuna regione.

Per ulteriori informazioni sui risultati della disabilitazione dell'accesso affidabile ai servizi, vedere [Using AWS Organizations with other Servizi AWS nella Guida](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html) per l'*AWS Organizations utente*. 

Per disabilitare l'accesso affidabile, puoi utilizzare la AWS Organizations console, l'API Organizations o AWS CLI. Solo un utente dell'account di gestione Organizations può disabilitare l'accesso affidabile ai servizi per Security Hub CSPM. *Per i dettagli sulle autorizzazioni necessarie, consulta [Autorizzazioni necessarie per disabilitare l'accesso affidabile nella Guida per](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html#orgs_trusted_access_disable_perms) l'utente.AWS Organizations *

Prima di disabilitare l'accesso affidabile, consigliamo di collaborare con l'amministratore delegato dell'organizzazione per disabilitare Security Hub CSPM negli account dei membri e per ripulire le risorse CSPM di Security Hub in tali account.

Scegli il tuo metodo preferito e segui i passaggi per disabilitare l'accesso affidabile per Security Hub CSPM.

------
#### [ Organizations console ]

**Per disabilitare l'accesso affidabile per Security Hub CSPM**

1. Accedi Console di gestione AWS utilizzando le credenziali dell'account di gestione. AWS Organizations 

1. Apri la console Organizations all'indirizzo [https://console.aws.amazon.com/organizations/](https://console.aws.amazon.com/organizations/).

1. Nel riquadro di navigazione, scegli **Servizi**.

1. In **Servizi integrati**, scegli **AWS Security Hub CSPM**.

1. Scegli **Disable trusted access (Disabilita accesso attendibile)**.

1. Conferma di voler disabilitare l'accesso affidabile.

------
#### [ Organizations API ]

**Per disabilitare l'accesso affidabile per Security Hub CSPM**

Richiama l'operazione [Disable AWSService Access](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html) dell'API. AWS Organizations Per il `ServicePrincipal` parametro, specificare il principale del servizio CSPM di Security Hub ()`securityhub.amazonaws.com`.

------
#### [ AWS CLI ]

**Per disabilitare l'accesso affidabile per Security Hub CSPM**

Esegui il [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)comando dell'API. AWS Organizations Per il `service-principal` parametro, specificare il principale del servizio CSPM di Security Hub ()`securityhub.amazonaws.com`.

**Esempio**:

```
aws organizations disable-aws-service-access --service-principal securityhub.amazonaws.com
```

------

# Abilitazione automatica di Security Hub CSPM nei nuovi account dell'organizzazione
<a name="accounts-orgs-auto-enable"></a>

Quando nuovi account entrano a far parte dell'organizzazione, vengono aggiunti all'elenco nella pagina **Account** della console CSPM di AWS Security Hub. Per gli account dell'organizzazione, **Tipo** è **Per organizzazione**. Per impostazione predefinita, i nuovi account non diventano membri del Security Hub CSPM quando entrano a far parte dell'organizzazione. Il loro stato è **Non membro**. L'account amministratore delegato può aggiungere automaticamente nuovi account come membri e abilitare Security Hub CSPM in questi account quando entrano a far parte dell'organizzazione.

**Nota**  
Sebbene molti Regioni AWS siano attivi per impostazione predefinita per l'utente Account AWS, è necessario attivare alcune regioni manualmente. In questo documento, queste regioni sono chiamate regioni opt-in. Per abilitare automaticamente Security Hub CSPM in un nuovo account in una regione opt-in, l'account deve prima avere quella regione attivata. Solo il proprietario dell'account può attivare la regione di attivazione. Per ulteriori informazioni sulle regioni che richiedono l'iscrizione, vedi [Specificare quali possono essere utilizzate dal Regioni AWS tuo account](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html).

Questo processo è diverso a seconda che si utilizzi la configurazione centrale (consigliata) o la configurazione locale.

## Abilitazione automatica di nuovi account aziendali (configurazione centrale)
<a name="central-configuration-auto-enable"></a>

Se si utilizza la [configurazione centrale](central-configuration-intro.md), è possibile abilitare automaticamente Security Hub CSPM negli account dell'organizzazione nuovi ed esistenti creando una politica di configurazione in cui sia abilitato Security Hub CSPM. È quindi possibile associare la politica alla radice dell'organizzazione o a unità organizzative specifiche (). OUs

Se si associa una politica di configurazione in cui Security Hub CSPM è abilitato a un'unità organizzativa specifica, Security Hub CSPM viene automaticamente abilitato in tutti gli account (esistenti e nuovi) che appartengono a quell'unità organizzativa. I nuovi account che non appartengono all'unità organizzativa vengono gestiti automaticamente e non hanno automaticamente il Security Hub CSPM abilitato. Se si associa una politica di configurazione in cui Security Hub CSPM è abilitato alla radice, Security Hub CSPM viene automaticamente abilitato in tutti gli account (esistenti e nuovi) che entrano a far parte dell'organizzazione. Le eccezioni si verificano se un account utilizza una politica diversa tramite l'applicazione o l'ereditarietà o è autogestito.

Nella politica di configurazione, è inoltre possibile definire quali standard e controlli di sicurezza devono essere abilitati nell'unità organizzativa. Per generare risultati di controllo per gli standard abilitati, gli account nell'unità organizzativa devono essere AWS Config abilitati e configurati per registrare le risorse richieste. Per ulteriori informazioni sulla AWS Config registrazione, vedere [Attivazione e configurazione AWS Config](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-prereq-config.html).

Per istruzioni sulla creazione di una politica di configurazione, vedere[Creazione e associazione di policy di configurazione](create-associate-policy.md).

## Abilitazione automatica di nuovi account aziendali (configurazione locale)
<a name="limited-configuration-auto-enable"></a>

Quando si utilizza la configurazione locale e si attiva l'abilitazione automatica degli standard predefiniti, Security Hub CSPM aggiunge *nuovi* account dell'organizzazione come membri e abilita Security Hub CSPM in essi nella regione corrente. Le altre regioni non sono interessate. Inoltre, l'attivazione dell'abilitazione automatica non abilita Security Hub CSPM negli account aziendali *esistenti*, a meno che non siano già stati aggiunti come account membro.

Dopo aver attivato l'abilitazione automatica, gli standard di sicurezza predefiniti vengono abilitati per i nuovi account membro nella regione corrente quando entrano a far parte dell'organizzazione. Gli standard predefiniti sono AWS Foundational Security Best Practices (FSBP) e Center for Internet Security (CIS) Foundations Benchmark v1.2.0. AWS Non è possibile modificare gli standard predefiniti. Se desideri abilitare altri standard all'interno dell'organizzazione o abilitare gli standard per determinati account OUs, ti consigliamo di utilizzare la configurazione centralizzata.

Per generare risultati di controllo per gli standard predefiniti (e altri standard abilitati), gli account dell'organizzazione devono essere AWS Config abilitati e configurati per registrare le risorse richieste. Per ulteriori informazioni sulla AWS Config registrazione, vedere [Attivazione e configurazione AWS Config](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-prereq-config.html).

Scegli il tuo metodo preferito e segui i passaggi per abilitare automaticamente Security Hub CSPM nei nuovi account dell'organizzazione. Queste istruzioni si applicano solo se si utilizza la configurazione locale.

------
#### [ Security Hub CSPM console ]

**Per abilitare automaticamente i nuovi account dell'organizzazione come membri CSPM di Security Hub**

1. Aprire la console CSPM AWS di Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Sign utilizza le credenziali dell'account amministratore delegato.

1. **Nel pannello di navigazione CSPM di Security Hub, in **Impostazioni**, scegli Configurazione.**

1. Nella sezione **Account**, attiva l'attivazione **automatica** degli account.

------
#### [ Security Hub CSPM API ]

**Per abilitare automaticamente i nuovi account dell'organizzazione come membri CSPM di Security Hub**

Richiama l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html)API dall'account amministratore delegato. Imposta il `AutoEnable` campo su per `true` abilitare automaticamente Security Hub CSPM nei nuovi account dell'organizzazione.

------
#### [ AWS CLI ]

**Per abilitare automaticamente i nuovi account dell'organizzazione come membri CSPM di Security Hub**

Esegui il [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html)comando dall'account amministratore delegato. Includi il `auto-enable` parametro per abilitare automaticamente Security Hub CSPM nei nuovi account dell'organizzazione.

```
aws securityhub update-organization-configuration --auto-enable
```

------

# Abilitazione manuale di Security Hub CSPM nei nuovi account dell'organizzazione
<a name="orgs-accounts-enable"></a>

Se non abiliti automaticamente Security Hub CSPM nei nuovi account dell'organizzazione quando entrano a far parte dell'organizzazione, puoi aggiungere tali account come membri e abilitare il CSPM di Security Hub manualmente dopo l'adesione all'organizzazione. È inoltre necessario abilitare manualmente Security Hub CSPM in quanto in precedenza Account AWS si è dissociati da un'organizzazione.

**Nota**  
[Questa sezione non si applica all'utente se si utilizza la configurazione centrale.](central-configuration-intro.md) Se si utilizza la configurazione centrale, è possibile creare politiche di configurazione che abilitano Security Hub CSPM in account membri e unità organizzative specifici ()OUs. È inoltre possibile abilitare standard e controlli specifici in tali account e. OUs

Non puoi abilitare Security Hub CSPM in un account se è già un account membro di un'altra organizzazione.

Inoltre, non puoi abilitare Security Hub CSPM in un account attualmente sospeso. Se tenti di abilitare il servizio in un account sospeso, lo stato dell'account cambia in **Account** sospeso.
+ Se l'account non ha Security Hub CSPM abilitato, Security Hub CSPM è abilitato in quell'account. Nell'account sono abilitati anche lo standard AWS Foundational Security Best Practices (FSBP) e CIS AWS Foundations Benchmark v1.2.0, a meno che non vengano disattivati gli standard di sicurezza predefiniti.

  L'eccezione è rappresentata dall'account di gestione Organizations. Security Hub CSPM non può essere abilitato automaticamente nell'account di gestione Organizations. È necessario abilitare manualmente Security Hub CSPM nell'account di gestione Organizations prima di poterlo aggiungere come account membro.
+ Se l'account ha già abilitato Security Hub CSPM, Security Hub CSPM non apporta altre modifiche all'account. Abilita solo l'iscrizione.

Affinché Security Hub CSPM generi i risultati del controllo, gli account dei membri devono essere AWS Config abilitati e configurati per registrare le risorse richieste. Per ulteriori informazioni, consulta [Abilitazione e configurazione di AWS Config](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-prereq-config.html).

Scegli il tuo metodo preferito e segui i passaggi per abilitare un account dell'organizzazione come account membro del Security Hub CSPM.

------
#### [ Security Hub CSPM console ]

**Per abilitare manualmente gli account dell'organizzazione come membri CSPM di Security Hub**

1. Aprire la console CSPM AWS di Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Accedi utilizzando le credenziali dell'account amministratore delegato.

1. **Nel pannello di navigazione CSPM di Security Hub, in **Impostazioni**, scegli Configurazione.**

1. Nell'elenco **Account**, seleziona ogni account dell'organizzazione che desideri abilitare.

1. Scegli **Azioni**, quindi scegli **Aggiungi membro**.

------
#### [ Security Hub CSPM API ]

**Per abilitare manualmente gli account dell'organizzazione come membri CSPM di Security Hub**

Richiama l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateMembers.html)API dall'account amministratore delegato. Per ogni account da abilitare, fornisci l'ID dell'account.

A differenza della procedura di invito manuale, quando `CreateMembers` richiami per abilitare un account dell'organizzazione, non devi inviare un invito.

------
#### [ AWS CLI ]

**Per abilitare manualmente gli account dell'organizzazione come membri CSPM di Security Hub**

Esegui il [https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-members.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-members.html)comando dall'account amministratore delegato. Per ogni account da abilitare, fornisci l'ID dell'account.

A differenza della procedura di invito manuale, quando `create-members` esegui l'attivazione di un account aziendale, non devi inviare un invito.

```
aws securityhub create-members --account-details '[{"AccountId": "<accountId>"}]'
```

**Esempio**

```
aws securityhub create-members --account-details '[{"AccountId": "123456789111"}, {"AccountId": "123456789222"}]'
```

------

# Dissociazione degli account dei membri di Security Hub CSPM dall'organizzazione
<a name="accounts-orgs-disassociate"></a>

Per interrompere la ricezione e la visualizzazione dei risultati da un account membro CSPM di AWS Security Hub, puoi dissociare l'account membro dalla tua organizzazione.

**Nota**  
Se si utilizza la [configurazione centrale](central-configuration-intro.md), la dissociazione funziona in modo diverso. È possibile creare una politica di configurazione che disabiliti Security Hub CSPM in uno o più account membro gestiti centralmente. Dopodiché, questi account fanno ancora parte dell'organizzazione, ma non genereranno risultati CSPM di Security Hub. Se utilizzi la configurazione centrale ma disponi anche di account membri invitati manualmente, puoi dissociare uno o più account invitati manualmente.

Gli account membro gestiti utilizzando non AWS Organizations possono dissociare i propri account dall'account amministratore. Solo l'account amministratore può dissociare un account membro.

La dissociazione di un account membro non comporta la chiusura dell'account. Rimuove invece l'account membro dall'organizzazione. L'account membro dissociato diventa autonomo Account AWS e non è più gestito dall'integrazione CSPM di Security Hub con. AWS Organizations

Scegli il tuo metodo preferito e segui i passaggi per dissociare un account membro dall'organizzazione.

------
#### [ Security Hub CSPM console ]

**Per dissociare un account membro dall'organizzazione**

1. Aprire la console CSPM AWS di Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Accedi utilizzando le credenziali dell'account amministratore delegato.

1. **Nel riquadro di navigazione, in **Impostazioni**, scegli Configurazione.**

1. Nella sezione **Account**, seleziona gli account da cui desideri dissociare. Se utilizzi la configurazione centrale, puoi selezionare un account invitato manualmente da dissociare dalla scheda. `Invitation accounts` Questa scheda è visibile solo se si utilizza la configurazione centrale.

1. Scegli **Azioni**, quindi scegli **Dissocia account**.

------
#### [ Security Hub CSPM API ]

**Per dissociare un account membro dall'organizzazione**

Richiama l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisassociateMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisassociateMembers.html)API dall'account amministratore delegato. È necessario fornire il codice Account AWS IDs per la dissociazione degli account dei membri. Per visualizzare un elenco di account membri, richiama l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListMembers.html)API.

------
#### [ AWS CLI ]

**Per dissociare un account membro dall'organizzazione**

Esegui il `disassociate-members` comando [>](https://docs.aws.amazon.com/cli/latest/reference/securityhub/disassociate-members.html) dall'account amministratore delegato. È necessario fornire il codice Account AWS IDs per la dissociazione degli account dei membri. Per visualizzare un elenco di account membri, esegui il `list-members` comando [>](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-members.html).

```
aws securityhub disassociate-members --account-ids "<accountIds>"
```

**Esempio**

```
aws securityhub disassociate-members --account-ids "123456789111" "123456789222"
```

------

 Puoi anche utilizzare la AWS Organizations console o AWS SDKs dissociare un account membro dalla tua organizzazione. AWS CLI Per ulteriori informazioni, consulta [Rimuovere un account membro dall'organizzazione](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_remove.html) nella *Guida per l'AWS Organizations utente*.