AWS Security Hub e AWS Organizations - AWS Organizations
Funções vinculadas a serviçoEntidades de serviço primáriasHabilitar acesso confiávelDesabilitar acesso confiávelComo habilitar um administrador delegado para o Security HubComo desabilitar um administrador delegado para o Security Hub

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

AWS Security Hub e AWS Organizations

O AWS Security Hub fornece uma visão abrangente do estado de sua segurança na AWS e ajuda a verificar o ambiente de acordo com os padrões e as melhores práticas do setor de segurança.

O Security Hub coleta dados de segurança de todas as suas Contas da AWS, dos Serviços da AWSque você usa e dos produtos suportados de parceiros terceirizados. Ele ajuda você a analisar suas tendências de segurança e a identificar os problemas de segurança de maior prioridade.

Quando você usa o Security Hub e o AWS Organizations juntos, pode habilitar automaticamente o Security Hub para todas as suas contas, incluindo novas contas à medida que são adicionadas. Isso aumenta a cobertura para as verificações e as detecções do Security Hub, o que fornece uma imagem mais completa e exata do seu procedimento de segurança em geral.

Para obter mais informações sobre o Security Hub, consulte o Guia do usuário do AWS Security Hub.

Use as informações a seguir para ajudá-lo a integrar o AWS Security Hub ao AWS Organizations.

Funções vinculadas ao serviço, criadas quando você habilitou a integração

A função vinculada ao serviço a seguir é criada automaticamente na conta de gerenciamento de sua organização quando você habilita o acesso confiável. Essa função permite que o Security Hub realize as operações suportadas nas contas de sua organização.

Você só pode excluir ou modificar essa função se desabilitar o acesso confiável entre o Security Hub e o Organizations, ou se remover a conta-membro da organização.

  • AWSServiceRoleForSecurityHub

Entidades de serviço primárias usadas pelas funções vinculadas ao serviço

A função vinculada ao serviço na seção anterior pode ser assumida apenas pelas entidades de serviço primárias autorizadas pelas relações de confiança definidas para a função. As funções vinculadas ao serviço usadas pelo Security Hub concedem acesso às seguintes entidades de serviço primárias:

  • securityhub.amazonaws.com

Habilitar o acesso confiável no Security Hub

Para obter informações sobre as permissões necessárias para habilitar acesso confiável, consulte Permissões necessárias para habilitar o acesso confiável.

Quando você designa um administrador delegado para o Security Hub, o Security Hub habilita automaticamente o acesso confiável para o Security Hub em sua organização.

Desabilitar o acesso confiável com o Security Hub

Para obter informações sobre as permissões necessárias para desabilitar o acesso confiável, consulte Permissões necessárias para desabilitar o acesso confiável no Guia do usuário do AWS Organizations.

Antes de desabilitar o acesso confiável, recomendamos trabalhar com o administrador delegado da sua organização para desabilitar o Security Hub em contas-membro e limpar os recursos do Security Hub nessas contas.

Para desabilitar o acesso confiável, você pode usar o console do AWS Organizations, a API do Organizations ou a AWS CLI. Apenas um administrador na conta de gerenciamento Organizations pode desabilitar o acesso confiável com o Security Hub.

Para obter instruções sobre como desabilitar o acesso confiável com o Security Hub, consulte Desabilitação da integração do Security Hub com o AWS Organizations.

Como habilitar um administrador delegado para o Security Hub

Quando você designa uma conta-membro como administrador delegado para a organização, os usuários e funções dessa conta podem executar ações administrativas para o Security Hub que, de outra forma, só podem ser executadas por usuários ou funções na conta de gerenciamento da organização. Isso ajuda você a separar o gerenciamento da organização do gerenciamento do Security Hub.

Para obter mais informações, consulte Designar uma conta de administrador do Security Hub no Guia do usuário do AWS Security Hub.

Para designar uma conta-membro como administrador delegado do Security Hub

  1. Faça login com a sua conta de gerenciamento do Organizations.

  2. Execute um dos seguintes:

    • Se sua conta de gerenciamento não tiver o Security Hub habilitado, no console do Security Hub, escolha Go to Security Hub (Ir para o Security Hub).

    • Se sua conta de gerenciamento tiver o Security Hub habilitado, no console do Security Hub, selecione Settings em General.

  3. Em Delegated Administrator (Administrador delegado), insira o ID da conta.

Como desabilitar um administrador delegado para o Security Hub

Somente a conta de gerenciamento da organização pode remover uma conta de administrador delegado do Security Hub.

Para alterar o administrador delegado do Security Hub, você deve primeiro remover a conta atual do administrador delegado e depois designar outra.

Se você usar o console do Security Hub para remover o administrador delegado em uma região, ele será removido automaticamente em todas as regiões.

A API do Security Hub só remove a conta de administrador delegado do Security Hub da região em que o comando ou a chamada de API são emitidos. Você deve repetir a ação em outras regiões.

Se você usar a API do Organizations para remover a conta de administrador delegado do Security Hub, ela será removida automaticamente de todas as regiões.

Para obter instruções sobre como desabilitar o administrador delegado do Security Hub, consulte Remover ou alterar o administrador delegado.