Habilitação automática do Security Hub em novas contas da organização - AWS Security Hub

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Habilitação automática do Security Hub em novas contas da organização

Quando novas contas ingressam na sua organização, elas são adicionadas à lista na página Contas do AWS Security Hub console. Para contas da organização, o Tipo é Por organização. Por padrão, novas contas não se tornam membros do Security Hub quando ingressam na organização. O status delas é Não é membro. A conta de administrador delegado pode adicionar automaticamente novas contas como membros e habilitar o Security Hub nessas contas quando elas ingressam na organização.

nota

Apesar de muitos Regiões da AWS estão ativos por padrão para o seu Conta da AWS, você deve ativar determinadas regiões manualmente. Essas regiões são chamadas de regiões opcionais neste documento. Para habilitar automaticamente o Security Hub em uma nova conta em uma região opcional, a conta deve ter essa região ativada primeiro. Somente o proprietário da conta pode ativar a região de inscrição. Para obter mais informações sobre regiões opcionais, consulte Especificar quais Regiões da AWS sua conta pode usar.

Esse processo é diferente dependendo de você usar a configuração central (recomendada) ou a configuração local.

Habilitação automática de novas contas da organização (configuração central)

Se você usar a configuração central, poderá habilitar automaticamente o Security Hub em contas novas e existentes da organização criando uma política de configuração na qual o Security Hub esteja ativado. Em seguida, você pode associar a política à raiz da organização ou a unidades organizacionais específicas (OUs).

Se você associar uma política de configuração na qual o Security Hub esteja habilitado a uma OU específica, o Security Hub será habilitado automaticamente em todas as contas (existentes e novas) que pertençam a essa OU. As novas contas que não pertençam à OU são autogerenciadas e não têm o Security Hub habilitado automaticamente. Se você associar uma política de configuração na qual o Security Hub esteja habilitado à raiz, o Security Hub será habilitado automaticamente em todas as contas (existentes e novas) que ingressem na organização. As exceções são se uma conta usar uma política diferente por meio de aplicação ou herança, ou se for autogerenciada.

Em sua política de configuração, você também pode definir quais padrões e controles de segurança devem ser habilitados na OU. Para gerar descobertas de controle para padrões habilitados, as contas na OU devem ter AWS Config ativado e configurado para registrar os recursos necessários. Para obter mais informações sobre AWS Config gravação, consulte Habilitando e configurando AWS Config.

Para obter instruções sobre como criar uma política de configuração, consulte Criação e associação de políticas de configuração.

Habilitação automática de novas contas da organização (configuração local)

Quando você usa a configuração local e ativa a ativação automática dos padrões padrão, o Security Hub adiciona novas contas da organização como membros e ativa o Security Hub nelas na região atual. As outras regiões não são afetadas. Além disso, ativar a habilitação automática não habilita o Security Hub nas contas existentes da organização, a menos que elas já tenham sido adicionadas como contas-membro.

Depois de ativar a ativação automática, os padrões de segurança padrão são habilitados para novas contas de membros na região atual quando eles ingressam na organização. Os padrões padrão são AWS Melhores práticas básicas de segurança (FSBP) e Center for Internet Security () CIS AWS Benchmark de fundamentos v1.2.0. Não é possível alterar os padrões padrão. Se você quiser habilitar outros padrões em toda a sua organização ou habilitar padrões para contas selecionadasOUs, recomendamos usar a configuração central.

Para gerar descobertas de controle para os padrões padrão (e outros padrões habilitados), as contas em sua organização devem ter AWS Config ativado e configurado para registrar os recursos necessários. Para obter mais informações sobre AWS Config gravação, consulte Habilitando e configurando AWS Config.

Escolha seu método preferido e siga as etapas para habilitar automaticamente o Security Hub em novas contas da organização. Essas instruções se aplicam somente se você usar a configuração local.

Security Hub console
Para habilitar automaticamente novas contas da organização como membros do Security Hub
  1. Abra as AWS Security Hub console em https://console.aws.amazon.com/securityhub/.

    Faça login usando as credenciais da conta do administrador delegado.

  2. No painel de navegação do Security Hub, em Configurações, escolha Configuração.

  3. Na seção Contas, ative a Habilitação automática de contas.

Security Hub API

Para habilitar automaticamente novas contas da organização como membros do Security Hub

Invoque o UpdateOrganizationConfigurationAPIda conta do administrador delegado. Defina o campo AutoEnable como true para habilitar automaticamente o Security Hub nas novas contas da organização.

AWS CLI

Para habilitar automaticamente novas contas da organização como membros do Security Hub

Execute o comando update-organization-configuration a partir da conta do administrador delegado. Inclua o parâmetro auto-enable para habilitar automaticamente o Security Hub em novas contas da organização.

aws securityhub update-organization-configuration --auto-enable