As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Comparar metas gerenciadas centralmente e autogerenciadas

Quando você ativa a configuração central, o AWS Security Hub administrador delegado pode designar cada conta da organização, unidade organizacional (OU) e raiz como gerenciada centralmente ou autogerenciada. O tipo de gerenciamento de um alvo determina como você pode especificar suas configurações do Security Hub.

Para obter informações contextuais sobre os benefícios da configuração central e como ela funciona, consulte Entender a configuração central no Security Hub.

Esta seção explica as diferenças entre uma designação gerenciada centralmente e autogerenciada, e como escolher o tipo de gerenciamento de uma conta, de uma UO ou da raiz.

O administrador delegado pode alternar o status de um alvo entre autogerenciado e gerenciado centralmente. Por padrão, todas as contas e UO são autogerenciadas quando você inicia a configuração central por meio do Security HubAPI. No console, o tipo de gerenciamento dependerá da sua primeira política de configuração. As contas OUs que você associa à sua primeira política são gerenciadas centralmente. Outras contas e OUs são autogerenciadas por padrão.

Se você associar uma política de configuração a uma conta autogerenciada anteriormente, as configurações da política substituirão a designação autogerenciada. A conta passará a ser gerenciada centralmente e adotará as configurações refletidas na política de configuração.

Se você alterar uma conta gerenciada centralmente para uma conta autogerenciada, as configurações que foram aplicadas anteriormente à conta por meio de uma política de configuração permanecerão em vigor. Por exemplo, uma conta gerenciada centralmente poderia inicialmente ser associada a uma política que habilitasse o Security Hub, habilitasse o AWS Foundational Security Best Practices v1.0.0 e desabilitasse .1. CloudTrail Se você designar a conta como autogerenciada, todas as configurações permanecerão inalteradas. No entanto, o proprietário da conta pode alterar de forma independente as configurações da conta daqui para frente.

A criança conta e OUs pode herdar o comportamento autogerenciado de um pai autogerenciado, da mesma forma que contas secundárias e OUs pode herdar políticas de configuração de um pai gerenciado centralmente. Para obter mais informações, consulte Associação de políticas por meio de aplicação e herança.

Uma conta autogerenciada ou UO não pode herdar uma política de configuração de um nó superior ou da raiz. Por exemplo, se você quiser que todas as contas e OUs em sua organização herdem uma política de configuração da raiz, você deve alterar o tipo de gerenciamento dos nós autogerenciados para gerenciados centralmente.

Opções para definir configurações em contas autogerenciadas

As contas autogerenciadas devem definir suas próprias configurações separadamente em cada região.

Os proprietários de contas autogerenciadas podem invocar as seguintes operações do Security Hub API em cada região para definir suas configurações:

As contas autogerenciadas também podem usar as operações *Invitations e *Members. Porém, recomendamos que as contas autogerenciadas não usem essas operações. As associações de políticas podem não funcionar se uma conta-membro tiver seus os próprios membros e eles fizerem parte de uma organização diferente da organização do administrador delegado.

Para obter descrições das API ações do Security Hub, consulte a AWS Security Hub APIReferência.

As contas autogerenciadas também podem usar o console do Security Hub ou AWS CLI definir suas configurações em cada região.

As contas autogerenciadas não podem invocar nenhuma APIs relacionada às políticas de configuração e associações de políticas do Security Hub. Somente o administrador delegado pode invocar a configuração central APIs e usar políticas de configuração para configurar contas gerenciadas centralmente.

Escolher o tipo de gerenciamento de um alvo

Escolha seu método preferido e siga as etapas para designar uma conta ou UO como gerenciada centralmente ou autogerenciada no AWS Security Hub.

Security Hub console

Para escolher o tipo de gerenciamento de uma conta ou OU

1. Abra o AWS Security Hub console em https://console.aws.amazon.com/securityhub/.

   Faça login usando as credenciais da conta do administrador delegado do Security Hub na região inicial.

2. Escolher configuração.

3. Na guia Organização, selecione a conta ou OU de destino. Selecione a opção Editar.

4. Na página Definir configuração, em Tipo de gerenciamento, escolha Gerenciada centralmente se quiser que o administrador delegado configure a conta ou OU de destino. Em seguida, escolha Aplicar uma política específica se quiser associar uma política de configuração existente ao destino. Escolha Herdar da minha organização se desejar que o destino herde a configuração do pai mais próximo. Escolha Autogerenciado se desejar que a conta ou OU defina suas próprias configurações.

5. Escolha Próximo. Revise suas alterações e escolha Salvar.

Security Hub API

Para escolher o tipo de gerenciamento de uma conta ou OU

1. Invoque o StartConfigurationPolicyAssociationAPIda conta de administrador delegado do Security Hub na região de origem.

2. No campo ConfigurationPolicyIdentifier, forneça SELF_MANAGED_SECURITY_HUB se você deseja que a conta ou OU controle suas próprias configurações. Forneça o nome de recurso da Amazon (ARN) ou o ID da política de configuração relevante se quiser que o administrador delegado controle as configurações da conta ou da OU.

3. Para o Target campo, forneça o Conta da AWS ID, ID da OU ou ID raiz do destino cujo tipo de gerenciamento você deseja alterar. Isso associará o comportamento autogerenciado ou a política de configuração especificada ao destino. As contas filhas do destino podem herdar o comportamento autogerenciado ou a política de configuração.

Exemplo de API solicitação para designar uma conta autogerenciada:

{
    "ConfigurationPolicyIdentifier": "SELF_MANAGED_SECURITY_HUB",
    "Target": {"AccountId": "123456789012"}
}
                

AWS CLI

Para escolher o tipo de gerenciamento de uma conta ou OU

1. Execute a start-configuration-policy-associationcomando da conta de administrador delegado do Security Hub na região de origem.

2. No campo configuration-policy-identifier, forneça SELF_MANAGED_SECURITY_HUB se você deseja que a conta ou OU controle suas próprias configurações. Forneça o nome de recurso da Amazon (ARN) ou ID da política de configuração relevante se quiser que o administrador delegado controle as configurações da conta ou da OU.

3. Para o target campo, forneça o Conta da AWS ID, ID da OU ou ID raiz do destino cujo tipo de gerenciamento você deseja alterar. Isso associará o comportamento autogerenciado ou a política de configuração especificada ao destino. As contas filhas do destino podem herdar o comportamento autogerenciado ou a política de configuração.

Exemplo de comando para designar uma conta autogerenciada:

aws securityhub --region us-east-1 start-configuration-policy-association \
--configuration-policy-identifier "SELF_MANAGED_SECURITY_HUB" \
--target '{"AccountId": "123456789012"}'