Integrando o Security Hub com AWS Organizations - AWS Security Hub
Criar uma organizaçãoRecomendações para a escolha do administrador delegado do Security HubVerificar as permissões para configurar o administrador delegadoDesignar o administrador delegado

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Integrando o Security Hub com AWS Organizations

Para integrar AWS Security Hub e AWS Organizations, você cria uma organização no Organizations e usa a conta de gerenciamento da organização para designar uma conta delegada de administrador do Security Hub. Isso habilita o Security Hub como um serviço confiável no Organizations. Essa ação também habilita o Security Hub na Região da AWS atual para a conta de administrador delegado e permite que o administrador delegado habilite o Security Hub para as contas-membro, visualize dados nas contas-membro e realize outras ações permitidas nas contas-membro.

Se você usar a configuração central, o administrador delegado também poderá criar políticas de configuração do Security Hub que especifiquem como o serviço, os padrões e os controles do Security Hub devem ser configurados nas contas da organização.

Criar uma organização

Uma organização é uma entidade que você cria para consolidar a sua Contas da AWS , de forma que você possa administrá-la como uma única unidade.

Você pode criar uma organização usando o AWS Organizations console ou usando um comando do AWS CLI ou de um dos SDKAPIs. Para obter instruções detalhadas, consulte Criação de uma organização no Guia do usuário do AWS Organizations .

Você pode usar AWS Organizations para visualizar e gerenciar centralmente todas as contas em sua organização. Uma organização tem uma conta de gerenciamento primária com zero ou mais contas-membro. Você pode organizar as contas em uma estrutura hierárquica em forma de árvore com uma raiz na parte superior e unidades organizacionais (OUs) aninhadas abaixo da raiz. Cada conta pode estar diretamente abaixo da raiz ou colocada em uma das da OUs hierarquia. Uma OU é um contêiner para contas específicas. Por exemplo, é possível criar uma OU de finanças que inclua todas as contas relacionadas a operações financeiras.

Recomendações para a escolha do administrador delegado do Security Hub

Se você tiver uma conta de administrador criada a partir do processo de convite manual e estiver fazendo a transição para o gerenciamento de contas com AWS Organizations, recomendamos designar essa conta como administrador delegado do Security Hub.

Embora o Security Hub APIs e o console permitam que a conta de gerenciamento da organização seja o administrador delegado do Security Hub, recomendamos escolher duas contas diferentes. Isso ocorre porque os usuários que têm acesso à conta de gerenciamento da organização para gerenciar o faturamento provavelmente são diferentes dos usuários que precisam acessar o Security Hub para gerenciamento de segurança.

Recomendamos o uso da mesma conta de administrador delegado nas regiões. Se você optar pela configuração central, o Security Hub designará automaticamente o mesmo administrador delegado em sua região inicial e em qualquer região vinculada.

Verificar as permissões para configurar o administrador delegado

Para designar e remover uma conta de administrador delegado do Security Hub, a conta de gerenciamento da organização deve ter permissões para as ações EnableOrganizationAdminAccount e DisableOrganizationAdminAccount no Security Hub. A conta de gerenciamento do Organizations também deve ter permissões administrativas para o Organizations.

Para conceder todas as permissões necessárias, anexe as seguintes políticas gerenciadas do Security Hub ao IAM diretor da conta de gerenciamento da organização:

Designar o administrador delegado

Para designar a conta delegada do administrador do Security Hub, você pode usar o console do Security Hub, o Security Hub API ou. AWS CLI O Security Hub define o administrador delegado Região da AWS somente no atual, e você deve repetir a ação em outras regiões. Se você começar a usar a configuração central, o Security Hub definirá automaticamente o mesmo administrador delegado na região inicial e nas regiões vinculadas.

A conta de gerenciamento da organização não precisa habilitar o Security Hub para designar a conta de administrador delegado do Security Hub.

Recomendamos que a conta de gerenciamento da organização não seja a conta de administrador do Security Hub. Porém, se você escolher a conta de gerenciamento da organização como a conta de administrador delegado do Security Hub, a conta de gerenciamento deverá ter o Security Hub habilitado. Se a conta de gerenciamento não tiver o Security Hub habilitado, você deverá habilitar o Security Hub para ela manualmente. O Security Hub não pode ser habilitado automaticamente para a conta de gerenciamento da organização.

Você deve designar o administrador delegado do Security Hub usando um dos métodos a seguir. A designação do administrador delegado do Security Hub com Organizations APIs não se reflete no Security Hub.

Escolha seu método preferido e siga as etapas para designar a conta de administrador delegado do Security Hub.

Security Hub console
Para designar o administrador delegado durante o onboarding

  1. Abra o AWS Security Hub console em https://console.aws.amazon.com/securityhub/.

  2. Escolha Ir para o Security Hub. Você será orientado a fazer login na conta de gerenciamento da organização.

  3. Na página Designar administrador delegado, na seção Conta de administrador delegado, especifique a conta de administrador delegado. Recomendamos escolher o mesmo administrador delegado que você definiu para outros serviços de segurança e conformidade da AWS .

  4. Escolha Definir administrador delegado. Você deverá entrar na conta de administrador delegado (se ainda não tiver feito isso) para continuar a integração com a configuração central. Se não quiser iniciar a configuração central, escolha Cancelar. Seu administrador delegado está definido, mas você ainda não está usando a configuração central.

Para designar o administrador delegado na página Configurações

  1. Abra o AWS Security Hub console em https://console.aws.amazon.com/securityhub/.

  2. No painel de navegação do Security Hub, escolha Configurações. Em seguida, escolha Geral.

  3. Se uma conta de administrador do Security Hub estiver atualmente atribuída, então antes de designar uma nova conta, você deverá remover a conta atual.

    Em Administrador delegado, para remover a conta atual, escolha Remover.

  4. Insira o ID da conta que você deseja designar como conta de administrador do Security Hub.

    É necessário designar a mesma conta de administrador do Security Hub em todas as regiões. Se você designar uma conta diferente da conta designada em outras regiões, o console retornará um erro.

  5. Selecione Delegar.

Security Hub API, AWS CLI

Na conta de gerenciamento da organização, use o EnableOrganizationAdminAccountoperação do Security HubAPI. Se você estiver usando o AWS CLI, execute o enable-organization-admin-accountcomando . Forneça o ID da Conta da AWS do administrador delegado do Security Hub.

O exemplo a seguir designa o administrador delegado do Security Hub. Este exemplo está formatado para Linux, macOS ou Unix e usa o caractere de continuação de linha “barra invertida (\)” para melhorar a legibilidade.

$ aws securityhub enable-organization-admin-account --admin-account-id 123456789012