Habilitação automática do Security Hub em novas contas da organização - AWS Security Hub

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Habilitação automática do Security Hub em novas contas da organização

Se você não habilitar automaticamente o Security Hub nas novas contas quando elas ingressarem na organização, será possível habilitar o Security Hub nessas contas manualmente depois que elas ingressarem na organização. Você também deve habilitar manualmente o Security Hub nas Contas da AWS que você tenha anteriormente desassociado de uma organização.

nota

Esta seção não se aplica a você se você usar a configuração central. Se você usar a configuração central, poderá criar políticas de configuração que habilitem o Security Hub em contas-membro e unidades organizacionais (OUs) especificadas. Você também pode habilitar padrões e controles específicos nessas contas e OUs.

Você não pode habilitar o Security Hub em uma conta se ela já for uma conta-membro em uma organização diferente.

Você também não pode habilitar o Security Hub em uma conta que esteja suspensa no momento. Se você tentar habilitar o serviço em uma conta suspensa, o status da conta mudará para Conta suspensa.

  • Se a conta não tiver o Security Hub habilitado, o Security Hub será habilitado nessa conta. O padrão Práticas Recomendadas de Segurança Básica (FSBP) da AWS e o CIS AWS Foundations Benchmark v1.2.0 também estão habilitados na conta, a menos que você desative os padrões de segurança padrão.

    A exceção é a conta de gerenciamento do Organizations. O Security Hub não pode ser habilitado automaticamente na conta de gerenciamento do Organizations. Você deve habilitar manualmente o Security Hub na conta de gerenciamento do Organization antes de poder adicioná-lo como uma conta-membro.

  • Se a conta já tiver o Security Hub habilitado, o Security Hub não fará nenhuma outra alteração na conta. Ele só habilita a participação como membro.

Para que o Security Hub gere descobertas de controle, as contas dos membros devem ter a AWS Config habilitada e configurada para gravar os recursos necessários. Para obter mais informações, consulte Habilitar e configurar a AWS Config.

Escolha seu método preferido e siga as etapas para habilitar uma conta da organização como conta-membro do Security Hub.

Security Hub console
Para habilitar manualmente as contas da organização como membros do Security Hub

  1. Abra o console do AWS Security Hub em https://console.aws.amazon.com/securityhub/.

    Faça login usando as credenciais da conta do administrador delegado.

  2. No painel de navegação do Security Hub, em Configurações, escolha Configuração.

  3. Na lista Contas, selecione cada conta da organização que você deseja habilitar.

  4. Escolha Ações e, em seguida, escolha Adicionar membro.

Security Hub API

Para habilitar manualmente as contas da organização como membros do Security Hub

Invoque a API CreateMembers a partir da conta do administrador delegado. Para que cada conta seja habilitada, forneça o ID da conta.

Ao contrário do processo de convite manual, quando você invocar CreateMembers para habilitar uma conta da organização, você não precisará enviar um convite.

AWS CLI

Para habilitar manualmente as contas da organização como membros do Security Hub

Execute o comando create-members a partir da conta do administrador delegado. Para que cada conta seja habilitada, forneça o ID da conta.

Ao contrário do processo de convite manual, quando você executar create-members para habilitar uma conta da organização, você não precisará enviar um convite.

aws securityhub create-members --account-details '[{"AccountId": "<accountId>"}]'

Exemplo

aws securityhub create-members --account-details '[{"AccountId": "123456789111"}, {"AccountId": "123456789222"}]'