As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Gerenciando o CSPM do Security Hub para várias contas com AWS Organizations
<a name="securityhub-accounts-orgs"></a>

Você pode integrar o CSPM do AWS Security Hub com e AWS Organizations, em seguida, gerenciar o CSPM do Security Hub para contas em sua organização.

Para integrar o Security Hub CSPM com AWS Organizations, você cria uma organização em. AWS Organizations A conta gerencial do Organizations designa uma conta como administrador delegado do CSPM do Security Hub para a organização. O administrador delegado pode então habilitar o CSPM do Security Hub para outras contas na organização, adicionar essas contas como contas de membro do CSPM do Security Hub e realizar as ações permitidas nas contas de membro. O administrador delegado do CSPM do Security Hub pode habilitar e gerenciar o CSPM do Security Hub com até 10.000 contas de membro.

A extensão das habilidades de configuração do administrador delegado depende de você usar a [configuração central](central-configuration-intro.md). Com a configuração central habilitada, você não precisa configurar o CSPM do Security Hub separadamente em cada conta de membro e Região da AWS. O administrador delegado pode aplicar configurações específicas de CSPM do Security Hub em contas de membros e unidades organizacionais () OUs especificadas em todas as regiões.

A conta de administrador delegado do CSPM do Security Hub pode realizar as ações a seguir em contas de membro:
+ Se estiver usando a configuração central, configure centralmente o CSPM do Security Hub para contas de membros e OUs criando políticas de configuração do CSPM do Security Hub. As políticas de configuração podem ser usadas para habilitar e desabilitar o CSPM do Security Hub, habilitar e desabilitar padrões e habilitar e desabilitar controles.
+ Trate automaticamente as *novas* contas como contas de membro do CSPM do Security Hub quando elas forem adicionadas à organização. Se você usa a configuração central, uma política de configuração associada a uma UO inclui contas novas e existentes que fazem parte da UO.
+ Trate as contas *existentes* da organização como contas de membro do CSPM do Security Hub. Isso acontecerá automaticamente se você usar a configuração central.
+ Desassociar contas de membro que pertencem à organização. Se você usar a configuração central, poderá desassociar uma conta de membro somente depois de designá-la como autogerenciada. Como alternativa, é possível associar uma política de configuração que desabilite o CSPM do Security Hub a contas de membro específicas gerenciadas centralmente.

Se você fizer a opção de usar a configuração central, sua organização usará um tipo de configuração padrão denominado configuração local. Na configuração local, o administrador delegado tem uma capacidade mais limitada de aplicar configurações nas contas de membro. Para obter mais informações, consulte [Noções básicas sobre a configuração local no CSPM do Security Hub](local-configuration.md).

Para obter uma lista completa das ações que o administrador delegado pode realizar nas contas dos membros, consulte [Ações permitidas pelo administrador e contas de membro no CSPM do Security Hub](securityhub-accounts-allowed-actions.md).

Os tópicos desta seção explicam como integrar o CSPM do Security Hub com AWS Organizations e como gerenciar o CSPM do Security Hub para contas em uma organização. Quando relevante, cada seção identifica os benefícios e as diferenças de gerenciamento para os usuários da configuração central.

**Topics**
+ [Integrando o Security Hub CSPM com AWS Organizations](designate-orgs-admin-account.md)
+ [Habilitação automática do CSPM do Security Hub em novas contas da organização](accounts-orgs-auto-enable.md)
+ [Habilitação automática do CSPM do Security Hub em novas contas da organização](orgs-accounts-enable.md)
+ [Desassociação das contas de membro do CSPM do Security Hub da sua organização](accounts-orgs-disassociate.md)

# Integrando o Security Hub CSPM com AWS Organizations
<a name="designate-orgs-admin-account"></a>

Para integrar o AWS Security Hub CSPM e AWS Organizations, você cria uma organização no Organizations e usa a conta de gerenciamento da organização para designar uma conta delegada de administrador do CSPM do Security Hub. Isso habilita o CSPM do Security Hub como um serviço confiável no Organizations. Essa ação também habilita o CSPM do Security Hub na Região da AWS atual para a conta de administrador delegado e permite que o administrador delegado habilite o CSPM do Security Hub para as contas de membro, visualize dados nas contas de membro e realize outras [ações permitidas](securityhub-accounts-allowed-actions.md) nas contas de membro.

Se você usar a [configuração central](central-configuration-intro.md), o administrador delegado também poderá criar políticas de configuração do CSPM do Security Hub que especifiquem como o serviço, os padrões e os controles do CSPM do Security Hub devem ser configurados nas contas da organização.

## Criar uma organização
<a name="create-organization"></a>

Uma organização é uma entidade que você cria para consolidar a sua Contas da AWS , de forma que você possa administrá-la como uma única unidade.

Você pode criar uma organização usando o AWS Organizations console ou usando um comando do SDK AWS CLI APIs ou de um deles. Para obter instruções detalhadas, consulte [Criação de uma organização](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_create.html) no *Guia do usuário do AWS Organizations *.

Você pode usar AWS Organizations para visualizar e gerenciar centralmente todas as contas em sua organização. Uma organização tem uma conta gerencial primária com zero ou mais contas de membro. Você pode organizar as contas em uma estrutura hierárquica em forma de árvore com uma raiz na parte superior e unidades organizacionais (OUs) aninhadas abaixo da raiz. Cada conta pode estar diretamente abaixo da raiz ou colocada em uma das da OUs hierarquia. Uma UO é um contêiner para contas específicas. Por exemplo, é possível criar uma UO de finanças que inclua todas as contas relacionadas a operações financeiras. 

## Recomendações para a escolha do administrador delegado do CSPM do Security Hub
<a name="designate-admin-recommendations"></a>

Se você tiver uma conta de administrador criada a partir do processo de convite manual e estiver fazendo a transição para o gerenciamento de contas com AWS Organizations, recomendamos designar essa conta como administrador delegado do CSPM do Security Hub.

Embora o CSPM APIs e o console do Security Hub permitam que a conta de gerenciamento da organização seja o administrador delegado do CSPM do Security Hub, recomendamos escolher duas contas diferentes. Isso ocorre porque os usuários que têm acesso à conta gerencial da organização para gerenciar o faturamento provavelmente são diferentes dos usuários que precisam acessar o CSPM do Security Hub para gerenciamento de segurança.

Recomendamos o uso da mesma conta de administrador delegado nas regiões. Se você optar pela configuração central, o CSPM do Security Hub designará automaticamente o mesmo administrador delegado em sua região inicial e em qualquer região vinculada.

## Verificar as permissões para configurar o administrador delegado
<a name="designate-admin-permissions"></a>

Para designar e remover uma conta de administrador delegado do CSPM do Security Hub, a conta gerencial da organização deve ter permissões para as ações `EnableOrganizationAdminAccount` e `DisableOrganizationAdminAccount` no CSPM do Security Hub. A conta gerencial do Organizations também deve ter permissões administrativas para o Organizations.

Para conceder todas as permissões necessárias, anexe as políticas gerenciadas a seguir do Security Hub à entidade principal do IAM na conta gerencial da organização:
+ [https://docs.aws.amazon.com/securityhub/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-awssecurityhubfullaccess](https://docs.aws.amazon.com/securityhub/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-awssecurityhubfullaccess)
+ [https://docs.aws.amazon.com/securityhub/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-awssecurityhuborganizationsaccess](https://docs.aws.amazon.com/securityhub/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-awssecurityhuborganizationsaccess)

## Designar o administrador delegado
<a name="designate-admin-instructions"></a>

Para designar a conta de administrador delegado do CSPM do Security Hub, é possível usar o console do CSPM do Security Hub, a API do CSPM do Security Hub ou a AWS CLI. O CSPM do Security Hub define o administrador delegado Região da AWS somente no atual, e você deve repetir a ação em outras regiões. Se você começar a usar a configuração central, o CSPM do Security Hub definirá automaticamente o mesmo administrador delegado na região inicial e nas regiões vinculadas.

A conta gerencial da organização não precisa habilitar o CSPM do Security Hub para designar a conta de administrador delegado do CSPM do Security Hub.

Recomendamos que a conta gerencial da organização não seja a conta de administrador do CSPM do Security Hub. Porém, se você escolher a conta gerencial da organização como a conta de administrador delegado do CSPM do Security Hub, a conta gerencial deverá ter o CSPM do Security Hub habilitado. Se a conta gerencial não tiver o CSPM do Security Hub habilitado, será necessário habilitar o CSPM do Security Hub para ela manualmente. O CSPM do Security Hub não pode ser habilitado automaticamente para a conta gerencial da organização.

É necessário designar o administrador delegado do CSPM do Security Hub usando um dos métodos a seguir. A designação do administrador delegado do CSPM do Security Hub com Organizations APIs não se reflete no CSPM do Security Hub.

Escolha seu método preferido e siga as etapas para designar a conta de administrador delegado do CSPM do Security Hub.

------
#### [ Security Hub CSPM console ]

**Para designar o administrador delegado durante o onboarding**

1. Abra o console CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Escolha **Ir para o CSPM do Security Hub**. Você será orientado a fazer login na conta gerencial da organização.

1. Na página **Designar administrador delegado**, na seção **Conta de administrador delegado**, especifique a conta de administrador delegado. Recomendamos escolher o mesmo administrador delegado que você definiu para outros serviços de segurança e conformidade da AWS .

1. Escolha **Definir administrador delegado**. Será necessário entrar na conta de administrador delegado (se ainda não tiver feito isso) para continuar a integração com a configuração central. Se não quiser iniciar a configuração central, escolha **Cancelar**. Seu administrador delegado está definido, mas você ainda não está usando a configuração central.

**Para designar o administrador delegado na página **Configurações****

1. Abra o console CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. No painel de navegação do CSPM do Security Hub, escolha **Configurações**. Em seguida, escolha **Geral**.

1. Se uma conta de administrador do CSPM do Security Hub estiver atualmente atribuída, então antes de designar uma nova conta, será necessário remover a conta atual.

   Em **Administrador delegado**, para remover a conta atual, escolha **Remover**.

1. Insira o ID da conta que você deseja designar como conta de administrador do **CSPM do Security Hub**.

   É necessário designar a mesma conta de administrador do CSPM do Security Hub em todas as regiões. Se você designar uma conta diferente da conta designada em outras regiões, o console retornará um erro.

1. Selecione **Delegar**.

------
#### [ Security Hub CSPM API, AWS CLI ]

Na conta gerencial da organização, use a operação [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_EnableOrganizationAdminAccount.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_EnableOrganizationAdminAccount.html) da API do CSPM do Security Hub. Se você estiver usando a AWS CLI, execute o comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-organization-admin-account.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-organization-admin-account.html). Forneça o ID da Conta da AWS do administrador delegado do CSPM do Security Hub.

O exemplo a seguir designa o administrador delegado do CSPM do Security Hub. Este exemplo está formatado para Linux, macOS ou Unix e usa o caractere de continuação de linha “barra invertida (\$1)” para melhorar a legibilidade.

```
$ aws securityhub enable-organization-admin-account --admin-account-id 123456789012
```

------

# Remover ou alterar o administrador delegado
<a name="remove-admin-overview"></a>

Somente a conta gerencial da organização pode remover uma conta de administrador delegado do CSPM do Security Hub.

Para alterar o administrador delegado do CSPM do Security Hub, é necessário primeiro remover a conta atual do administrador delegado e depois designar outra.

**Atenção**  
Ao usar a [configuração central](central-configuration-intro.md), você não pode usar o console CSPM do Security Hub ou o CSPM do Security Hub APIs para alterar ou remover a conta do administrador delegado. Se a conta de gerenciamento da organização usar o AWS Organizations console ou AWS Organizations APIs para alterar ou remover o administrador delegado do CSPM do Security Hub, o Security Hub CSPM interromperá automaticamente a configuração central e excluirá suas políticas de configuração e associações de políticas. As contas de membro retêm as configurações que tinham antes de o administrador delegado ser alterado ou removido.

Se você usar o console do CSPM do Security Hub para remover o administrador delegado em uma região, ele será removido automaticamente em todas as regiões.

A API do CSPM do Security Hub só remove a conta de administrador delegado do CSPM do Security Hub da região em que o comando ou a chamada de API são emitidos. É necessário repetir a ação em outras regiões.

Se você usar a API do Organizations para remover a conta de administrador delegado do CSPM do Security Hub, ela será removida automaticamente de todas as regiões.

## Removendo o administrador delegado (Organizations API, AWS CLI)
<a name="remove-admin-orgs"></a>

É possível usar o Organizations para remover o administrador delegado do CSPM do Security Hub de todas as regiões.

Se você usar a configuração central para gerenciar contas, a remoção da conta de administrador delegado resultará na exclusão de suas políticas de configuração e associações de políticas. As contas de membro retêm as configurações que tinham antes de o administrador delegado ser alterado ou removido. Entretanto, essas contas não poderão mais ser gerenciadas pela conta de administrador delegado removida. Elas se tornam contas autogerenciadas que devem ser configuradas separadamente em cada região.

Escolha seu método preferido e siga as instruções para remover a conta de administrador delegada do CSPM do Security Hub com. AWS Organizations

------
#### [ Organizations API, AWS CLI ]

**Para remover o administrador delegado do CSPM do Security Hub**

Na conta gerencial da organização, use a operação [https://docs.aws.amazon.com/organizations/latest/APIReference/API_DeregisterDelegatedAdministrator.html](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DeregisterDelegatedAdministrator.html) da API do Organizations. Se você estiver usando a AWS CLI, execute o comando [deregister-delegated-administrator](https://docs.aws.amazon.com/cli/latest/reference/organizations/deregister-delegated-administrator.html). Forneça o ID da conta do administrador delegado e a entidade principal do serviço para o CSPM do Security Hub, que é `securityhub.amazonaws.com`.

O exemplo a seguir remove o administrador delegado do CSPM do Security Hub. Este exemplo está formatado para Linux, macOS ou Unix e usa o caractere de continuação de linha “barra invertida (\$1)” para melhorar a legibilidade.

```
$ aws organizations deregister-delegated-administrator --account-id 123456789012 --service-principal securityhub.amazonaws.com
```

------

## Remoção do administrador delegado (console do CSPM do Security Hub)
<a name="remove-admin-console"></a>

É possível usar o console do CSPM do Security Hub para remover o administrador delegado do CSPM do Security Hub em todas as regiões.

Quando a conta de administrador delegado do CSPM do Security Hub for removida, as contas de membro serão desassociadas da conta do administrador delegado do CSPM do Security Hub removida.

O CSPM do Security Hub ainda estará habilitado nas contas de membro. Elas se tornam contas autônomas até que um novo administrador do CSPM do Security Hub as habilite como contas de membro.

Se a conta gerencial da organização não for uma conta habilitada no CSPM do Security Hub, use a opção na página **Bem-vindo ao CSPM do Security Hub**.

**Para remover a conta do administrador delegado do CSPM do Security Hub na página **Bem-vindo ao CSPM do Security Hub****

1. Abra o console CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Escolha **Ir para o Security Hub**.

1. Em **Administrador delegado**, escolha **Remover**.

Se a conta gerencial da organização for uma conta habilitada no **Security Hub**, use a opção na guia **Geral** da página **Configurações**.

**Para remover a conta do administrador delegado do CSPM do Security Hub na página **Configurações****

1. Abra o console CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. No painel de navegação do CSPM do Security Hub, escolha **Configurações**. Em seguida, escolha **Geral**.

1. Em **Administrador delegado**, escolha **Remover**.

## Removendo o administrador delegado (API CSPM do Security Hub) AWS CLI
<a name="remove-admin-api"></a>

Você pode usar a API CSPM do Security Hub ou as operações CSPM do Security Hub AWS CLI para remover o administrador delegado do CSPM do Security Hub. Quando você remove o administrador delegado com um desses métodos, ele só é removido na região onde o comando ou a chamada de API foram emitidos. O Security Hub CSPM não atualiza outras regiões e não remove a conta de administrador delegado em. AWS Organizations

Escolha seu método preferido e siga estas etapas para remover a conta de administrador delegado do CSPM do Security Hub com o CSPM do Security Hub.

------
#### [ Security Hub CSPM API, AWS CLI ]

**Para remover o administrador delegado do CSPM do Security Hub**

Na conta gerencial da organização, use a operação [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisableOrganizationAdminAccount.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisableOrganizationAdminAccount.html) da API do CSPM do Security Hub. Se você estiver usando o AWS CLI, execute o [https://docs.aws.amazon.com/cli/latest/reference/securityhub/disable-organization-admin-account.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/disable-organization-admin-account.html)comando. Forneça o ID da conta de administrador delegado do CSPM do Security Hub.

O exemplo a seguir remove o administrador delegado do CSPM do Security Hub. Este exemplo está formatado para Linux, macOS ou Unix e usa o caractere de continuação de linha “barra invertida (\$1)” para melhorar a legibilidade.

```
$ aws securityhub disable-organization-admin-account --admin-account-id 123456789012
```

------

# Desativando a integração do Security Hub CSPM com AWS Organizations
<a name="disable-orgs-integration"></a>

Depois que uma AWS Organizations organização é integrada ao CSPM do AWS Security Hub, a conta de gerenciamento do Organizations pode posteriormente desativar a integração. Como um usuário da conta gerencial do Organizations, é possível fazer isso desabilitando o acesso confiável para o CSPM do Security Hub no AWS Organizations.

Quando você desabilita o acesso confiável para o CSPM do Security Hub, ocorre o seguinte:
+ O Security Hub CSPM perde seu status de serviço confiável em. AWS Organizations
+ A conta de administrador delegado do CSPM do Security Hub perde o acesso às configurações, dados e recursos do CSPM do Security Hub para todas as contas de membro do CSPM do Security Hub em todas as Regiões da AWS.
+ Se você estava usando a [configuração central](central-configuration-intro.md), o CSPM do Security Hub automaticamente deixará de usá-la em sua organização. Suas políticas de configuração e associações de políticas são excluídas. As contas retêm as configurações que tinham antes de você desabilitar o acesso confiável.
+ Todas as contas de membro do CSPM do Security Hub se tornam contas autônomas e retêm suas configurações atuais. Se o CSPM do Security Hub tiver sido habilitado para uma conta de membro em uma ou mais regiões, o CSPM do Security Hub continuará habilitado para a conta nessas regiões. Os padrões e controles habilitados também permanecem inalterados. É possível alterar essas configurações separadamente em cada conta e região. Contudo, a conta não estará mais associada a um administrador delegado em nenhuma região.

Para obter informações adicionais sobre os resultados da desativação do acesso a serviços confiáveis, consulte [Usando AWS Organizations com outros Serviços da AWS](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html) no *Guia do AWS Organizations Usuário*. 

Para desativar o acesso confiável, você pode usar o AWS Organizations console, a API Organizations ou AWS CLI o. Somente um usuário da conta gerencial do Organizations pode desabilitar o acesso confiável a serviços para o CSPM do Security Hub. Para obter detalhes sobre as permissões necessárias, consulte [Permissões necessárias para desabilitar o acesso confiável](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html#orgs_trusted_access_disable_perms) no *Guia do Usuário do AWS Organizations *.

Antes de desabilitar o acesso confiável, recomendamos trabalhar com o administrador delegado da sua organização para desabilitar o CSPM do Security Hub em contas de membro e limpar os recursos do CSPM do Security Hub nessas contas.

Escolha seu método preferido e siga as etapas para desabilitar o acesso confiável para o CSPM do Security Hub.

------
#### [ Organizations console ]

**Para desabilitar o acesso confiável para o CSPM do Security Hub**

1. Faça login no Console de gerenciamento da AWS usando as credenciais da conta de AWS Organizations gerenciamento.

1. Abra o console Organizations em [https://console.aws.amazon.com/organizations/](https://console.aws.amazon.com/organizations/).

1. No painel de navegação, escolha **Serviços**.

1. Em **Serviços integrados**, escolha **CSPM do AWS Security Hub**.

1. Escolha **Desabilitar acesso confiável**.

1. Confirme que você deseja desativar o acesso confiável.

------
#### [ Organizations API ]

**Para desabilitar o acesso confiável para o CSPM do Security Hub**

Invoque a operação [Disable AWSService Access](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html) da AWS Organizations API. No parâmetro `ServicePrincipal`, especifique a entidade principal de serviço do CSPM do Security Hub (`securityhub.amazonaws.com`).

------
#### [ AWS CLI ]

**Para desabilitar o acesso confiável para o CSPM do Security Hub**

Execute o [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)comando da AWS Organizations API. No parâmetro `service-principal`, especifique a entidade principal de serviço do CSPM do Security Hub (`securityhub.amazonaws.com`).

**Exemplo:**

```
aws organizations disable-aws-service-access --service-principal securityhub.amazonaws.com
```

------

# Habilitação automática do CSPM do Security Hub em novas contas da organização
<a name="accounts-orgs-auto-enable"></a>

Quando novas contas ingressam na sua organização, elas são adicionadas à lista na página **Contas** do console CSPM do AWS Security Hub. Para contas da organização, o **Tipo** é **Por organização**. Por padrão, novas contas não se tornam membros do CSPM do Security Hub quando ingressam na organização. O status delas é **Não é membro**. A conta do administrador delegado pode adicionar automaticamente novas contas como membros e habilitar o CSPM do Security Hub nessas contas quando elas ingressam na organização.

**nota**  
Embora muitas Regiões da AWS estejam ativas por padrão para você Conta da AWS, você deve ativar determinadas regiões manualmente. Essas regiões são chamadas de regiões de adesão opcional neste documento. Para habilitar automaticamente o CSPM do Security Hub em uma nova conta em uma região de adesão opcional, a conta deve primeiro ter essa região habilitada. Apenas o proprietário da conta pode ativar a região de adesão opcional. Para obter mais informações sobre regiões opcionais, consulte [Especificar quais Regiões da AWS sua conta pode usar](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html).

Esse processo é diferente dependendo de você usar a configuração central (recomendada) ou a configuração local.

## Habilitação automática de novas contas da organização (configuração central)
<a name="central-configuration-auto-enable"></a>

Se você usar a [configuração central](central-configuration-intro.md), poderá habilitar automaticamente o CSPM do Security Hub em contas novas e existentes da organização criando uma política de configuração na qual o CSPM do Security Hub esteja habilitado. Em seguida, você pode associar a política à raiz da organização ou a unidades organizacionais específicas (OUs).

Se você associar uma política de configuração na qual o CSPM do Security Hub esteja habilitado a uma UO específica, o CSPM do Security Hub será habilitado automaticamente em todas as contas (existentes e novas) que pertençam a essa UO. As novas contas que não pertençam à UO são autogerenciadas e não têm o CSPM do Security Hub habilitado automaticamente. Se você associar uma política de configuração na qual o CSPM do Security Hub esteja habilitado com a raiz, o CSPM do Security Hub será habilitado automaticamente em todas as contas (existentes e novas) que ingressem na organização. As exceções são se uma conta usar uma política diferente por meio de aplicação ou herança, ou se for autogerenciada.

Em sua política de configuração, você também pode definir quais padrões e controles de segurança devem ser habilitados na UO. Para gerar descobertas de controle para padrões habilitados, as contas na OU devem estar AWS Config habilitadas e configuradas para registrar os recursos necessários. Para obter mais informações sobre AWS Config gravação, consulte [Habilitando e configurando. AWS Config](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-prereq-config.html)

Para obter instruções sobre como criar uma política de configuração, consulte [Criação e associação de políticas de configuração](create-associate-policy.md).

## Habilitação automática de novas contas da organização (configuração local)
<a name="limited-configuration-auto-enable"></a>

Quando você usa a configuração local e ativa a habilitação automática dos padrões, o CSPM do Security Hub adiciona as *novas* contas da organização como membros e habilita nelas o CSPM do Security Hub na região atual. As outras regiões não são afetadas. Além disso, ativar a habilitação automática não habilita o CSPM do Security Hub nas contas *existentes* da organização, a menos que elas já tenham sido adicionadas como contas de membro.

Depois de ativar a habilitação automática, os padrões de segurança também são habilitados automaticamente para as novas contas da região atual ao ingressarem na organização. Os padrões padrão são AWS Foundational Security Best Practices (FSBP) e Center for Internet Security (CIS) AWS Foundations Benchmark v1.2.0. Não é possível alterar os padrões padrão. Se você quiser habilitar outros padrões em toda a sua organização ou habilitar padrões para contas selecionadas OUs, recomendamos usar a configuração central.

Para gerar descobertas de controle para os padrões padrão (e outros padrões habilitados), as contas em sua organização devem estar AWS Config habilitadas e configuradas para registrar os recursos necessários. Para obter mais informações sobre AWS Config gravação, consulte [Habilitando e configurando. AWS Config](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-prereq-config.html)

Escolha seu método preferido e siga as etapas para habilitar automaticamente o CSPM do Security Hub em novas contas da organização. Essas instruções se aplicam somente se você usar a configuração local.

------
#### [ Security Hub CSPM console ]

**Para habilitar automaticamente novas contas da organização como membros do CSPM do Security Hub**

1. Abra o console CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Faça login usando as credenciais da conta do administrador delegado.

1. No painel de navegação do CSPM do Security Hub, em **Configurações**, escolha **Configuração**.

1. Na seção **Contas**, ative a **Habilitação automática de contas**.

------
#### [ Security Hub CSPM API ]

**Para habilitar automaticamente novas contas da organização como membros do CSPM do Security Hub**

Invoque a API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html) a partir da conta do administrador delegado. Defina o campo `AutoEnable` como `true` para habilitar automaticamente o CSPM do Security Hub nas novas contas da organização.

------
#### [ AWS CLI ]

**Para habilitar automaticamente novas contas da organização como membros do CSPM do Security Hub**

Execute o comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html) a partir da conta do administrador delegado. Inclua o parâmetro `auto-enable` para habilitar automaticamente o CSPM do Security Hub em novas contas da organização.

```
aws securityhub update-organization-configuration --auto-enable
```

------

# Habilitação automática do CSPM do Security Hub em novas contas da organização
<a name="orgs-accounts-enable"></a>

Se você não habilitar automaticamente o CSPM do Security Hub nas novas contas quando elas ingressarem na organização, será possível habilitar o CSPM do Security Hub nessas contas manualmente depois que elas ingressarem na organização. Você também deve habilitar manualmente o CSPM do Security Hub, pois você Contas da AWS se desassociou anteriormente de uma organização.

**nota**  
Esta seção não se aplica a você se você usar a [configuração central](central-configuration-intro.md). Se você usar a configuração central, poderá criar políticas de configuração que habilitem o CSPM do Security Hub em contas de membros e unidades organizacionais especificadas ()OUs. Você também pode ativar padrões e controles específicos nessas contas OUs e.

Você não pode habilitar o CSPM do Security Hub em uma conta se ela já for uma conta de membro em uma organização diferente.

Você também não pode habilitar o CSPM do Security Hub em uma conta que esteja suspensa no momento. Se você tentar habilitar o serviço em uma conta suspensa, o status da conta mudará para **Conta suspensa**.
+ Se a conta não tiver o CSPM do Security Hub habilitado, o CSPM do Security Hub será habilitado nessa conta. O padrão AWS Foundational Security Best Practices (FSBP) e o CIS AWS Foundations Benchmark v1.2.0 também estão habilitados na conta, a menos que você desative os padrões de segurança padrão.

  A exceção é a conta gerencial do Organizations. O CSPM do Security Hub não pode ser habilitado automaticamente na conta gerencial do Organizations. É necessário habilitar manualmente o CSPM do Security Hub na conta gerencial do Organization antes de poder adicioná-lo como uma conta de membro.
+ Se a conta já tiver o CSPM do Security Hub habilitado, o CSPM do Security Hub não fará nenhuma outra alteração na conta. Ele só habilita a participação como membro.

Para que o Security Hub CSPM gere descobertas de controle, as contas dos membros devem estar AWS Config habilitadas e configuradas para registrar os recursos necessários. Para obter mais informações, consulte [Habilitar e configurar a AWS Config](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-prereq-config.html).

Escolha seu método preferido e siga as etapas para habilitar uma conta da organização como conta de membro do CSPM do Security Hub.

------
#### [ Security Hub CSPM console ]

**Para habilitar manualmente as contas da organização como membros do CSPM do Security Hub**

1. Abra o console CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Faça login usando as credenciais da conta do administrador delegado.

1. No painel de navegação do CSPM do Security Hub, em **Configurações**, escolha **Configuração**.

1. Na lista **Contas**, selecione cada conta da organização que você deseja habilitar.

1. Escolha **Ações** e, em seguida, escolha **Adicionar membro**.

------
#### [ Security Hub CSPM API ]

**Para habilitar manualmente as contas da organização como membros do CSPM do Security Hub**

Invoque a API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateMembers.html) a partir da conta do administrador delegado. Para que cada conta seja habilitada, forneça o ID da conta.

Ao contrário do processo de convite manual, quando você invocar `CreateMembers` para habilitar uma conta da organização, você não precisará enviar um convite.

------
#### [ AWS CLI ]

**Para habilitar manualmente as contas da organização como membros do CSPM do Security Hub**

Execute o comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-members.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-members.html) a partir da conta do administrador delegado. Para que cada conta seja habilitada, forneça o ID da conta.

Ao contrário do processo de convite manual, quando você executar `create-members` para habilitar uma conta da organização, você não precisará enviar um convite.

```
aws securityhub create-members --account-details '[{"AccountId": "<accountId>"}]'
```

**Exemplo**

```
aws securityhub create-members --account-details '[{"AccountId": "123456789111"}, {"AccountId": "123456789222"}]'
```

------

# Desassociação das contas de membro do CSPM do Security Hub da sua organização
<a name="accounts-orgs-disassociate"></a>

Para parar de receber e visualizar descobertas de uma conta de membro do CSPM do AWS Security Hub, você pode desassociar a conta membro da sua organização.

**nota**  
Se você usar a [configuração central](central-configuration-intro.md), a desassociação funcionará de forma diferente. É possível criar uma política de configuração que desabilite o CSPM do Security Hub em uma ou mais contas de membro gerenciadas centralmente. Depois disso, essas contas ainda farão parte da organização, mas não gerarão descobertas do CSPM do Security Hub. Se você usar a configuração central, mas também tiver contas de membro convidadas manualmente, será possível desassociar uma ou mais contas convidadas manualmente.

As contas de membros que são gerenciadas usando não AWS Organizations podem desassociar suas contas da conta de administrador. Somente a conta do administrador pode desassociar uma conta de membro.

A desassociação de uma conta de membro não fecha a conta. Em vez disso, ela remove a conta de membro da organização. A conta de membro desassociada se torna autônoma Conta da AWS e não é mais gerenciada pela integração do CSPM do Security Hub com. AWS Organizations

Escolha seu método preferido e siga as etapas para desassociar uma conta de membro da organização.

------
#### [ Security Hub CSPM console ]

**Para desassociar uma conta de membro de uma organização**

1. Abra o console CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Faça login usando as credenciais da conta do administrador delegado.

1. No painel de navegação, em **Configurações**, selecione **Configuração**.

1. Na seção **Contas**, selecione as contas que você deseja desassociar. Se você usar a configuração central, poderá selecionar uma conta convidada manualmente para se dissociar na guia `Invitation accounts`. Essa guia ficará visível apenas se você usar a configuração central.

1. Escolha **Ações** e, em seguida, escolha **Desassociar conta**.

------
#### [ Security Hub CSPM API ]

**Para desassociar uma conta de membro de uma organização**

Invoque a API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisassociateMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisassociateMembers.html) a partir da conta do administrador delegado. Você deve fornecer o Conta da AWS IDs para que as contas dos membros se desassociem. Para ver uma lista de contas de membro, invoque a API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListMembers.html).

------
#### [ AWS CLI ]

**Para desassociar uma conta de membro de uma organização**

Execute o comando [ >`disassociate-members`](https://docs.aws.amazon.com/cli/latest/reference/securityhub/disassociate-members.html) a partir da conta do administrador delegado. Você deve fornecer o Conta da AWS IDs para que as contas dos membros se desassociem. Para ver uma lista de contas de membro, execute o comando [ >`list-members`](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-members.html).

```
aws securityhub disassociate-members --account-ids "<accountIds>"
```

**Exemplo**

```
aws securityhub disassociate-members --account-ids "123456789111" "123456789222"
```

------

 Você também pode usar o AWS Organizations console, AWS CLI, ou AWS SDKs para desassociar uma conta de membro da sua organização. Para obter mais informações, consulte [Remoção de uma conta de membro da sua organização](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_remove.html) no *Guia do usuário do AWS Organizations *.