Gerenciando contas com AWS Organizations Gerenciamento de contas manualmente por convite

Gerenciando contas de administrador e membro no Security Hub

Se seu AWS ambiente tiver várias contas, você poderá tratar as contas que usam o AWS Security Hub como contas de membros e associá-las a uma única conta de administrador. O administrador pode monitorar sua postura geral de segurança e realizar ad ações permitidas nas contas dos membros. O administrador também pode realizar várias tarefas de gerenciamento e administração de contas em grande escala, como monitorar os custos de uso estimados e avaliar as cotas da conta.

Você pode associar contas de membros a um administrador de duas maneiras: integrando o Security Hub AWS Organizations ou enviando e aceitando manualmente os convites de associação no Security Hub.

Gerenciando contas com AWS Organizations

AWS Organizations é um serviço global de gerenciamento de contas que permite AWS aos administradores consolidar e gerenciar várias. Contas da AWS Ele fornece os atributos de faturamento consolidado e gerenciamento de contas, projetados para atender às necessidades orçamentárias, de segurança e de conformidade. É oferecido sem custo adicional e se integra a vários Serviços da AWS, incluindo AWS Security Hub, Amazon Macie e Amazon. GuardDuty Para obter mais informações, consulte o Guia do usuário do AWS Organizations .

Quando você integra o Security Hub e AWS Organizations, a conta de gerenciamento do Organizations designa um administrador delegado do Security Hub. O Security Hub é ativado automaticamente na conta de administrador delegado Região da AWS na qual foi designado.

Depois de designar um administrador delegado, recomendamos gerenciar contas no Security Hub com a configuração central. Essa é a maneira mais eficiente de personalizar o Security Hub e garantir uma cobertura de segurança adequada para sua organização.

A configuração central permite que o administrador delegado personalize o Security Hub em várias contas e regiões da organização, em vez de configurar região por região. Você pode criar uma política de configuração para toda a organização ou criar políticas de configuração diferentes para contas e contas diferentesOUs. As políticas especificam se o Security Hub está habilitado ou desabilitado nas contas associadas e quais padrões e controles de segurança estão habilitados.

O administrador delegado pode designar contas como sendo gerenciadas centralmente ou autogerenciadas. As contas gerenciadas centralmente só podem ser configuradas pelo administrador delegado. As contas autogerenciadas podem especificar suas próprias configurações.

Se você não fizer a adesão à configuração central, o administrador delegado terá uma capacidade mais limitada de configurar o Security Hub, chamada de configuração local. Sob a configuração local, o administrador delegado poderá habilitar automaticamente o Security Hub e os padrões de segurança padrão em novas contas da organização na região atual. Contudo, as contas existentes não usam essas configurações, de forma que podem ocorrer desvios na configuração após a entrada de uma conta na organização.

Além dessas novas configurações de conta, a configuração local é específica da conta e específica da região. Cada conta da organização deve configurar o serviço, os padrões e os controles do Security Hub separadamente em cada região. A configuração local também não oferece suporte ao uso de políticas de configuração.

Gerenciamento de contas manualmente por convite

Você deverá gerenciar manualmente as contas dos membros por convite no Security Hub se tiver uma conta independente ou se não estiver integrado ao Organizations. Uma conta independente não pode ser integrada ao Organizations, então é necessário gerenciá-la manualmente. Recomendamos integrar AWS Organizations e usar a configuração central se você adicionar outras contas no futuro.

Ao usar o gerenciamento manual de contas, você designa uma conta para ser o administrador do Security Hub. A conta do administrador pode visualizar dados nas contas dos membros e realizar determinadas ações sobre as descobertas da conta do membro. O administrador do Security Hub convida outras contas para serem contas-membro, e o relacionamento administrador-membro é estabelecido quando uma conta-membro em potencial aceita o convite.

O gerenciamento manual de contas não oferece suporte ao uso de políticas de configuração. Sem políticas de configuração, o administrador não pode personalizar centralmente o Security Hub definindo configurações variáveis para contas diferentes. Em vez disso, cada conta da organização deve habilitar e configurar o Security Hub separadamente em cada região. Isso pode tornar mais difícil e demorado garantir uma cobertura de segurança adequada em todas as contas e regiões nas quais você usa o Security Hub. Isso também pode causar desvios na configuração, pois as contas dos membros podem especificar suas próprias configurações sem a intervenção do administrador.

Para gerenciar contas por convite, consulte Gerenciando contas por convite no Security Hub.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Desativando a configuração central

Recomendações para ambientes com várias contas