Gerenciando contas com o AWS Organizations Gerenciamento de contas manualmente por convite

Gerenciar contas de administrador e contas-membro no Security Hub

Se o seu ambiente da AWS tiver várias contas, será possível tratar as contas que usam o AWS Security Hub como contas-membro e associá-las a uma única conta de administrador. O administrador pode monitorar sua postura geral de segurança e realizar ad ações permitidas nas contas dos membros. O administrador também pode realizar várias tarefas de gerenciamento e administração de contas em grande escala, como monitorar os custos de uso estimados e avaliar as cotas da conta.

É possível associar contas-membro a um administrador de duas maneiras: integrando o Security Hub com o AWS Organizations ou enviando e aceitando manualmente os convites de associação de membros no Security Hub.

Gerenciando contas com o AWS Organizations

O AWS Organizations é um serviço global de gerenciamento de contas que permite aos administradores da AWS consolidar e gerenciar várias Contas da AWS. Ele fornece os atributos de faturamento consolidado e gerenciamento de contas, projetados para atender às necessidades orçamentárias, de segurança e de conformidade. Ele é oferecido sem custo adicional e se integra a vários Serviços da AWS, incluindo o AWS Security Hub, o Amazon GuardDuty e o Amazon Macie. Para obter mais informações, consulte o Guia do usuário do AWS Organizations.

Quando você integra o Security Hub com o AWS Organizations, a conta de gerenciamento do Organizations designa um administrador delegado do Security Hub. O Security Hub é habilitado automaticamente na conta de administrador delegado na Região da AWS onde ele foi designado.

Depois de designar um administrador delegado, recomendamos gerenciar contas no Security Hub com a configuração central. Essa é a maneira mais eficiente de personalizar o Security Hub e garantir uma cobertura de segurança adequada para sua organização.

A configuração central permite que o administrador delegado personalize o Security Hub em várias contas e regiões da organização, em vez de configurar região por região. É possível criar uma política de configuração para toda a organização ou criar políticas de configuração diferentes para contas e OUs diferentes. As políticas especificam se o Security Hub está habilitado ou desabilitado nas contas associadas e quais padrões e controles de segurança estão habilitados.

O administrador delegado pode designar contas como sendo gerenciadas centralmente ou autogerenciadas. As contas gerenciadas centralmente só podem ser configuradas pelo administrador delegado. As contas autogerenciadas podem especificar suas próprias configurações.

Se você não fizer a adesão à configuração central, o administrador delegado terá uma capacidade mais limitada de configurar o Security Hub, chamada de configuração local. Sob a configuração local, o administrador delegado poderá habilitar automaticamente o Security Hub e os padrões de segurança padrão em novas contas da organização na região atual. Contudo, as contas existentes não usam essas configurações, de forma que podem ocorrer desvios na configuração após a entrada de uma conta na organização.

Além dessas novas configurações de conta, a configuração local é específica da conta e específica da região. Cada conta da organização deve configurar o serviço, os padrões e os controles do Security Hub separadamente em cada região. A configuração local também não oferece suporte ao uso de políticas de configuração.

Gerenciamento de contas manualmente por convite

Você deverá gerenciar manualmente as contas dos membros por convite no Security Hub se tiver uma conta independente ou se não estiver integrado ao Organizations. Uma conta independente não pode ser integrada ao Organizations, então é necessário gerenciá-la manualmente. Recomendamos a integração com o AWS Organizations e o uso da configuração central caso você adicione outras contas no futuro.

Ao usar o gerenciamento manual de contas, você designa uma conta para ser o administrador do Security Hub. A conta do administrador pode visualizar dados nas contas dos membros e realizar determinadas ações sobre as descobertas da conta do membro. O administrador do Security Hub convida outras contas para serem contas-membro, e o relacionamento administrador-membro é estabelecido quando uma conta-membro em potencial aceita o convite.

O gerenciamento manual de contas não oferece suporte ao uso de políticas de configuração. Sem políticas de configuração, o administrador não pode personalizar centralmente o Security Hub definindo configurações variáveis para contas diferentes. Em vez disso, cada conta da organização deve habilitar e configurar o Security Hub separadamente em cada região. Isso pode tornar mais difícil e demorado garantir uma cobertura de segurança adequada em todas as contas e regiões nas quais você usa o Security Hub. Isso também pode causar desvios na configuração, pois as contas dos membros podem especificar suas próprias configurações sem a intervenção do administrador.

Para gerenciar contas por convite, consulte Gerenciar contas por convite no Security Hub.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Desabilitar a configuração central

Recomendações para ambientes de várias contas