As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Gerenciamento de contas de membro e administrador no CSPM do Security Hub
<a name="securityhub-accounts"></a>

Se seu AWS ambiente tiver várias contas, você poderá tratar as contas que usam o CSPM do AWS Security Hub como contas de membros e associá-las a uma única conta de administrador. O administrador pode monitorar sua postura geral de segurança e realizar ad [ações permitidas](securityhub-accounts-allowed-actions.md) nas contas dos membros. O administrador também pode realizar várias tarefas de gerenciamento e administração de contas em grande escala, como monitorar os custos de uso estimados e avaliar as cotas da conta.

Você pode associar contas de membros a um administrador de duas maneiras: integrando o CSPM do Security Hub AWS Organizations ou enviando e aceitando manualmente convites de associação no CSPM do Security Hub.

## Gerenciando contas com AWS Organizations
<a name="securityhub-orgs-account-management-overview"></a>

AWS Organizations é um serviço global de gerenciamento de contas que permite AWS aos administradores consolidar e gerenciar várias. Contas da AWS Ele fornece os atributos de faturamento consolidado e gerenciamento de contas, projetados para atender às necessidades orçamentárias, de segurança e de conformidade. É oferecido sem custo adicional e se integra a vários, incluindo AWS Security Hub CSPM Serviços da AWS, Amazon Macie e Amazon. GuardDuty Para obter mais informações, consulte o [Guia do usuário do *AWS Organizations *](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html).

Quando você integra o Security Hub CSPM e AWS Organizations, a conta de gerenciamento do Organizations designa um administrador delegado do CSPM do Security Hub. O CSPM do Security Hub é habilitado automaticamente na conta de administrador delegado Região da AWS na qual foi designado.

Depois de designar um administrador delegado, recomendamos gerenciar contas no CSPM do Security Hub com a [configuração central](central-configuration-intro.md). Essa é a maneira mais eficiente de personalizar o CSPM do Security Hub e garantir uma cobertura de segurança adequada para sua organização.

A configuração central permite que o administrador delegado personalize o CSPM do Security Hub em várias contas e regiões da organização, em vez de configurar. Region-by-Region Você pode criar uma política de configuração para toda a organização ou criar políticas de configuração diferentes para contas e contas diferentes OUs. As políticas especificam se o CSPM do Security Hub está habilitado ou desabilitado nas contas associadas e quais padrões e controles de segurança estão habilitados.

O administrador delegado pode designar contas como sendo gerenciadas centralmente ou autogerenciadas. As contas gerenciadas centralmente só podem ser configuradas pelo administrador delegado. As contas autogerenciadas podem especificar suas próprias configurações.

Se você não fizer a adesão à configuração central, o administrador delegado terá uma capacidade mais limitada de configurar o CSPM do Security Hub, chamada de *configuração local*. Sob a configuração local, o administrador delegado poderá habilitar automaticamente o CSPM do Security Hub e os [padrões de segurança padrão](securityhub-auto-enabled-standards.md) em novas contas da organização na região atual. Contudo, as contas existentes não usam essas configurações, de forma que podem ocorrer desvios na configuração após a entrada de uma conta na organização.

Além dessas novas configurações de conta, a configuração local é específica da conta e específica da região. Cada conta da organização deve configurar o serviço, os padrões e os controles do CSPM do Security Hub separadamente em cada região. A configuração local também não oferece suporte ao uso de políticas de configuração.

## Gerenciamento de contas manualmente por convite
<a name="securityhub-manual-account-management-overview"></a>

Será necessário gerenciar manualmente as contas de membro por convite no CSPM do Security Hub se tiver uma conta autônoma ou se não estiver integrado ao Organizations. Uma conta autônoma não pode ser integrada ao Organizations, então é necessário gerenciá-la manualmente. Recomendamos integrar AWS Organizations e usar a configuração central se você adicionar outras contas no futuro.

Ao usar o gerenciamento manual de contas, você designa uma conta para ser o administrador do CSPM do Security Hub. A conta do administrador pode visualizar dados nas contas dos membros e realizar determinadas ações sobre as descobertas da conta do membro. O administrador do CSPM do Security Hub convida outras contas para serem contas de membro, e o relacionamento administrador-membro é estabelecido quando uma conta de membro em potencial aceita o convite.

O gerenciamento manual de contas não oferece suporte ao uso de políticas de configuração. Sem políticas de configuração, o administrador não pode personalizar centralmente o CSPM do Security Hub definindo configurações variáveis para contas diferentes. Em vez disso, cada conta da organização deve habilitar e configurar o CSPM do Security Hub separadamente em cada região. Isso pode tornar mais difícil e demorado garantir uma cobertura de segurança adequada em todas as contas e regiões nas quais você usa o CSPM do Security Hub. Isso também pode causar desvios na configuração, pois as contas dos membros podem especificar suas próprias configurações sem a intervenção do administrador.

Para gerenciar contas por convite, consulte [Gerenciamento de contas por convites no CSPM do Security Hub](account-management-manual.md).

# Recomendações para o gerenciamento de várias contas no CSPM do Security Hub
<a name="securityhub-account-restrictions-recommendations"></a>

A seção a seguir resume algumas restrições e recomendações que você deve ter em mente ao gerenciar contas de membros no CSPM do AWS Security Hub.

## Número máximo de contas de membro
<a name="admin-maximum-member-accounts"></a>

Se você usar a integração com AWS Organizations, o Security Hub CSPM suporta até 10.000 contas de membros por conta de administrador delegado em cada uma. Região da AWS Se você habilitar e gerenciar o CSPM do Security Hub manualmente, ele oferecerá suporte a até 1.000 convites de contas de membro por conta de administrador em cada região.

## Criar relações administrador-membro
<a name="securityhub-accounts-regions"></a>

**nota**  
Se você usa a integração do Security Hub CSPM com AWS Organizations, e não convidou manualmente nenhuma conta membro, esta seção não se aplica a você.

Uma conta não pode ser uma conta de administrador e uma conta de membro ao mesmo tempo.

Uma conta de membro só pode ser associada a uma conta de administrador. Se uma conta da organização for habilitada pela conta de administrador do CSPM do Security Hub, a conta não poderá aceitar um convite de outra conta. Se uma conta já tiver aceitado um convite, ela não poderá ser habilitada pela conta de administrador do CSPM do Security Hub para a organização. Ela também não pode receber convites de outras contas.

Para o processo de convite manual, aceitar um convite de associação é opcional.

### Filiação por meio de AWS Organizations
<a name="accounts-regions-orgs"></a>

Se você integrar o CSPM do Security Hub com AWS Organizations, a conta de gerenciamento do Organizations poderá designar uma conta de administrador delegado (DA) para o CSPM do Security Hub. A conta gerencial da organização não pode ser definida como o DA no Organizations. Embora isso seja permitido no CSPM do Security Hub, recomendamos que a conta gerencial do Organizations *não* seja a do DA.

Recomendamos que você escolha a mesma conta de DA em todas as regiões. Se você usar a [configuração central](central-configuration-intro.md), o CSPM do Security Hub definirá a mesma conta de DA em todas as regiões nas quais você configurar o CSPM do Security Hub para sua organização.

Também recomendamos que você escolha a mesma conta DA em todos os serviços de AWS segurança e conformidade para ajudá-lo a gerenciar problemas relacionados à segurança em um único painel.

### Associação por convite
<a name="accounts-regions-invitation"></a>

Para contas de membro criadas por convite, a associação entre as contas de administrador e membro é criada somente na região de onde o convite é enviado. A conta de administrador deve habilitar o CSPM do Security Hub em cada região em que você deseja usá-la. A conta de administrador convidará então cada conta a se ternar uma conta de membro nessa região.

**nota**  
Recomendamos usar, AWS Organizations em vez dos convites de CSPM do Security Hub, para gerenciar suas contas de membros.

## Coordenar contas de administrador entre serviços
<a name="securityhub-coordinate-admins"></a>

O Security Hub CSPM agrega descobertas de vários AWS serviços, como Amazon, Amazon GuardDuty Inspector e Amazon Macie. O Security Hub CSPM também permite que os usuários partam de uma GuardDuty descoberta para iniciar uma investigação no Amazon Detective.

No entanto, as relações administrador-membro configuradas nesses outros serviços não se aplicam automaticamente ao CSPM do Security Hub. O CSPM do Security Hub recomenda que você use a mesma conta da conta de administrador para todos esses serviços. Essa conta de administrador deve ser uma conta responsável pelas ferramentas de segurança. A mesma conta também deve ser a conta agregadora do AWS Config.

Por exemplo, um usuário da conta de GuardDuty administrador A pode ver as descobertas das contas de GuardDuty membros B e C no GuardDuty console. Se a conta A ativar o CSPM do Security Hub, os usuários da conta A *não* verão automaticamente GuardDuty as descobertas das contas B e C no CSPM do Security Hub. Uma relação administrador-membro do CSPM do Security Hub também é necessária para essas contas.

Para fazer isso, torne a conta A a conta de administrador do CSPM do Security Hub e habilite as contas B e C para se tornarem contas de membro do CSPM do Security Hub.

# Gerenciando o CSPM do Security Hub para várias contas com AWS Organizations
<a name="securityhub-accounts-orgs"></a>

Você pode integrar o CSPM do AWS Security Hub com e AWS Organizations, em seguida, gerenciar o CSPM do Security Hub para contas em sua organização.

Para integrar o Security Hub CSPM com AWS Organizations, você cria uma organização em. AWS Organizations A conta gerencial do Organizations designa uma conta como administrador delegado do CSPM do Security Hub para a organização. O administrador delegado pode então habilitar o CSPM do Security Hub para outras contas na organização, adicionar essas contas como contas de membro do CSPM do Security Hub e realizar as ações permitidas nas contas de membro. O administrador delegado do CSPM do Security Hub pode habilitar e gerenciar o CSPM do Security Hub com até 10.000 contas de membro.

A extensão das habilidades de configuração do administrador delegado depende de você usar a [configuração central](central-configuration-intro.md). Com a configuração central habilitada, você não precisa configurar o CSPM do Security Hub separadamente em cada conta de membro e Região da AWS. O administrador delegado pode aplicar configurações específicas de CSPM do Security Hub em contas de membros e unidades organizacionais () OUs especificadas em todas as regiões.

A conta de administrador delegado do CSPM do Security Hub pode realizar as ações a seguir em contas de membro:
+ Se estiver usando a configuração central, configure centralmente o CSPM do Security Hub para contas de membros e OUs criando políticas de configuração do CSPM do Security Hub. As políticas de configuração podem ser usadas para habilitar e desabilitar o CSPM do Security Hub, habilitar e desabilitar padrões e habilitar e desabilitar controles.
+ Trate automaticamente as *novas* contas como contas de membro do CSPM do Security Hub quando elas forem adicionadas à organização. Se você usa a configuração central, uma política de configuração associada a uma UO inclui contas novas e existentes que fazem parte da UO.
+ Trate as contas *existentes* da organização como contas de membro do CSPM do Security Hub. Isso acontecerá automaticamente se você usar a configuração central.
+ Desassociar contas de membro que pertencem à organização. Se você usar a configuração central, poderá desassociar uma conta de membro somente depois de designá-la como autogerenciada. Como alternativa, é possível associar uma política de configuração que desabilite o CSPM do Security Hub a contas de membro específicas gerenciadas centralmente.

Se você fizer a opção de usar a configuração central, sua organização usará um tipo de configuração padrão denominado configuração local. Na configuração local, o administrador delegado tem uma capacidade mais limitada de aplicar configurações nas contas de membro. Para obter mais informações, consulte [Noções básicas sobre a configuração local no CSPM do Security Hub](local-configuration.md).

Para obter uma lista completa das ações que o administrador delegado pode realizar nas contas dos membros, consulte [Ações permitidas pelo administrador e contas de membro no CSPM do Security Hub](securityhub-accounts-allowed-actions.md).

Os tópicos desta seção explicam como integrar o CSPM do Security Hub com AWS Organizations e como gerenciar o CSPM do Security Hub para contas em uma organização. Quando relevante, cada seção identifica os benefícios e as diferenças de gerenciamento para os usuários da configuração central.

**Topics**
+ [Integrando o Security Hub CSPM com AWS Organizations](designate-orgs-admin-account.md)
+ [Habilitação automática do CSPM do Security Hub em novas contas da organização](accounts-orgs-auto-enable.md)
+ [Habilitação automática do CSPM do Security Hub em novas contas da organização](orgs-accounts-enable.md)
+ [Desassociação das contas de membro do CSPM do Security Hub da sua organização](accounts-orgs-disassociate.md)

# Integrando o Security Hub CSPM com AWS Organizations
<a name="designate-orgs-admin-account"></a>

Para integrar o AWS Security Hub CSPM e AWS Organizations, você cria uma organização no Organizations e usa a conta de gerenciamento da organização para designar uma conta delegada de administrador do CSPM do Security Hub. Isso habilita o CSPM do Security Hub como um serviço confiável no Organizations. Essa ação também habilita o CSPM do Security Hub na Região da AWS atual para a conta de administrador delegado e permite que o administrador delegado habilite o CSPM do Security Hub para as contas de membro, visualize dados nas contas de membro e realize outras [ações permitidas](securityhub-accounts-allowed-actions.md) nas contas de membro.

Se você usar a [configuração central](central-configuration-intro.md), o administrador delegado também poderá criar políticas de configuração do CSPM do Security Hub que especifiquem como o serviço, os padrões e os controles do CSPM do Security Hub devem ser configurados nas contas da organização.

## Criar uma organização
<a name="create-organization"></a>

Uma organização é uma entidade que você cria para consolidar a sua Contas da AWS , de forma que você possa administrá-la como uma única unidade.

Você pode criar uma organização usando o AWS Organizations console ou usando um comando do SDK AWS CLI APIs ou de um deles. Para obter instruções detalhadas, consulte [Criação de uma organização](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_create.html) no *Guia do usuário do AWS Organizations *.

Você pode usar AWS Organizations para visualizar e gerenciar centralmente todas as contas em sua organização. Uma organização tem uma conta gerencial primária com zero ou mais contas de membro. Você pode organizar as contas em uma estrutura hierárquica em forma de árvore com uma raiz na parte superior e unidades organizacionais (OUs) aninhadas abaixo da raiz. Cada conta pode estar diretamente abaixo da raiz ou colocada em uma das da OUs hierarquia. Uma UO é um contêiner para contas específicas. Por exemplo, é possível criar uma UO de finanças que inclua todas as contas relacionadas a operações financeiras. 

## Recomendações para a escolha do administrador delegado do CSPM do Security Hub
<a name="designate-admin-recommendations"></a>

Se você tiver uma conta de administrador criada a partir do processo de convite manual e estiver fazendo a transição para o gerenciamento de contas com AWS Organizations, recomendamos designar essa conta como administrador delegado do CSPM do Security Hub.

Embora o CSPM APIs e o console do Security Hub permitam que a conta de gerenciamento da organização seja o administrador delegado do CSPM do Security Hub, recomendamos escolher duas contas diferentes. Isso ocorre porque os usuários que têm acesso à conta gerencial da organização para gerenciar o faturamento provavelmente são diferentes dos usuários que precisam acessar o CSPM do Security Hub para gerenciamento de segurança.

Recomendamos o uso da mesma conta de administrador delegado nas regiões. Se você optar pela configuração central, o CSPM do Security Hub designará automaticamente o mesmo administrador delegado em sua região inicial e em qualquer região vinculada.

## Verificar as permissões para configurar o administrador delegado
<a name="designate-admin-permissions"></a>

Para designar e remover uma conta de administrador delegado do CSPM do Security Hub, a conta gerencial da organização deve ter permissões para as ações `EnableOrganizationAdminAccount` e `DisableOrganizationAdminAccount` no CSPM do Security Hub. A conta gerencial do Organizations também deve ter permissões administrativas para o Organizations.

Para conceder todas as permissões necessárias, anexe as políticas gerenciadas a seguir do Security Hub à entidade principal do IAM na conta gerencial da organização:
+ [https://docs.aws.amazon.com/securityhub/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-awssecurityhubfullaccess](https://docs.aws.amazon.com/securityhub/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-awssecurityhubfullaccess)
+ [https://docs.aws.amazon.com/securityhub/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-awssecurityhuborganizationsaccess](https://docs.aws.amazon.com/securityhub/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-awssecurityhuborganizationsaccess)

## Designar o administrador delegado
<a name="designate-admin-instructions"></a>

Para designar a conta de administrador delegado do CSPM do Security Hub, é possível usar o console do CSPM do Security Hub, a API do CSPM do Security Hub ou a AWS CLI. O CSPM do Security Hub define o administrador delegado Região da AWS somente no atual, e você deve repetir a ação em outras regiões. Se você começar a usar a configuração central, o CSPM do Security Hub definirá automaticamente o mesmo administrador delegado na região inicial e nas regiões vinculadas.

A conta gerencial da organização não precisa habilitar o CSPM do Security Hub para designar a conta de administrador delegado do CSPM do Security Hub.

Recomendamos que a conta gerencial da organização não seja a conta de administrador do CSPM do Security Hub. Porém, se você escolher a conta gerencial da organização como a conta de administrador delegado do CSPM do Security Hub, a conta gerencial deverá ter o CSPM do Security Hub habilitado. Se a conta gerencial não tiver o CSPM do Security Hub habilitado, será necessário habilitar o CSPM do Security Hub para ela manualmente. O CSPM do Security Hub não pode ser habilitado automaticamente para a conta gerencial da organização.

É necessário designar o administrador delegado do CSPM do Security Hub usando um dos métodos a seguir. A designação do administrador delegado do CSPM do Security Hub com Organizations APIs não se reflete no CSPM do Security Hub.

Escolha seu método preferido e siga as etapas para designar a conta de administrador delegado do CSPM do Security Hub.

------
#### [ Security Hub CSPM console ]

**Para designar o administrador delegado durante o onboarding**

1. Abra o console CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Escolha **Ir para o CSPM do Security Hub**. Você será orientado a fazer login na conta gerencial da organização.

1. Na página **Designar administrador delegado**, na seção **Conta de administrador delegado**, especifique a conta de administrador delegado. Recomendamos escolher o mesmo administrador delegado que você definiu para outros serviços de segurança e conformidade da AWS .

1. Escolha **Definir administrador delegado**. Será necessário entrar na conta de administrador delegado (se ainda não tiver feito isso) para continuar a integração com a configuração central. Se não quiser iniciar a configuração central, escolha **Cancelar**. Seu administrador delegado está definido, mas você ainda não está usando a configuração central.

**Para designar o administrador delegado na página **Configurações****

1. Abra o console CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. No painel de navegação do CSPM do Security Hub, escolha **Configurações**. Em seguida, escolha **Geral**.

1. Se uma conta de administrador do CSPM do Security Hub estiver atualmente atribuída, então antes de designar uma nova conta, será necessário remover a conta atual.

   Em **Administrador delegado**, para remover a conta atual, escolha **Remover**.

1. Insira o ID da conta que você deseja designar como conta de administrador do **CSPM do Security Hub**.

   É necessário designar a mesma conta de administrador do CSPM do Security Hub em todas as regiões. Se você designar uma conta diferente da conta designada em outras regiões, o console retornará um erro.

1. Selecione **Delegar**.

------
#### [ Security Hub CSPM API, AWS CLI ]

Na conta gerencial da organização, use a operação [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_EnableOrganizationAdminAccount.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_EnableOrganizationAdminAccount.html) da API do CSPM do Security Hub. Se você estiver usando a AWS CLI, execute o comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-organization-admin-account.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-organization-admin-account.html). Forneça o ID da Conta da AWS do administrador delegado do CSPM do Security Hub.

O exemplo a seguir designa o administrador delegado do CSPM do Security Hub. Este exemplo está formatado para Linux, macOS ou Unix e usa o caractere de continuação de linha “barra invertida (\$1)” para melhorar a legibilidade.

```
$ aws securityhub enable-organization-admin-account --admin-account-id 123456789012
```

------

# Remover ou alterar o administrador delegado
<a name="remove-admin-overview"></a>

Somente a conta gerencial da organização pode remover uma conta de administrador delegado do CSPM do Security Hub.

Para alterar o administrador delegado do CSPM do Security Hub, é necessário primeiro remover a conta atual do administrador delegado e depois designar outra.

**Atenção**  
Ao usar a [configuração central](central-configuration-intro.md), você não pode usar o console CSPM do Security Hub ou o CSPM do Security Hub APIs para alterar ou remover a conta do administrador delegado. Se a conta de gerenciamento da organização usar o AWS Organizations console ou AWS Organizations APIs para alterar ou remover o administrador delegado do CSPM do Security Hub, o Security Hub CSPM interromperá automaticamente a configuração central e excluirá suas políticas de configuração e associações de políticas. As contas de membro retêm as configurações que tinham antes de o administrador delegado ser alterado ou removido.

Se você usar o console do CSPM do Security Hub para remover o administrador delegado em uma região, ele será removido automaticamente em todas as regiões.

A API do CSPM do Security Hub só remove a conta de administrador delegado do CSPM do Security Hub da região em que o comando ou a chamada de API são emitidos. É necessário repetir a ação em outras regiões.

Se você usar a API do Organizations para remover a conta de administrador delegado do CSPM do Security Hub, ela será removida automaticamente de todas as regiões.

## Removendo o administrador delegado (Organizations API, AWS CLI)
<a name="remove-admin-orgs"></a>

É possível usar o Organizations para remover o administrador delegado do CSPM do Security Hub de todas as regiões.

Se você usar a configuração central para gerenciar contas, a remoção da conta de administrador delegado resultará na exclusão de suas políticas de configuração e associações de políticas. As contas de membro retêm as configurações que tinham antes de o administrador delegado ser alterado ou removido. Entretanto, essas contas não poderão mais ser gerenciadas pela conta de administrador delegado removida. Elas se tornam contas autogerenciadas que devem ser configuradas separadamente em cada região.

Escolha seu método preferido e siga as instruções para remover a conta de administrador delegada do CSPM do Security Hub com. AWS Organizations

------
#### [ Organizations API, AWS CLI ]

**Para remover o administrador delegado do CSPM do Security Hub**

Na conta gerencial da organização, use a operação [https://docs.aws.amazon.com/organizations/latest/APIReference/API_DeregisterDelegatedAdministrator.html](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DeregisterDelegatedAdministrator.html) da API do Organizations. Se você estiver usando a AWS CLI, execute o comando [deregister-delegated-administrator](https://docs.aws.amazon.com/cli/latest/reference/organizations/deregister-delegated-administrator.html). Forneça o ID da conta do administrador delegado e a entidade principal do serviço para o CSPM do Security Hub, que é `securityhub.amazonaws.com`.

O exemplo a seguir remove o administrador delegado do CSPM do Security Hub. Este exemplo está formatado para Linux, macOS ou Unix e usa o caractere de continuação de linha “barra invertida (\$1)” para melhorar a legibilidade.

```
$ aws organizations deregister-delegated-administrator --account-id 123456789012 --service-principal securityhub.amazonaws.com
```

------

## Remoção do administrador delegado (console do CSPM do Security Hub)
<a name="remove-admin-console"></a>

É possível usar o console do CSPM do Security Hub para remover o administrador delegado do CSPM do Security Hub em todas as regiões.

Quando a conta de administrador delegado do CSPM do Security Hub for removida, as contas de membro serão desassociadas da conta do administrador delegado do CSPM do Security Hub removida.

O CSPM do Security Hub ainda estará habilitado nas contas de membro. Elas se tornam contas autônomas até que um novo administrador do CSPM do Security Hub as habilite como contas de membro.

Se a conta gerencial da organização não for uma conta habilitada no CSPM do Security Hub, use a opção na página **Bem-vindo ao CSPM do Security Hub**.

**Para remover a conta do administrador delegado do CSPM do Security Hub na página **Bem-vindo ao CSPM do Security Hub****

1. Abra o console CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Escolha **Ir para o Security Hub**.

1. Em **Administrador delegado**, escolha **Remover**.

Se a conta gerencial da organização for uma conta habilitada no **Security Hub**, use a opção na guia **Geral** da página **Configurações**.

**Para remover a conta do administrador delegado do CSPM do Security Hub na página **Configurações****

1. Abra o console CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. No painel de navegação do CSPM do Security Hub, escolha **Configurações**. Em seguida, escolha **Geral**.

1. Em **Administrador delegado**, escolha **Remover**.

## Removendo o administrador delegado (API CSPM do Security Hub) AWS CLI
<a name="remove-admin-api"></a>

Você pode usar a API CSPM do Security Hub ou as operações CSPM do Security Hub AWS CLI para remover o administrador delegado do CSPM do Security Hub. Quando você remove o administrador delegado com um desses métodos, ele só é removido na região onde o comando ou a chamada de API foram emitidos. O Security Hub CSPM não atualiza outras regiões e não remove a conta de administrador delegado em. AWS Organizations

Escolha seu método preferido e siga estas etapas para remover a conta de administrador delegado do CSPM do Security Hub com o CSPM do Security Hub.

------
#### [ Security Hub CSPM API, AWS CLI ]

**Para remover o administrador delegado do CSPM do Security Hub**

Na conta gerencial da organização, use a operação [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisableOrganizationAdminAccount.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisableOrganizationAdminAccount.html) da API do CSPM do Security Hub. Se você estiver usando o AWS CLI, execute o [https://docs.aws.amazon.com/cli/latest/reference/securityhub/disable-organization-admin-account.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/disable-organization-admin-account.html)comando. Forneça o ID da conta de administrador delegado do CSPM do Security Hub.

O exemplo a seguir remove o administrador delegado do CSPM do Security Hub. Este exemplo está formatado para Linux, macOS ou Unix e usa o caractere de continuação de linha “barra invertida (\$1)” para melhorar a legibilidade.

```
$ aws securityhub disable-organization-admin-account --admin-account-id 123456789012
```

------

# Desativando a integração do Security Hub CSPM com AWS Organizations
<a name="disable-orgs-integration"></a>

Depois que uma AWS Organizations organização é integrada ao CSPM do AWS Security Hub, a conta de gerenciamento do Organizations pode posteriormente desativar a integração. Como um usuário da conta gerencial do Organizations, é possível fazer isso desabilitando o acesso confiável para o CSPM do Security Hub no AWS Organizations.

Quando você desabilita o acesso confiável para o CSPM do Security Hub, ocorre o seguinte:
+ O Security Hub CSPM perde seu status de serviço confiável em. AWS Organizations
+ A conta de administrador delegado do CSPM do Security Hub perde o acesso às configurações, dados e recursos do CSPM do Security Hub para todas as contas de membro do CSPM do Security Hub em todas as Regiões da AWS.
+ Se você estava usando a [configuração central](central-configuration-intro.md), o CSPM do Security Hub automaticamente deixará de usá-la em sua organização. Suas políticas de configuração e associações de políticas são excluídas. As contas retêm as configurações que tinham antes de você desabilitar o acesso confiável.
+ Todas as contas de membro do CSPM do Security Hub se tornam contas autônomas e retêm suas configurações atuais. Se o CSPM do Security Hub tiver sido habilitado para uma conta de membro em uma ou mais regiões, o CSPM do Security Hub continuará habilitado para a conta nessas regiões. Os padrões e controles habilitados também permanecem inalterados. É possível alterar essas configurações separadamente em cada conta e região. Contudo, a conta não estará mais associada a um administrador delegado em nenhuma região.

Para obter informações adicionais sobre os resultados da desativação do acesso a serviços confiáveis, consulte [Usando AWS Organizations com outros Serviços da AWS](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html) no *Guia do AWS Organizations Usuário*. 

Para desativar o acesso confiável, você pode usar o AWS Organizations console, a API Organizations ou AWS CLI o. Somente um usuário da conta gerencial do Organizations pode desabilitar o acesso confiável a serviços para o CSPM do Security Hub. Para obter detalhes sobre as permissões necessárias, consulte [Permissões necessárias para desabilitar o acesso confiável](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html#orgs_trusted_access_disable_perms) no *Guia do Usuário do AWS Organizations *.

Antes de desabilitar o acesso confiável, recomendamos trabalhar com o administrador delegado da sua organização para desabilitar o CSPM do Security Hub em contas de membro e limpar os recursos do CSPM do Security Hub nessas contas.

Escolha seu método preferido e siga as etapas para desabilitar o acesso confiável para o CSPM do Security Hub.

------
#### [ Organizations console ]

**Para desabilitar o acesso confiável para o CSPM do Security Hub**

1. Faça login no Console de gerenciamento da AWS usando as credenciais da conta de AWS Organizations gerenciamento.

1. Abra o console Organizations em [https://console.aws.amazon.com/organizations/](https://console.aws.amazon.com/organizations/).

1. No painel de navegação, escolha **Serviços**.

1. Em **Serviços integrados**, escolha **CSPM do AWS Security Hub**.

1. Escolha **Desabilitar acesso confiável**.

1. Confirme que você deseja desativar o acesso confiável.

------
#### [ Organizations API ]

**Para desabilitar o acesso confiável para o CSPM do Security Hub**

Invoque a operação [Disable AWSService Access](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html) da AWS Organizations API. No parâmetro `ServicePrincipal`, especifique a entidade principal de serviço do CSPM do Security Hub (`securityhub.amazonaws.com`).

------
#### [ AWS CLI ]

**Para desabilitar o acesso confiável para o CSPM do Security Hub**

Execute o [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)comando da AWS Organizations API. No parâmetro `service-principal`, especifique a entidade principal de serviço do CSPM do Security Hub (`securityhub.amazonaws.com`).

**Exemplo:**

```
aws organizations disable-aws-service-access --service-principal securityhub.amazonaws.com
```

------

# Habilitação automática do CSPM do Security Hub em novas contas da organização
<a name="accounts-orgs-auto-enable"></a>

Quando novas contas ingressam na sua organização, elas são adicionadas à lista na página **Contas** do console CSPM do AWS Security Hub. Para contas da organização, o **Tipo** é **Por organização**. Por padrão, novas contas não se tornam membros do CSPM do Security Hub quando ingressam na organização. O status delas é **Não é membro**. A conta do administrador delegado pode adicionar automaticamente novas contas como membros e habilitar o CSPM do Security Hub nessas contas quando elas ingressam na organização.

**nota**  
Embora muitas Regiões da AWS estejam ativas por padrão para você Conta da AWS, você deve ativar determinadas regiões manualmente. Essas regiões são chamadas de regiões de adesão opcional neste documento. Para habilitar automaticamente o CSPM do Security Hub em uma nova conta em uma região de adesão opcional, a conta deve primeiro ter essa região habilitada. Apenas o proprietário da conta pode ativar a região de adesão opcional. Para obter mais informações sobre regiões opcionais, consulte [Especificar quais Regiões da AWS sua conta pode usar](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html).

Esse processo é diferente dependendo de você usar a configuração central (recomendada) ou a configuração local.

## Habilitação automática de novas contas da organização (configuração central)
<a name="central-configuration-auto-enable"></a>

Se você usar a [configuração central](central-configuration-intro.md), poderá habilitar automaticamente o CSPM do Security Hub em contas novas e existentes da organização criando uma política de configuração na qual o CSPM do Security Hub esteja habilitado. Em seguida, você pode associar a política à raiz da organização ou a unidades organizacionais específicas (OUs).

Se você associar uma política de configuração na qual o CSPM do Security Hub esteja habilitado a uma UO específica, o CSPM do Security Hub será habilitado automaticamente em todas as contas (existentes e novas) que pertençam a essa UO. As novas contas que não pertençam à UO são autogerenciadas e não têm o CSPM do Security Hub habilitado automaticamente. Se você associar uma política de configuração na qual o CSPM do Security Hub esteja habilitado com a raiz, o CSPM do Security Hub será habilitado automaticamente em todas as contas (existentes e novas) que ingressem na organização. As exceções são se uma conta usar uma política diferente por meio de aplicação ou herança, ou se for autogerenciada.

Em sua política de configuração, você também pode definir quais padrões e controles de segurança devem ser habilitados na UO. Para gerar descobertas de controle para padrões habilitados, as contas na OU devem estar AWS Config habilitadas e configuradas para registrar os recursos necessários. Para obter mais informações sobre AWS Config gravação, consulte [Habilitando e configurando. AWS Config](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-prereq-config.html)

Para obter instruções sobre como criar uma política de configuração, consulte [Criação e associação de políticas de configuração](create-associate-policy.md).

## Habilitação automática de novas contas da organização (configuração local)
<a name="limited-configuration-auto-enable"></a>

Quando você usa a configuração local e ativa a habilitação automática dos padrões, o CSPM do Security Hub adiciona as *novas* contas da organização como membros e habilita nelas o CSPM do Security Hub na região atual. As outras regiões não são afetadas. Além disso, ativar a habilitação automática não habilita o CSPM do Security Hub nas contas *existentes* da organização, a menos que elas já tenham sido adicionadas como contas de membro.

Depois de ativar a habilitação automática, os padrões de segurança também são habilitados automaticamente para as novas contas da região atual ao ingressarem na organização. Os padrões padrão são AWS Foundational Security Best Practices (FSBP) e Center for Internet Security (CIS) AWS Foundations Benchmark v1.2.0. Não é possível alterar os padrões padrão. Se você quiser habilitar outros padrões em toda a sua organização ou habilitar padrões para contas selecionadas OUs, recomendamos usar a configuração central.

Para gerar descobertas de controle para os padrões padrão (e outros padrões habilitados), as contas em sua organização devem estar AWS Config habilitadas e configuradas para registrar os recursos necessários. Para obter mais informações sobre AWS Config gravação, consulte [Habilitando e configurando. AWS Config](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-prereq-config.html)

Escolha seu método preferido e siga as etapas para habilitar automaticamente o CSPM do Security Hub em novas contas da organização. Essas instruções se aplicam somente se você usar a configuração local.

------
#### [ Security Hub CSPM console ]

**Para habilitar automaticamente novas contas da organização como membros do CSPM do Security Hub**

1. Abra o console CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Faça login usando as credenciais da conta do administrador delegado.

1. No painel de navegação do CSPM do Security Hub, em **Configurações**, escolha **Configuração**.

1. Na seção **Contas**, ative a **Habilitação automática de contas**.

------
#### [ Security Hub CSPM API ]

**Para habilitar automaticamente novas contas da organização como membros do CSPM do Security Hub**

Invoque a API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html) a partir da conta do administrador delegado. Defina o campo `AutoEnable` como `true` para habilitar automaticamente o CSPM do Security Hub nas novas contas da organização.

------
#### [ AWS CLI ]

**Para habilitar automaticamente novas contas da organização como membros do CSPM do Security Hub**

Execute o comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html) a partir da conta do administrador delegado. Inclua o parâmetro `auto-enable` para habilitar automaticamente o CSPM do Security Hub em novas contas da organização.

```
aws securityhub update-organization-configuration --auto-enable
```

------

# Habilitação automática do CSPM do Security Hub em novas contas da organização
<a name="orgs-accounts-enable"></a>

Se você não habilitar automaticamente o CSPM do Security Hub nas novas contas quando elas ingressarem na organização, será possível habilitar o CSPM do Security Hub nessas contas manualmente depois que elas ingressarem na organização. Você também deve habilitar manualmente o CSPM do Security Hub, pois você Contas da AWS se desassociou anteriormente de uma organização.

**nota**  
Esta seção não se aplica a você se você usar a [configuração central](central-configuration-intro.md). Se você usar a configuração central, poderá criar políticas de configuração que habilitem o CSPM do Security Hub em contas de membros e unidades organizacionais especificadas ()OUs. Você também pode ativar padrões e controles específicos nessas contas OUs e.

Você não pode habilitar o CSPM do Security Hub em uma conta se ela já for uma conta de membro em uma organização diferente.

Você também não pode habilitar o CSPM do Security Hub em uma conta que esteja suspensa no momento. Se você tentar habilitar o serviço em uma conta suspensa, o status da conta mudará para **Conta suspensa**.
+ Se a conta não tiver o CSPM do Security Hub habilitado, o CSPM do Security Hub será habilitado nessa conta. O padrão AWS Foundational Security Best Practices (FSBP) e o CIS AWS Foundations Benchmark v1.2.0 também estão habilitados na conta, a menos que você desative os padrões de segurança padrão.

  A exceção é a conta gerencial do Organizations. O CSPM do Security Hub não pode ser habilitado automaticamente na conta gerencial do Organizations. É necessário habilitar manualmente o CSPM do Security Hub na conta gerencial do Organization antes de poder adicioná-lo como uma conta de membro.
+ Se a conta já tiver o CSPM do Security Hub habilitado, o CSPM do Security Hub não fará nenhuma outra alteração na conta. Ele só habilita a participação como membro.

Para que o Security Hub CSPM gere descobertas de controle, as contas dos membros devem estar AWS Config habilitadas e configuradas para registrar os recursos necessários. Para obter mais informações, consulte [Habilitar e configurar a AWS Config](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-prereq-config.html).

Escolha seu método preferido e siga as etapas para habilitar uma conta da organização como conta de membro do CSPM do Security Hub.

------
#### [ Security Hub CSPM console ]

**Para habilitar manualmente as contas da organização como membros do CSPM do Security Hub**

1. Abra o console CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Faça login usando as credenciais da conta do administrador delegado.

1. No painel de navegação do CSPM do Security Hub, em **Configurações**, escolha **Configuração**.

1. Na lista **Contas**, selecione cada conta da organização que você deseja habilitar.

1. Escolha **Ações** e, em seguida, escolha **Adicionar membro**.

------
#### [ Security Hub CSPM API ]

**Para habilitar manualmente as contas da organização como membros do CSPM do Security Hub**

Invoque a API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateMembers.html) a partir da conta do administrador delegado. Para que cada conta seja habilitada, forneça o ID da conta.

Ao contrário do processo de convite manual, quando você invocar `CreateMembers` para habilitar uma conta da organização, você não precisará enviar um convite.

------
#### [ AWS CLI ]

**Para habilitar manualmente as contas da organização como membros do CSPM do Security Hub**

Execute o comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-members.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-members.html) a partir da conta do administrador delegado. Para que cada conta seja habilitada, forneça o ID da conta.

Ao contrário do processo de convite manual, quando você executar `create-members` para habilitar uma conta da organização, você não precisará enviar um convite.

```
aws securityhub create-members --account-details '[{"AccountId": "<accountId>"}]'
```

**Exemplo**

```
aws securityhub create-members --account-details '[{"AccountId": "123456789111"}, {"AccountId": "123456789222"}]'
```

------

# Desassociação das contas de membro do CSPM do Security Hub da sua organização
<a name="accounts-orgs-disassociate"></a>

Para parar de receber e visualizar descobertas de uma conta de membro do CSPM do AWS Security Hub, você pode desassociar a conta membro da sua organização.

**nota**  
Se você usar a [configuração central](central-configuration-intro.md), a desassociação funcionará de forma diferente. É possível criar uma política de configuração que desabilite o CSPM do Security Hub em uma ou mais contas de membro gerenciadas centralmente. Depois disso, essas contas ainda farão parte da organização, mas não gerarão descobertas do CSPM do Security Hub. Se você usar a configuração central, mas também tiver contas de membro convidadas manualmente, será possível desassociar uma ou mais contas convidadas manualmente.

As contas de membros que são gerenciadas usando não AWS Organizations podem desassociar suas contas da conta de administrador. Somente a conta do administrador pode desassociar uma conta de membro.

A desassociação de uma conta de membro não fecha a conta. Em vez disso, ela remove a conta de membro da organização. A conta de membro desassociada se torna autônoma Conta da AWS e não é mais gerenciada pela integração do CSPM do Security Hub com. AWS Organizations

Escolha seu método preferido e siga as etapas para desassociar uma conta de membro da organização.

------
#### [ Security Hub CSPM console ]

**Para desassociar uma conta de membro de uma organização**

1. Abra o console CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Faça login usando as credenciais da conta do administrador delegado.

1. No painel de navegação, em **Configurações**, selecione **Configuração**.

1. Na seção **Contas**, selecione as contas que você deseja desassociar. Se você usar a configuração central, poderá selecionar uma conta convidada manualmente para se dissociar na guia `Invitation accounts`. Essa guia ficará visível apenas se você usar a configuração central.

1. Escolha **Ações** e, em seguida, escolha **Desassociar conta**.

------
#### [ Security Hub CSPM API ]

**Para desassociar uma conta de membro de uma organização**

Invoque a API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisassociateMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisassociateMembers.html) a partir da conta do administrador delegado. Você deve fornecer o Conta da AWS IDs para que as contas dos membros se desassociem. Para ver uma lista de contas de membro, invoque a API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListMembers.html).

------
#### [ AWS CLI ]

**Para desassociar uma conta de membro de uma organização**

Execute o comando [ >`disassociate-members`](https://docs.aws.amazon.com/cli/latest/reference/securityhub/disassociate-members.html) a partir da conta do administrador delegado. Você deve fornecer o Conta da AWS IDs para que as contas dos membros se desassociem. Para ver uma lista de contas de membro, execute o comando [ >`list-members`](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-members.html).

```
aws securityhub disassociate-members --account-ids "<accountIds>"
```

**Exemplo**

```
aws securityhub disassociate-members --account-ids "123456789111" "123456789222"
```

------

 Você também pode usar o AWS Organizations console, AWS CLI, ou AWS SDKs para desassociar uma conta de membro da sua organização. Para obter mais informações, consulte [Remoção de uma conta de membro da sua organização](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_remove.html) no *Guia do usuário do AWS Organizations *.

# Gerenciamento de contas por convites no CSPM do Security Hub
<a name="account-management-manual"></a>

Você pode gerenciar centralmente várias contas CSPM do AWS Security Hub de duas maneiras: integrando o CSPM do Security Hub ou enviando e aceitando manualmente os AWS Organizations convites de associação. Você deve usar o processo manual se tiver uma conta independente ou não se integrar à AWS Organizations. No gerenciamento manual de contas, o administrador do CSPM do Security Hub convida as contas a se tornar membros. A relação administrador-membro é estabelecida quando uma conta de membro em potencial aceita o convite. Uma conta de administrador do CSPM do Security Hub pode gerenciar o CSPM do Security Hub para até 1.000 contas de membro baseadas em convites. 

**nota**  
Se você criar uma organização baseada em convites no CSPM do Security Hub, poderá, posteriormente, fazer a [transição para uso do AWS Organizations](accounts-transition-to-orgs.md) em vez disso. Se você tiver mais de uma conta de membro, recomendamos usar AWS Organizations em vez dos convites do CSPM do Security Hub para gerenciar suas contas de membros. Para mais informações, consulte [Gerenciando o CSPM do Security Hub para várias contas com AWS Organizations](securityhub-accounts-orgs.md).

A agregação entre regiões de descobertas e outros dados está disponível para contas que você convida por meio do processo de convite manual. Porém, o administrador deve convidar a conta de membro da região de agregação e de todas as regiões vinculadas para que a agregação entre regiões funcione. Além disso, a conta de membro deve ter o CSPM do Security Hub habilitado na região de agregação e em todas as regiões vinculadas para que o administrador possa visualizar descobertas na conta de membro.

As políticas de configuração não são compatíveis com contas de membro convidadas manualmente. Em vez disso, você deve definir as configurações de CSPM do Security Hub separadamente em cada conta de membro e Região da AWS ao usar o processo de convite manual.

Você também deve usar o processo manual baseado em convites para contas que não pertençam à sua organização. Por exemplo, talvez não inclua uma conta de teste na sua organização. Ou talvez você queira consolidar contas de várias organizações em uma única conta de administrador do CSPM do Security Hub. A conta de administrador do CSPM do Security Hub deve enviar convites para contas pertencentes a outras organizações.

Na página **Configuração** do console do CSPM do Security Hub, as contas que foram adicionadas por convite são listadas na guia **Contas de convite**. Se você usa a [configuração central](central-configuration-intro.md), mas também convida contas fora da sua organização, será possível ver as descobertas de contas baseadas em convites nesta guia. Entretanto, o administrador do CSPM do Security Hub não pode configurar contas baseadas em convites em todas as regiões por meio do uso de políticas de configuração.

Os tópicos desta seção explicam como gerenciar as contas membro por meio de convites.

**Topics**
+ [Adição e convite de contas de membro no CSPM do Security Hub](securityhub-accounts-add-invite.md)
+ [Respostas a um convite para ser uma conta de membro do CSPM do Security Hub](securityhub-invitation-respond.md)
+ [Desassociação de contas de membro no CSPM do Security Hub](securityhub-disassociate-members.md)
+ [Exclusão de contas de membro no CSPM do Security Hub](securityhub-delete-member-accounts.md)
+ [Desassociação de uma conta de administrador do CSPM do Security Hub](securityhub-disassociate-from-admin.md)
+ [Transição para o Organizations para gerenciamento de contas no CSPM do Security Hub](accounts-transition-to-orgs.md)

# Adição e convite de contas de membro no CSPM do Security Hub
<a name="securityhub-accounts-add-invite"></a>

**nota**  
Recomendamos usar, AWS Organizations em vez dos convites de CSPM do Security Hub, para gerenciar suas contas de membros. Para mais informações, consulte [Gerenciando o CSPM do Security Hub para várias contas com AWS Organizations](securityhub-accounts-orgs.md).

Sua conta se torna a administradora do CSPM do AWS Security Hub para contas que aceitam seu convite para se tornarem uma conta membro do CSPM do Security Hub.

Quando você aceita um convite de outra conta, sua conta se torna uma conta de membro e essa conta se torna seu administrador.

Se sua conta for uma conta de administrador, você não poderá aceitar um convite para se tornar uma conta de membro.

Adicionar uma conta de membro consiste nas seguintes etapas:

1. A conta do administrador adiciona a conta do membro à lista de contas de membro.

1. A conta de administrador envia um convite para a conta de membro.

1. A conta de membro aceita o convite. 

## Adicionando contas de membro
<a name="securityhub-add-accounts"></a>

No console do CSPM do Security Hub, é possível adicionar contas de membro para adicionar contas de membro. No console do CSPM do Security Hub, é possível selecionar contas individualmente ou fazer upload de um arquivo `.csv` que contenha as informações das contas.

Para cada conta, é necessário fornecer o ID da conta e um endereço de email. O endereço de e-mail deve ser o endereço de e-mail para contato sobre problemas de segurança na conta. Esse email não é usado para verificar a conta.

Escolha seu método preferido e siga as etapas para adicionar contas de membro.

------
#### [ Security Hub CSPM console ]

**Para adicionar contas à sua lista de contas de membro**

1. Abra o console CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Faça login usando as credenciais da conta de administrador.

1. No painel esquerdo, escolha **Settings (Configurações)**.

1. Na página **Configurações**, selecione **Contas** e em seguida **Adicionar contas**. Em seguida, você pode adicionar contas individualmente ou fazer upload de um arquivo `.csv`contendo a lista de contas.

1. Para selecionar as contas, siga um destes procedimentos:
   + Para adicionar as contas individualmente, em **Inserir contas**, insira o ID da conta e o endereço de e-mail da conta a ser adicionada e selecione **Adicionar**.

     Repita este processo para cada conta.
   + Para usar um arquivo com valores separados por vírgula (.csv) para adicionar várias contas de membro, primeiro crie o arquivo. O arquivo deve conter o ID da conta e o endereço de e-mail de cada conta a ser adicionada.

     Na sua lista `.csv`, as contas devem aparecer uma por linha. A primeira linha do arquivo `.csv` deve conter o cabeçalho. No cabeçalho, a primeira coluna é **Account ID** e a segunda coluna é **Email**.

     Cada linha subsequente precisa conter um ID de conta válido e um endereço de email da conta a ser adicionada.

     Aqui está um exemplo de um arquivo `.csv` quando visualizado em um editor de texto.

     ```
     Account ID,Email
     111111111111,user@example.com
     ```

     Em um programa de planilhas, os campos aparecem em colunas separadas. O formato subjacente ainda está separado por vírgula. Você deve formatar a conta IDs como números não decimais. Por exemplo, a ID da conta 444455556666 não pode ser formatada como 444455556666.0. Além disso, certifique-se de que a formatação numérica não remova nenhum zero à esquerda do ID da conta.

     Para selecionar o arquivo, no console, selecione **Lista de upload (.csv)**. Em seguida, selecione **Procurar**.

     Depois de selecionar o arquivo, selecione **Adicionar contas**.

1. Depois de terminar de adicionar contas, em **Contas a serem adicionadas**, selecione **Avançar**.

------
#### [ Security Hub CSPM API ]

**Para adicionar contas à sua lista de contas de membro**

Invoque a API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateMembers.html) a partir da conta do administrador. Para que cada conta de membro seja adicionada, você deve fornecer o Conta da AWS ID.

------
#### [ AWS CLI ]

**Para adicionar contas à sua lista de contas de membro**

Execute o comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-members.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-members.html) a partir da conta do administrador. Para que cada conta de membro seja adicionada, você deve fornecer o Conta da AWS ID.

```
aws securityhub create-members --account-details '[{"AccountId": "<accountID1>"}]'
```

**Exemplo**

```
aws securityhub create-members --account-details '[{"AccountId": "123456789111"}, {"AccountId": "123456789222"}]'
```

------

## Convidar contas de membros
<a name="securityhub-invite-accounts"></a>

Depois de adicionar contas de membro, você envia um convite para essas contas. Também é possível reenviar um convite para uma conta que já tenha desassociado do administrador.

------
#### [ Security Hub CSPM console ]

**Para convidar contas de membro em potencial**

1. Abra o console CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Faça login usando as credenciais da conta de administrador.

1. No painel de navegação, selecione **Configurações** e em seguida **Contas**. 

1. Para a conta a ser convidada, escolha **Invite (Convidar)** na coluna **Status**.

1. Quando solicitado, selecione **Convidar** para confirmar.

**nota**  
Para reenviar convites a contas desassociadas, selecione cada conta desassociada na página **Contas**. Em **Ações**, selecione **Reenviar convite**.

------
#### [ Security Hub CSPM API ]

**Para convidar contas de membro em potencial**

Invoque a API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_InviteMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_InviteMembers.html) a partir da conta do administrador. Para cada conta convidada, você deve fornecer o Conta da AWS ID.

------
#### [ AWS CLI ]

**Para convidar contas de membro em potencial**

Execute o comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/invite-members.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/invite-members.html) a partir da conta do administrador. Para cada conta convidada, você deve fornecer o Conta da AWS ID.

```
aws securityhub invite-members --account-ids <accountIDs>
```

**Exemplo**

```
aws securityhub invite-members --account-ids "123456789111" "123456789222"
```

------

# Respostas a um convite para ser uma conta de membro do CSPM do Security Hub
<a name="securityhub-invitation-respond"></a>

**nota**  
Recomendamos usar, AWS Organizations em vez dos convites de CSPM do Security Hub, para gerenciar suas contas de membros. Para mais informações, consulte [Gerenciando o CSPM do Security Hub para várias contas com AWS Organizations](securityhub-accounts-orgs.md).

Você pode aceitar ou recusar um convite para ser uma conta membro do CSPM do AWS Security Hub.

Depois que você aceita um convite, sua conta se torna uma conta de membro do CSPM do Security Hub. A conta que enviou o convite se torna sua conta de administrador do CSPM do Security Hub. O usuário da conta de administrador pode visualizar as descobertas da sua conta de membro no CSPM do Security Hub.

Se você recusar o convite, sua conta será marcada como **Renunciada** na lista de contas de membros da conta do administrador.

É possível aceitar apenas um convite para ser uma conta de membro.

Antes de poder aceitar ou recusar um convite, será necessário habilitar o CSPM do Security Hub.

Lembre-se de que todas as contas CSPM do Security Hub devem estar AWS Config habilitadas e configuradas para registrar todos os recursos. Para obter detalhes sobre a exigência de AWS Config, consulte [Habilitando e configurando. AWS Config](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-prereq-config.html)

## Aceitar um convite
<a name="securityhub-accept-invitation"></a>

É possível enviar, da conta de administrador, um convite para ser uma conta de membro do CSPM do Security Hub. Em seguida, após fazer login na conta de membro, é possível aceitar o convite.

Escolha seu método preferido e siga as etapas para aceitar um convite para se tornar uma conta de membro.

------
#### [ Security Hub CSPM console ]

**Para aceitar um convite para se tornar membro**

1. Abra o console CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. No painel de navegação, selecione **Configurações** e em seguida **Contas**.

1. Na seção **Conta do administrador**, ative **Aceitar** e, em seguida, escolha **Aceitar convite**.

------
#### [ Security Hub CSPM API ]

**Para aceitar um convite para se tornar membro**

Invoque a API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AcceptAdministratortInvitation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AcceptAdministratortInvitation.html). Você deve fornecer o identificador do convite e o Conta da AWS ID da conta do administrador. Para recuperar detalhes sobre o convite, use a operação [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListInvitations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListInvitations.html).

------
#### [ AWS CLI ]

**Para aceitar um convite para se tornar membro**

Execute o comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/accept-administrator-invitation.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/accept-administrator-invitation.html). Você deve fornecer o identificador do convite e o Conta da AWS ID da conta do administrador. Para recuperar detalhes sobre o convite, execute o comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-invitations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-invitations.html).

```
aws securityhub accept-administrator-invitation --administrator-id <administratorAccountID> --invitation-id <invitationID>
```

**Exemplo**

```
aws securityhub accept-administrator-invitation --administrator-id 123456789012 --invitation-id 7ab938c5d52d7904ad09f9e7c20cc4eb
```

------

**nota**  
O console do CSPM do Security Hub continua usando `AcceptInvitation`. Eventualmente, ele mudará para usar `AcceptAdministratorInvitation`. Todas as políticas do IAM que controlam especificamente o acesso a essa função devem continuar usando `AcceptInvitation`. Você também deve adicionar `AcceptAdministratorInvitation` às suas políticas para garantir que as permissões corretas estejam em vigor após o início do uso do console `AcceptAdministratorInvitation`.

## Recusar um convite
<a name="securityhub-decline-invitation"></a>

É possível recusar um convite para ser uma conta de membro do CSPM do Security Hub. Quando você recusa um convite no console do CSPM do Security Hub, sua conta é marcada como **Renunciada** na lista de contas de membro da conta do administrador. O status **Renunciada** só aparece quando você faz login no console do CSPM do Security Hub usando a conta de administrador. Porém, o convite permanece inalterado no console da conta de membro até você fazer login na conta do administrador e excluir o convite.

Para recusar um convite, é necessário fazer login na conta de membro que recebeu o convite.

Escolha seu método preferido e siga as etapas para recusar um convite para se tornar uma conta de membro.

------
#### [ Security Hub CSPM console ]

**Para recusar um convite para se tornar membro**

1. Abra o console CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. No painel de navegação, selecione **Configurações** e em seguida **Contas**.

1. Na seção **Conta do administrador**, selecione **Recusar convite**.

------
#### [ Security Hub CSPM API ]

**Para recusar um convite para se tornar membro**

Invoque a API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DeclineInvitations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DeclineInvitations.html). Você deve fornecer a Conta da AWS ID da conta do administrador que emitiu o convite. Para ver informações sobre seus convites, use a operação [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListInvitations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListInvitations.html).

------
#### [ AWS CLI ]

**Para recusar um convite para se tornar membro**

Execute o comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/decline-invitations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/decline-invitations.html). Você deve fornecer a Conta da AWS ID da conta do administrador que emitiu o convite. Para ver informações sobre seus convites, execute o comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-invitations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-invitations.html).

```
aws securityhub decline-invitations --account-ids "<administratorAccountId>"
```

**Exemplo**

```
aws securityhub decline-invitations --account-ids "123456789012"
```

------

# Desassociação de contas de membro no CSPM do Security Hub
<a name="securityhub-disassociate-members"></a>

**nota**  
Recomendamos usar, AWS Organizations em vez dos convites de CSPM do Security Hub, para gerenciar suas contas de membros. Para mais informações, consulte [Gerenciando o CSPM do Security Hub para várias contas com AWS Organizations](securityhub-accounts-orgs.md).

Uma conta de administrador do AWS Security Hub CSPM pode desassociar uma conta de membro para parar de receber e visualizar descobertas dessa conta. É necessário desassociar uma conta de membro antes de excluí-la.

Quando você desassocia uma conta de membro, ela permanece na sua lista de contas de membros com o status de **Removida (Desassociada**). Sua conta é removida das informações da conta do administrador da conta de membro.

Para continuar recebendo as descobertas da conta, você pode reenviar o convite. Para remover totalmente a conta de membro, é possível excluí-la.

Escolha seu método preferido e siga as etapas para desassociar uma conta de membro convidada manualmente da conta de administrador.

------
#### [ Security Hub CSPM console ]

**Para desassociar uma conta de membro convidada manualmente**

1. Abra o console CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Faça login usando as credenciais da conta de administrador.

1. No painel de navegação, em **Configurações**, selecione **Configuração**.

1. Na seção **Contas**, selecione as contas que você deseja desassociar.

1. Escolha **Ações** e, em seguida, escolha **Desassociar conta**.

------
#### [ Security Hub CSPM API ]

**Para desassociar uma conta de membro convidada manualmente**

Invoque a API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisassociateMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisassociateMembers.html) a partir da conta do administrador. Você deve fornecer as contas Conta da AWS IDs dos membros que deseja desassociar. Para ver uma lista de contas de membro, use a operação [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListMembers.html).

------
#### [ AWS CLI ]

**Para desassociar uma conta de membro convidada manualmente**

Execute o comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/disassociate-members.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/disassociate-members.html) a partir da conta do administrador. Você deve fornecer as contas Conta da AWS IDs dos membros que deseja desassociar. Para ver uma lista de contas de membro, execute o comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-members.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-members.html).

```
aws securityhub disassociate-members --account-ids <accountIds>
```

**Exemplo**

```
aws securityhub disassociate-members --account-ids "123456789111" "123456789222"
```

------

# Exclusão de contas de membro no CSPM do Security Hub
<a name="securityhub-delete-member-accounts"></a>

**nota**  
Recomendamos usar, AWS Organizations em vez dos convites de CSPM do Security Hub, para gerenciar suas contas de membros. Para mais informações, consulte [Gerenciando o CSPM do Security Hub para várias contas com AWS Organizations](securityhub-accounts-orgs.md).

Como conta de administrador do AWS Security Hub CSPM, você pode excluir contas de membros que foram adicionadas por convite. Antes de poder excluir uma conta ativada, é necessário desassociá-la.

Quando você exclui uma conta de membro, ela é completamente removida da lista. Para restaurar a associação da conta de membro, será necessário adicioná-la e convidá-la novamente, como se fosse uma conta de membro completamente nova.

Você não pode excluir contas que pertencem a uma organização e que são gerenciadas usando a integração com AWS Organizations.

Escolha seu método preferido e siga as etapas para excluir contas de membro manualmente convidadas.

------
#### [ Security Hub CSPM console ]

**Para excluir uma conta de membro manualmente convidada**

1. Abra o console CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Faça login com sua conta de administrador.

1. No painel de navegação, escolha **Configurações** e, em seguida, **Configuração**.

1. Escolha a guia **Contas de convite**. Em seguida, selecione as contas a serem excluídas.

1. Escolha **Ações** e, em seguida, escolha **Excluir**. Essa opção só estará disponível se você tiver desassociado a conta. É necessário desassociar uma conta de membro antes que ela possa ser excluída.

------
#### [ Security Hub CSPM API ]

**Para excluir uma conta de membro manualmente convidada**

Invoque a API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DeleteMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DeleteMembers.html) a partir da conta do administrador. Você deve fornecer as contas Conta da AWS IDs dos membros que deseja excluir. Para recuperar a lista de contas de membro, invoque a API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListMembers.html).

------
#### [ AWS CLI ]

**Para excluir uma conta de membro manualmente convidada**

Execute o comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/delete-members.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/delete-members.html) a partir da conta do administrador. Você deve fornecer as contas Conta da AWS IDs dos membros que deseja excluir. Para recuperar a lista de contas de membro, execute o comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-members.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-members.html).

```
aws securityhub delete-members --account-ids <memberAccountIDs>
```

**Exemplo**

```
aws securityhub delete-members --account-ids "123456789111" "123456789222"
```

------

# Desassociação de uma conta de administrador do CSPM do Security Hub
<a name="securityhub-disassociate-from-admin"></a>

**nota**  
Recomendamos usar, AWS Organizations em vez dos convites de CSPM do Security Hub, para gerenciar suas contas de membros. Para mais informações, consulte [Gerenciando o CSPM do Security Hub para várias contas com AWS Organizations](securityhub-accounts-orgs.md).

Se sua conta foi adicionada como uma conta de membro do CSPM do AWS Security Hub por convite, você pode desassociar a conta de membro da conta de administrador. Depois que você desassocia uma conta de membro, o CSPM do Security Hub não envia as descobertas dessa conta para a conta do administrador.

As contas de membros que são gerenciadas usando a integração com não AWS Organizations podem dissociar suas contas da conta de administrador. Somente o administrador delegado do CSPM do Security Hub pode desassociar contas de membro que sejam gerenciadas pelo Organizations.

Quando você se desassocia da sua conta de administrador, sua conta permanece na lista de membros da conta de administrador com o status de **Renunciado**. Entretanto, a conta do administrador não recebe nenhuma descoberta para sua conta.

Depois de você se dissociar da conta de administrador, o convite para ser membro ainda permanecerá. É possível aceitar o convite novamente no futuro.

------
#### [ Security Hub CSPM console ]

**Para se dissociar da sua conta de administrador**

1. Abra o console CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. No painel de navegação, selecione **Configurações** e em seguida **Contas**.

1. Na seção **Conta do administrador**, desative **Aceitar** e, em seguida, escolha **Atualizar**.

------
#### [ Security Hub CSPM API ]

**Para se dissociar da sua conta de administrador**

Invoque a API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisassociateFromAdministratorAccount.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisassociateFromAdministratorAccount.html).

------
#### [ AWS CLI ]

**Para se dissociar da sua conta de administrador**

Execute o comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/disassociate-from-administrator-account.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/disassociate-from-administrator-account.html).

```
aws securityhub disassociate-from-administrator-account
```

------

**nota**  
O console do CSPM do Security Hub continua usando `DisassociateFromMasterAccount`. Eventualmente, ele mudará para usar `DisassociateFromAdministratorAccount`. Todas as políticas do IAM que controlam especificamente o acesso a essa função devem continuar usando `DisassociateFromMasterAccount`. Você também deve adicionar `DisassociateFromAdministratorAccount` às suas políticas para garantir que as permissões corretas estejam em vigor após o início do uso do console `DisassociateFromAdministratorAccount`.

# Transição para o Organizations para gerenciamento de contas no CSPM do Security Hub
<a name="accounts-transition-to-orgs"></a>

Ao gerenciar contas manualmente no CSPM do AWS Security Hub, você deve convidar contas de membros em potencial e configurar cada conta de membro separadamente em cada uma. Região da AWS

Ao integrar o Security Hub CSPM e AWS Organizations, você pode eliminar a necessidade de enviar convites e obter mais controle sobre como o CSPM do Security Hub é configurado e personalizado em sua organização. Por isso, recomendamos usar o AWS Organizations em vez de convites do CSPM do Security Hub para gerenciar as contas de membro. Para mais informações, consulte [Gerenciando o CSPM do Security Hub para várias contas com AWS Organizations](securityhub-accounts-orgs.md).

É possível usar uma abordagem combinada na qual você usa a AWS Organizations integração, mas também convida manualmente contas fora da sua organização. Entretanto, recomendamos usar exclusivamente a integração do Organizations. A [configuração central](central-configuration-intro.md), um recurso que ajuda você a gerenciar o CSPM do Security Hub em várias contas e regiões, só está disponível quando você se integra ao Organizations.

Esta seção aborda como é possível fazer a transição do gerenciamento manual de contas baseado em convites para o gerenciamento de contas com o AWS Organizations.

## Integrando o Security Hub CSPM com AWS Organizations
<a name="transition-activate-orgs-integration"></a>

Primeiro, você deve integrar o Security Hub CSPM e. AWS Organizations

É possível integrar esses serviços concluindo as etapas a seguir:
+ Crie uma organização no AWS Organizations. Para obter instruções, consulte [Criação de uma organização](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_create.html#create-org) no *Guia do usuário do AWS Organizations *.
+ A partir da conta gerencial do Organizations, designe uma conta de administrador delegado do CSPM do Security Hub.

**nota**  
A conta gerencial da organização *não pode* ser definida como conta de DA.

Para obter instruções detalhadas, consulte [Integrando o Security Hub CSPM com AWS Organizations](designate-orgs-admin-account.md).

Ao concluir as etapas anteriores, você concede [acesso confiável ao](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-securityhub.html#integrate-enable-ta-securityhub) CSPM do Security Hub em. AWS Organizations Isso também ativa o CSPM do Security Hub na conta atual Região da AWS do administrador delegado.

O administrador delegado pode gerenciar a organização no CSPM do Security Hub, principalmente adicionando as contas da organização como contas de membro do CSPM do Security Hub. O administrador também pode acessar determinadas configurações, dados e recursos do CSPM do Security Hub para essas contas.

Quando você faz a transição para o gerenciamento de contas usando o Organizations, as contas baseadas em convites não se tornam automaticamente membros do CSPM do Security Hub. Somente as contas que você adicionar à sua nova organização podem se tornar membros do CSPM do Security Hub.

Depois de ativar a integração, será possível gerenciar contas com o Organizations. Para mais informações, consulte [Gerenciando o CSPM do Security Hub para várias contas com AWS Organizations](securityhub-accounts-orgs.md). O gerenciamento de contas varia de acordo com o tipo de configuração da sua organização.

# Ações permitidas pelo administrador e contas de membro no CSPM do Security Hub
<a name="securityhub-accounts-allowed-actions"></a>

As contas de administrador e membro têm acesso às ações CSPM do AWS Security Hub anotadas nas tabelas a seguir. Nas tabelas, os valores têm os significados a seguir:
+ **Qualquer:** a conta pode realizar a ação para qualquer conta sob o mesmo administrador ou conta.
+ **Atual:** a conta pode realizar a ação somente por si mesma (a conta com a qual você se conectou).
+ **Traço:** indica que a conta não pode realizar a ação.

Conforme observado nas tabelas, as ações permitidas diferem com base na integração AWS Organizations e no tipo de configuração que sua organização usa. Para obter informações sobre a diferença entre a configuração central e local, consulte [Gerenciando contas com AWS Organizations](securityhub-accounts.md#securityhub-orgs-account-management-overview).

O CSPM do Security Hub não copia as descobertas da conta de membro para a conta do administrador. No CSPM do Security Hub, todas as descobertas são inseridas em uma região específica para uma conta específica. Em cada região, a conta do administrador pode visualizar e gerenciar as descobertas de suas contas de membro nessa região.

Se você definir uma região de agregação, a conta do administrador poderá visualizar e gerenciar as descobertas da conta de membro de regiões vinculadas que sejam replicadas para a região de agregação. Para obter mais informações sobre agregação entre regiões, consulte [Agregação entre regiões](https://docs.aws.amazon.com/securityhub/latest/userguide/finding-aggregation.html).

A tabela a seguir reflete as permissões padrão para contas de administrador e contas de membro. É possível usar políticas do IAM personalizadas para restringir ainda mais o acesso aos atributos e funções do CSPM do Security Hub. Para obter orientação e exemplos, consulte a postagem do blog [Alinhando as políticas do IAM às personas dos usuários do AWS Security Hub](https://aws.amazon.com/blogs/security/aligning-iam-policies-to-user-personas-for-aws-security-hub/) CSPM.

## Ações permitidas se você se integrar ao Organizations e usar a configuração central
<a name="central-configuration-allowed-actions"></a>

As contas de membro e de administrador podem acessar as ações do CSPM do Security Hub da forma a seguir caso você se integre ao Organizations e use a configuração central.


|  Ação  |  Conta de administrador delegado do CSPM do Security Hub  |  Conta de membro gerenciada centralmente  |  Conta de membro autogerenciada  | 
| --- | --- | --- | --- | 
|  Criação e gerenciamento de políticas de configuração do CSPM do Security Hub  |  Para contas gerenciadas automaticamente e centralmente  |  –  |  –  | 
|  Visualizar contas da organização  |  Any  |  –  |  –  | 
|  Desassociar conta de membro  |  Any  |  –  |  –  | 
|  Excluir conta de membro  |  Qualquer conta que não seja da organização  |  –  |  –  | 
|  Desabilitação do CSPM do Security Hub  |  Para a conta atual e contas gerenciadas centralmente  |  –  |  Atual (deve primeiro ser desassociada da conta de administrador)  | 
|  Veja as descobertas e o histórico de descobertas  |  Any  |  Atual  |  Atual  | 
|  Atualizar as descobertas  |  Any  |  Atual  |  Atual  | 
|  Visualizar resultados do insight  |  Any  |  Atual  |  Atual  | 
|  Visualizar detalhes do controle  |  Any  |  Atual  |  Atual  | 
|  Ative ou desative as descobertas de controle consolidadas  |  Any  |  –  |  –  | 
|  Habilitar e desabilitar padrões  |  Para a conta atual e contas gerenciadas centralmente  |  –  |  Atual  | 
|  Habilitar e desabilitar controles  |  Para a conta atual e contas gerenciadas centralmente  |  –  |  Atual  | 
|  Habilitar e desabilitar integrações  |  Atual  |  Atual  |  Atual  | 
|  Configurar uma agregação entre regiões  |  Any  |  –  |  –  | 
|  Selecione a região inicial e as regiões vinculadas  |  Qualquer (é necessário parar e reiniciar a configuração central para alterar a região inicial)  |  –  |  –  | 
|  Configurar ações personalizadas  |  Atual  |  Atual  |  Atual  | 
|  Configurar regras de automação  |  Any  |  –  |  –  | 
|  Configurar insights personalizados  |  Atual  |  Atual  |  Atual  | 

## Ações permitidas se você se integrar ao Organizations e usar a configuração local
<a name="orgs-allowed-actions"></a>

As contas de membro e de administrador podem acessar as ações do CSPM do Security Hub da forma a seguir caso você se integre ao Organizations e use a configuração local.


|  Ação  |  Conta de administrador delegado do CSPM do Security Hub  |  Conta de membro  | 
| --- | --- | --- | 
|  Criação e gerenciamento de políticas de configuração do CSPM do Security Hub  |  –  |  –  | 
|  Visualizar contas da organização  |  Any  |  –  | 
|  Desassociar conta de membro  |  Any  |  –  | 
|  Excluir conta de membro  |  –  |  –  | 
|  Desabilitação do CSPM do Security Hub  |  –  |  Atual (se a conta for desassociada do administrador delegado)  | 
|  Veja as descobertas e o histórico de descobertas  |  Any  |  Atual  | 
|  Atualizar as descobertas  |  Any  |  Atual  | 
|  Visualizar resultados do insight  |  Any  |  Atual  | 
|  Visualizar detalhes do controle  |  Any  |  Atual  | 
|  Ative ou desative as descobertas de controle consolidadas  |  Any  |  –  | 
|  Habilitar e desabilitar padrões  |  Atual  |  Atual  | 
|  Habilitação automática do CSPM do Security Hub e padrões padrão em novas contas da organização  |  Para a conta atual e novas contas da organização  |  –  | 
|  Habilitar e desabilitar controles  |  Atual  |  Atual  | 
|  Habilitar e desabilitar integrações  |  Atual  |  Atual  | 
|  Configurar uma agregação entre regiões  |  Any  |  –  | 
|  Configurar ações personalizadas  |  Atual  |  Atual  | 
|  Configurar regras de automação  |  Any  |  –  | 
|  Configurar insights personalizados  |  Atual  |  Atual  | 

## Ações permitidas para contas baseadas em convites
<a name="manual-allowed-actions"></a>

As contas de administrador e membro podem acessar as ações do CSPM do Security Hub da seguinte forma se você usar o método baseado em convite para gerenciar contas manualmente em vez de integrá-las com. AWS Organizations


|  Ação  |  Conta de administrador do CSPM do Security Hub  |  Conta de membro  | 
| --- | --- | --- | 
|  Criação e gerenciamento de políticas de configuração do CSPM do Security Hub  |  –  |  –  | 
|  Visualizar contas da organização  |  Any  |  –  | 
|  Desassociar conta de membro  |  Any  |  Atual  | 
|  Excluir conta de membro  |  Any  |  –  | 
|  Desabilitação do CSPM do Security Hub  |  Atual (se não houver contas de membro habilitadas)  |  Atual (se a conta for desassociada da conta do administrador)  | 
|  Veja as descobertas e o histórico de descobertas  |  Any  |  Atual  | 
|  Atualizar as descobertas  |  Any  |  Atual  | 
|  Visualizar resultados do insight  |  Any  |  Atual  | 
|  Visualizar detalhes do controle  |  Any  |  Atual  | 
|  Ative ou desative as descobertas de controle consolidadas  |  Any  |  –  | 
|  Habilitar e desabilitar padrões  |  Atual  |  Atual  | 
|  Habilitação automática do CSPM do Security Hub e padrões padrão em novas contas da organização  |  –  |  –  | 
|  Habilitar e desabilitar controles  |  Atual  |  Atual  | 
|  Habilitar e desabilitar integrações  |  Atual  |  Atual  | 
|  Configurar uma agregação entre regiões  |  Any  |  –  | 
|  Configurar ações personalizadas  |  Atual  |  Atual  | 
|  Configurar regras de automação  |  Any  |  –  | 
|  Configurar insights personalizados  |  Atual  |  Atual  | 

# Efeito das ações da conta nos dados do CSPM do Security Hub
<a name="securityhub-data-retention"></a>

Essas ações da conta têm os seguintes efeitos nos dados CSPM do AWS Security Hub.

## CSPM do Security Hub desabilitado
<a name="securityhub-effects-disable-securityhub"></a>

Se você usar a [configuração central](central-configuration-intro.md), o administrador delegado (DA) poderá criar políticas de configuração do CSPM do Security Hub que desabilitem o CSPM do AWS Security Hub em contas e unidades organizacionais específicas (). OUs Nesse caso, o CSPM do Security Hub está desativado nas contas especificadas, OUs na sua região de origem e em qualquer região vinculada. Se você não usa a configuração central, deverá desabilitar o CSPM do Security Hub separadamente em cada conta e região onde ele tenha sido habilitado. Você não poderá usar a configuração central se o CSPM do Security Hub estiver desabilitado na conta do DA.

Nenhuma descoberta será gerada ou atualizada para a conta de administrador se o CSPM do Security Hub estiver desabilitado na conta do administrador. As descobertas existentes arquivadas serão excluídas após 30 dias. As descobertas existentes ativas serão excluídas após 90 dias.

As integrações com outros Serviços da AWS são removidas.

Os padrões e controles de segurança habilitados são desabilitados.

Outros dados e configurações do CSPM do Security Hub, inclusive ações personalizadas, insights e assinaturas de produtos de terceiros serão retidas por 90 dias.

## Conta de membro desassociada da conta de administrador
<a name="securityhub-effects-member-disassociation"></a>

Quando uma conta de membro é desassociada da conta de administrador, esta perde a permissão para visualizar as descobertas na conta de membro. Contudo, o CSPM do Security Hub ainda estará habilitado em ambas as contas.

Se você usar a configuração central, o DA não poderá configurar o CSPM do Security Hub para uma conta de membro que esteja desassociada da conta do DA.

Configurações personalizadas ou integrações definidas para a conta de administrador não são aplicadas às descobertas da conta de membro antiga. Por exemplo, depois que as contas forem desassociadas, você poderá ter uma ação personalizada na conta do administrador usada como padrão de evento em uma EventBridge regra da Amazon. Entretanto, essa ação personalizada não pode ser usada na conta de membro.

Na lista **Contas** da conta de administrador do CSPM do Security Hub, uma conta removida tem o status de **Desassociada**.

## A conta de membro é removida de uma organização
<a name="securityhub-effects-member-leaves-org"></a>

Quando uma conta de membro é removida de uma organização, a conta de administrador do CSPM do Security Hub perde a permissão para visualizar as descobertas na conta de membro. Entretanto, o CSPM do Security Hub ainda estará habilitado em ambas as contas com as mesmas configurações que tinham antes da remoção.

Se você usar a configuração central, não poderá configurar o CSPM do Security Hub para uma conta de membro depois que ela for removida da organização à qual o administrador delegado pertence. Entretanto, a conta reterá as configurações que tinha antes da remoção, a menos que você as altere manualmente.

Na lista **Contas** da conta de administrador do CSPM do Security Hub, uma conta removida tem o status de **Excluída**.

## A conta é suspensa
<a name="securityhub-effects-account-suspended"></a>

Quando um Conta da AWS é suspenso, a conta perde a permissão para visualizar suas descobertas no CSPM do Security Hub. Nenhuma descoberta será gerada ou atualizada para essa conta. A conta de administrador de uma conta suspensa pode ver as descobertas da conta.

Para uma conta da organização, o status da conta de membro também pode mudar para **Conta suspensa**. Isso acontece se a conta for suspensa ao mesmo tempo em que a conta de administrador tenta habilitá-la. A conta de administrador de uma **conta suspensa** pode ver as descobertas da conta existente. Do contrário, o status de suspensa não afetará o status da conta de membro.

Se você usar a configuração central, a associação de políticas falhará se o administrador delegado tentar associar uma política de configuração a uma conta suspensa.

Após 90 dias, a conta é encerrada ou reabilitada. Quando a conta é reativada, suas permissões do CSPM do Security Hub são restauradas. Se o status da conta de membro for **Conta suspensa**, a conta de administrador deverá habilitar a conta manualmente.

## A conta é fechada
<a name="securityhub-effects-account-deletion"></a>

Quando um Conta da AWS é fechado, o Security Hub CSPM responde ao fechamento da seguinte forma.

Se a conta for uma conta de administrador do CSPM do Security Hub, ela será removida como conta de administrador e todas as contas de membro serão removidas. Se a conta for uma conta de membro, ela será desassociada e removida como membro da conta de administrador do CSPM do Security Hub.

O CSPM do Security Hub retém as descobertas arquivadas existentes na conta por 30 dias. Para uma descoberta de controle, o cálculo de 30 dias é baseado no valor do campo `UpdatedAt` da descoberta. Para outro tipo de descoberta, o cálculo é baseado no valor do campo `UpdatedAt` ou `ProcessedAt` da descoberta, o que tiver a data mais recente. Ao final do período de 30 dias, o CSPM do Security Hub excluirá permanentemente todas as descobertas da conta.

O CSPM do Security Hub retém as descobertas ativas existentes na conta por 90 dias. Para uma descoberta de controle, o cálculo de 90 dias é baseado no valor do campo `UpdatedAt` da descoberta. Para outro tipo de descoberta, o cálculo é baseado no valor do campo `UpdatedAt` ou `ProcessedAt` da descoberta, o que tiver a data mais recente. Ao final do período de 90 dias, o CSPM do Security Hub excluirá permanentemente todas as descobertas da conta.

Para uma retenção de longo prazo das descobertas existentes, é possível exportar as descobertas para um bucket do S3. Você pode fazer isso usando uma ação personalizada com uma EventBridge regra da Amazon. Para obter mais informações, consulte [Usando EventBridge para resposta e remediação automatizadas](securityhub-cloudwatch-events.md).

**Importante**  
Para clientes em AWS GovCloud (US) Regions, faça backup e exclua os dados da apólice e outros recursos da conta antes de fechar sua conta. Você não terá acesso aos recursos e dados depois de fechar sua conta.

Para obter mais informações, consulte [Fechamento de uma Conta da AWS](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/close-account.html) no *Guia de referência do AWS Gerenciamento de contas *.