As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Habilitação do CSPM do Security Hub
<a name="securityhub-settingup"></a>

Há duas maneiras de habilitar o CSPM do AWS Security Hub: integrando com AWS Organizations ou manualmente.

É altamente recomendável fazer a integração com Organizations para ambientes com várias contas e várias regiões. Se você tiver uma conta autônoma, será necessário configurar o CSPM do Security Hub manualmente.

## Verificação das permissões necessárias
<a name="securityhub-setup-permissions"></a>

Depois de se cadastrar na Amazon Web Services (AWS), será necessário habilitar o CSPM do Security Hub para usar suas capacidades e recursos. Para habilitar o CSPM do Security Hub, é preciso primeiramente configurar permissões que permitam seu acesso ao console do CSPM do Security Hub e às operações da API. Você ou seu AWS administrador podem fazer isso usando AWS Identity and Access Management (IAM) para anexar a política AWS gerenciada chamada `AWSSecurityHubFullAccess` à sua identidade do IAM.

Para habilitar e gerenciar o Security Hub CSPM por meio da integração do Organizations, você também deve anexar a política AWS gerenciada chamada. `AWSSecurityHubOrganizationsAccess`

Para obter mais informações, consulte [AWS políticas gerenciadas para o Security Hub](security-iam-awsmanpol.md).

## Habilitação do CSPM do Security Hub com a integração do Organizations
<a name="securityhub-orgs-setup-overview"></a>

Para começar a usar o CSPM do Security Hub com AWS Organizations, a conta AWS Organizations de gerenciamento da organização designa uma conta como a conta delegada do administrador do CSPM do Security Hub para a organização. O CSPM do Security Hub é habilitado automaticamente na conta de administrador delegado na região atual.

Escolha seu método preferido e siga as etapas para designar o administrador delegado.

------
#### [ Security Hub CSPM console ]

**Para designar o administrador delegado do CSPM do Security Hub durante a integração**

1. Abra o console CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Escolha **Ir para o CSPM do Security Hub**. Você será solicitado a fazer login na conta gerencial do Organizations.

1. Na página **Designar administrador delegado**, na seção **Conta de administrador delegado**, especifique a conta de administrador delegado. Recomendamos escolher o mesmo administrador delegado que você definiu para outros serviços de segurança e conformidade da AWS .

1. Escolha **Definir administrador delegado**.

------
#### [ Security Hub CSPM API ]

Invoque a API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_EnableOrganizationAdminAccount.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_EnableOrganizationAdminAccount.html) da conta gerencial do Organizations. Forneça o ID da Conta da AWS da conta de administrador delegado do CSPM do Security Hub.

------
#### [ AWS CLI ]

Execute o comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-organization-admin-account.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-organization-admin-account.html) a partir da conta gerencial do Organizations. Forneça o ID da Conta da AWS da conta de administrador delegado do CSPM do Security Hub.

**Exemplo de comando:**

```
aws securityhub enable-organization-admin-account --admin-account-id 777788889999
```

------

Para obter mais informações sobre a integração com o Organizations, consulte [Integrando o Security Hub CSPM com AWS Organizations](designate-orgs-admin-account.md).

### Configuração central
<a name="securityhub-central-config"></a>

Ao integrar o CSPM do Security Hub e o Organizations, você tem a opção de usar um recurso chamado [configuração central](central-configuration-intro.md) para configurar e gerenciar o CSPM do Security Hub para sua organização. É altamente recomendável usar a configuração central, pois ela permite que o administrador personalize a cobertura de segurança para a organização. Quando apropriado, o administrador delegado pode permitir que uma conta de membro defina suas próprias configurações de cobertura de segurança.

A configuração central permite que o administrador delegado configure o CSPM do Security Hub em todas as contas e. OUs Regiões da AWS O administrador delegado configura o CSPM do Security Hub criando políticas de configuração. Em uma política de configuração, é possível especificar as configurações a seguir:
+ Se o CSPM do Security Hub está habilitado ou desabilitado
+ Quais padrões de segurança são habilitados e desabilitados
+ Quais controles de segurança são habilitados e desabilitados
+ Se os parâmetros devem ser personalizados para selecionar controles

Como administrador delegado, você pode criar uma única política de configuração para toda a organização ou políticas de configuração diferentes para suas várias contas e. OUs Por exemplo, contas de teste e contas de produção podem usar políticas de configuração diferentes.

As contas dos membros OUs que usam uma política de configuração são *gerenciadas centralmente* e só podem ser configuradas pelo administrador delegado. O administrador delegado pode designar contas de membros específicas e OUs ser *autogerenciadas* para dar ao membro a capacidade de definir suas próprias configurações em uma base. Region-by-Region

Se você não usar a configuração central, deverá, em grande parte, configurar o CSPM do Security Hub separadamente em cada conta e região. Isso é chamado de [configuração local](local-configuration.md). Na configuração local, o administrador delegado pode habilitar automaticamente o CSPM do Security Hub e um conjunto limitado de padrões de segurança em novas contas da organização na região atual. A configuração local não se aplica às contas existentes da organização ou a regiões que não sejam a região atual. A configuração local também não oferece suporte ao uso de políticas de configuração.

## Habilitação do CSPM do Security Hub manualmente
<a name="securityhub-manual-setup-overview"></a>

Você deve habilitar o CSPM do Security Hub manualmente se tiver uma conta independente ou se não fizer integração com. AWS Organizations Contas autônomas não podem ser integradas AWS Organizations e devem usar a ativação manual.

Ao habilitar o CSPM do Security Hub manualmente, você designa uma conta de administrador do CSPM do Security Hub e convida outras contas para se tornarem contas de membro. A relação administrador-membro é estabelecida quando uma conta de membro em potencial aceita o convite da conta.

Escolha seu método preferido e siga as etapas para habilitar o CSPM do Security Hub. Ao habilitar o CSPM do Security Hub no console, você também tem a opção de habilitar os padrões de segurança com suporte.

------
#### [ Security Hub CSPM console ]

1. Abra o console CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1.  Ao abrir o console do CSPM do Security Hub pela primeira vez, escolha **Ir para o CSPM do Security Hub**.

1. Na página de boas-vindas, a seção **Padrões de segurança** lista os padrões de segurança com suporte no CSPM do Security Hub.

   Marque a caixa de seleção de um padrão para habilitá-lo e desmarque a caixa de seleção para desabilitá-lo.

   É possível habilitar ou desabilitar um padrão ou seus controles individuais a qualquer momento. Para obter mais informações sobre gerenciamento de padrões de segurança, consulte [Noções básicas dos padrões de segurança no CSPM do Security Hub](standards-view-manage.md).

1. Selecione **Enable Security Hub** (Habilitar o Security Hub).

------
#### [ Security Hub CSPM API ]

Invoque a API [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_EnableSecurityHub.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_EnableSecurityHub.html). Ao habilitar o CSPM do Security Hub pela API, ele habilitará automaticamente os padrões de segurança padrão a seguir:
+ AWS Melhores práticas básicas de segurança
+ Referência de AWS fundamentos do Center for Internet Security (CIS) v1.2.0

Se você não quiser habilitar esses padrões, defina `EnableDefaultStandards` como `false`.

Também é possível usar o parâmetro `Tags` para atribuir valores de tag ao recurso do hub.

------
#### [ AWS CLI ]

Execute o comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-security-hub.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-security-hub.html). Para ativar os padrões, inclua `--enable-default-standards`. Para não ativar os padrões, inclua `--no-enable-default-standards`. Os padrões de segurança padrão são os seguintes:
+ AWS Melhores práticas básicas de segurança
+ Referência de AWS fundamentos do Center for Internet Security (CIS) v1.2.0

```
aws securityhub enable-security-hub [--tags <tag values>] [--enable-default-standards | --no-enable-default-standards]
```

**Exemplo**

```
aws securityhub enable-security-hub --enable-default-standards --tags '{"Department": "Security"}'
```

------

### Script de habilitação de várias contas
<a name="securityhub-enable-multiaccount-script"></a>

**nota**  
Em vez desse script, recomendamos usar a configuração central para habilitar e configurar o CSPM do Security Hub em várias contas e regiões. 

O [script de habilitação de várias contas do Security Hub CSPM GitHub permite que você habilite o CSPM do Security Hub em](https://github.com/awslabs/aws-securityhub-multiaccount-scripts) contas e regiões. O script também automatiza o processo de envio de convites para contas de membros e habilitação do AWS Config.

O script ativa automaticamente a gravação de AWS Config recursos para todos os recursos, incluindo recursos globais, em todas as regiões. Ele não limita o registro de recursos globais a uma única região. Para economizar custos, recomendamos registrar recursos globais em uma única região apenas. Se você usa a configuração central ou a agregação entre regiões, essa deve ser sua região inicial. Para obter mais informações, consulte [Recursos de gravação em AWS Config](securityhub-setup-prereqs.md#config-resource-recording).

Há um script correspondente para desabilitar o CSPM do Security Hub em todas as contas e regiões.

## Próximas etapas: gerenciamento de postura e integrações
<a name="securityhub-enable-next-steps"></a>

Depois de habilitar o CSPM do Security Hub, recomendamos habilitar os padrões e controles de segurança para monitorar sua postura de segurança. Depois de habilitar os controles, o Security Hub CSPM começa a executar verificações de segurança e a gerar descobertas de controle que ajudam a detectar configurações incorretas em seu ambiente. AWS Para receber descobertas de controle, você deve habilitar e configurar AWS Config o Security Hub CSPM. Para obter mais informações, consulte [Habilitando e configurando o AWS Config Security Hub CSPM](securityhub-setup-prereqs.md).

Depois de ativar o CSPM do Security Hub, você também pode aproveitar as integrações entre o CSPM do Security Hub e outras soluções e de terceiros para ver suas Serviços da AWS descobertas no CSPM do Security Hub. O CSPM do Security Hub agrega descobertas de diferentes origens e as ingere em um formato consistente. Para obter mais informações, consulte [Noções básicas sobre as integrações no CSPM do Security Hub](securityhub-findings-providers.md). 

# Habilitando e configurando o AWS Config Security Hub CSPM
<a name="securityhub-setup-prereqs"></a>

AWS O Security Hub CSPM usa AWS Config regras para executar verificações de segurança e gerar descobertas para a maioria dos controles. AWS Config fornece uma visão detalhada da configuração dos AWS recursos em seu Conta da AWS. Ele usa regras para estabelecer uma configuração básica para seus recursos e um gravador de configuração para detectar se um determinado recurso viola as condições de uma regra.

Algumas regras, chamadas de regras AWS Config gerenciadas, são predefinidas e desenvolvidas pela AWS Config. Outras regras são AWS Config regras personalizadas que o Security Hub CSPM desenvolve. AWS Config as regras que o Security Hub CSPM usa para controles são chamadas de regras vinculadas a *serviços*. As regras vinculadas ao serviço permitem Serviços da AWS , como o CSPM do Security Hub, criar AWS Config regras em sua conta. 

Para receber descobertas de controle no Security Hub CSPM, você deve habilitar sua AWS Config conta. Também é necessário ativar o registro de recursos para os tipos de recursos que os controles habilitados avaliam. O Security Hub CSPM pode então criar as AWS Config regras apropriadas para os controles e começar a executar verificações de segurança e gerar descobertas para os controles.

**Topics**
+ [Considerações antes de ativar e configurar AWS Config](#securityhub-prereq-config)
+ [Recursos de gravação em AWS Config](#config-resource-recording)
+ [Formas de ativar e configurar AWS Config](#config-how-to-enable)
+ [Noções básicas sobre o controle Config.1](#config-1-overview)
+ [Geração de regras vinculadas ao serviço](#securityhub-standards-generate-awsconfigrules)
+ [Considerações sobre custos](#config-cost-considerations)

## Considerações antes de ativar e configurar AWS Config
<a name="securityhub-prereq-config"></a>

Para receber descobertas de controle no CSPM do Security Hub, você AWS Config deve estar habilitado para sua conta em cada um em Região da AWS que o CSPM do Security Hub esteja habilitado. Se você usar o CSPM do Security Hub para um ambiente com várias contas, o AWS Config deverá estar habilitado em todas as regiões para a conta de administrador e todas as contas de membro.

É altamente recomendável que você ative a gravação de recursos AWS Config *antes* de habilitar quaisquer padrões e controles CSPM do Security Hub. Isso ajuda a garantir que suas descobertas de controle sejam precisas.

Para ativar a gravação de recursos AWS Config, você deve ter permissões suficientes para registrar recursos na função AWS Identity and Access Management (IAM) anexada ao gravador de configuração. Além disso, certifique-se de que nenhuma política ou AWS Organizations política do IAM impeça AWS Config de ter permissão para registrar seus recursos. Os controles CSPM do Security Hub avaliam as configurações de recursos diretamente e não levam em conta AWS Organizations as políticas. Para obter mais informações sobre os registros do AWS Config , consulte [Trabalho com o gravador de recursos](https://docs.aws.amazon.com/config/latest/developerguide/stop-start-recorder.html) no *Guia do desenvolvedor do AWS Config *.

Se você habilitar um padrão no CSPM do Security Hub, mas não tiver ativado AWS Config, o CSPM do Security Hub tentará criar AWS Config regras vinculadas ao serviço de acordo com a seguinte programação:
+ No dia em que você habilita o padrão.
+ No dia seguinte à habilitação do padrão.
+ 3 dias depois de habilitar o padrão.
+ 7 dias depois que você habilitar o padrão, e continuamente a cada 7 dias depois disso.

Se você usa a configuração central, o Security Hub CSPM também tenta criar AWS Config regras vinculadas a serviços sempre que você associa uma política de configuração que habilita um ou mais padrões a contas, unidades organizacionais (OUs) ou à raiz.

## Recursos de gravação em AWS Config
<a name="config-resource-recording"></a>

Ao habilitar AWS Config, você deve especificar quais AWS recursos deseja que o gravador AWS Config de configuração registre. Por meio das regras vinculadas ao serviço, o gravador de configuração permite que o CSPM do Security Hub detecte alterações nas configurações de seus recursos.

Para que o CSPM do Security Hub gere descobertas de controle precisas, é necessário ativar o registro no AWS Config dos tipos de recursos que correspondam aos seus controles ativados. São principalmente controles habilitados com um tipo de programação *acionada por alterações* que exigem registro de recursos. Alguns controles com um tipo de programação *periódica* também exigem o registro de recursos. Para obter uma lista desses controles e seus recursos correspondentes, consulte [AWS Config Recursos necessários para descobertas de controle](controls-config-resources.md).

**Atenção**  
Se você não configurar a AWS Config gravação corretamente para os controles CSPM do Security Hub, isso pode resultar em descobertas de controle imprecisas, principalmente nos seguintes casos:  
Você nunca registrou o recurso para um determinado controle ou desabilitou o registro de um recurso antes de criar esse tipo de recurso. Nesses casos, você recebe uma descoberta `WARNING` para o controle em questão, mesmo que tenha criado recursos no escopo do controle depois de desabilitar o registro. Essa descoberta `WARNING` é uma descoberta padrão que, na verdade, não avalia o estado de configuração do recurso.
Você desabilita o registro de um recurso que é avaliado por um controle específico. Nesse caso, o CSPM do Security Hub reterá as descobertas de controle que forem geradas antes de você desabilitar o registro, mesmo que o controle não esteja avaliando recursos novos ou atualizados. O CSPM do Security Hub também altera o status de conformidade das descobertas para `WARNING`. Essas descobertas retidas podem não refletir com precisão o estado atual da configuração de um recurso.

Por padrão, AWS Config registra todos os *recursos regionais* suportados que ele descobre no local Região da AWS em que está sendo executado. Para receber todas as descobertas de controle do CSPM do Security Hub, você também deve configurar AWS Config para registrar recursos *globais*. Para economizar custos, recomendamos registrar recursos globais em uma única região apenas. Se você usa a configuração central ou a agregação entre regiões, essa deve ser sua região inicial.

Em AWS Config, você pode escolher entre *gravação contínua e gravação* *diária* de alterações no estado do recurso. Se você escolher a gravação diária, AWS Config fornecerá dados de configuração do recurso no final de cada período de 24 horas se houver alterações no estado do recurso. Se não houver alterações, nenhum dado será entregue. Isso pode atrasar a geração de descobertas do CSPM do Security Hub para controles acionados por alterações até que um período de 24 horas seja concluído.

Para obter mais informações sobre AWS Config gravação, consulte [AWS Recursos de gravação](https://docs.aws.amazon.com/config/latest/developerguide/select-resources.html) no *Guia do AWS Config desenvolvedor*.

## Formas de ativar e configurar AWS Config
<a name="config-how-to-enable"></a>

Você pode ativar AWS Config e ativar a gravação de recursos de qualquer uma das seguintes formas:
+ **AWS Config console** — Você pode ativar AWS Config uma conta usando o AWS Config console. Para obter instruções, consulte [Configuração AWS Config com o console](https://docs.aws.amazon.com/config/latest/developerguide/gs-console.html) no *Guia do AWS Config desenvolvedor*.
+ **AWS CLI ou SDKs** — Você pode ativar AWS Config uma conta usando o AWS Command Line Interface (AWS CLI). Para obter instruções, consulte [Configuração AWS Config com o AWS CLI](https://docs.aws.amazon.com/config/latest/developerguide/gs-cli.html) no *Guia do AWS Config desenvolvedor*. AWS kits de desenvolvimento de software (SDKs) também estão disponíveis para muitas linguagens de programação.
+ **CloudFormation modelo** — AWS Config Para habilitar várias contas, recomendamos usar o AWS CloudFormation modelo chamado **Ativar AWS Config**. Para acessar esse modelo, consulte [modelos de AWS CloudFormation StackSet amostra](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-sampletemplates.html) no *Guia AWS CloudFormation do usuário*.

  Por padrão, esse modelo exclui o registro de recursos globais do IAM. Certifique-se de ativar o registro dos recursos globais do IAM em apenas uma Região da AWS para conservar os custos de registro. Se você tiver a agregação entre regiões habilitada, essa deverá ser sua [região inicial do CSPM do Security Hub](finding-aggregation.md). Caso contrário, pode ser qualquer região em que o CSPM do Security Hub esteja disponível e que ofereça suporte ao registro de recursos globais do IAM. Recomendamos executar um StackSet para registrar todos os recursos, incluindo recursos globais do IAM, na região de origem ou em outra região selecionada. Em seguida, execute um segundo StackSet para registrar todos os recursos, exceto os recursos globais do IAM em outras regiões.
+ **GitHub script** — O Security Hub CSPM oferece um [GitHubscript](https://github.com/awslabs/aws-securityhub-multiaccount-scripts) que habilita o CSPM do Security Hub e AWS Config para várias contas em todas as regiões. Esse script é útil se você não se integrou ou tem algumas contas de membros que não fazem parte de uma organização. AWS Organizations

Para obter mais informações, consulte a seguinte postagem no blog de *AWS segurança*: [Otimize o CSPM do AWS Security Hub AWS Config para gerenciar com eficiência sua postura de segurança na nuvem](https://aws.amazon.com/blogs/security/optimize-aws-config-for-aws-security-hub-to-effectively-manage-your-cloud-security-posture/).

## Noções básicas sobre o controle Config.1
<a name="config-1-overview"></a>

No Security Hub CSPM, o controle [Config.1](config-controls.md#config-1) gera `FAILED` descobertas em sua conta se estiver desativado. AWS Config Ele também gera `FAILED` descobertas em sua conta se AWS Config estiver ativado, mas a gravação de recursos não estiver ativada. 

Se AWS Config estiver habilitado e a gravação de recursos estiver ativada, mas a gravação de recursos não estiver ativada para um tipo de recurso verificado por um controle ativado, o Security Hub CSPM gerará uma `FAILED` descoberta para o controle Config.1. Além dessa descoberta `FAILED`, o CSPM do Security Hub gerará descobertas `WARNING` para o controle habilitado e os tipos de recursos que o controle verifica. Por exemplo, se você habilitar o controle [KMS.5](kms-controls.md#kms-5) e a gravação de recursos não estiver ativada AWS KMS keys, o Security Hub CSPM gerará uma `FAILED` descoberta para o controle Config.1. O CSPM do Security Hub também gera descobertas `WARNING` para o controle KMS.5 e suas chaves do KMS.

Para receber uma descoberta `PASSED` para o controle Config.1, ative o registro de recursos para todos os tipos de recursos que correspondam aos controles habilitados. Além disso, desabilite os controles que não sejam necessários para sua organização. Isso ajuda a garantir que você não tenha lacunas de configuração nas verificações de controle de segurança. Também ajuda a garantir que você receba descobertas precisas sobre recursos mal configurados.

Se você for o administrador delegado do CSPM do Security Hub de uma organização, o registro do AWS Config deverá ser configurado corretamente para a sua conta e as contas de membro. Se você usar a agregação entre regiões, a AWS Config gravação deverá ser configurada corretamente na região de origem e em todas as regiões vinculadas. Os recursos globais não precisam ser registrados nas regiões vinculadas.

## Geração de regras vinculadas ao serviço
<a name="securityhub-standards-generate-awsconfigrules"></a>

Para cada controle que usa uma AWS Config regra vinculada ao serviço, o Security Hub CSPM cria instâncias da regra necessária em seu ambiente. AWS 

Essas regras vinculadas ao serviço são específicas do CSPM do Security Hub. O CSPM do Security Hub cria essas regras vinculadas ao serviço mesmo se outras instâncias das mesmas regras já existirem. A regra vinculada ao serviço adiciona `securityhub` antes do nome da regra original e um identificador exclusivo após o nome da regra. Por exemplo, para a regra AWS Config gerenciada`vpc-flow-logs-enabled`, o nome da regra vinculada ao serviço pode ser. `securityhub-vpc-flow-logs-enabled-12345`

Há cotas para o número de regras AWS Config gerenciadas que podem ser usadas para avaliar os controles. AWS Config as regras que o Security Hub CSPM cria não contam para essas cotas. Você pode ativar um padrão de segurança mesmo que já tenha atingido a AWS Config cota de regras gerenciadas em sua conta. Para saber mais sobre cotas para AWS Config regras, consulte [Limites de serviço AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/configlimits.html) no *Guia do AWS Config desenvolvedor*.

## Considerações sobre custos
<a name="config-cost-considerations"></a>

O Security Hub CSPM pode afetar os custos AWS Config do gravador de configuração atualizando o `AWS::Config::ResourceCompliance` item de configuração. As atualizações podem ocorrer sempre que um controle CSPM do Security Hub associado a uma AWS Config regra muda de estado de conformidade, é ativado ou desativado ou tem atualizações de parâmetros. Se você usa o gravador de AWS Config configuração somente para o Security Hub CSPM e não usa esse item de configuração para outras finalidades, recomendamos desativar a gravação para ele no. AWS Config Isso pode reduzir os custos do AWS Config . Você não precisa registrar `AWS::Config::ResourceCompliance` para que as verificações de segurança funcionem no CSPM do Security Hub.

Para obter informações sobre os custos associados ao registro de recursos, consulte a [Definição de preços do CSPM do AWS Security Hub](https://aws.amazon.com/security-hub/pricing/) e a [Definição de preços do AWS Config](https://aws.amazon.com/config/pricing/).

# Noções básicas sobre a configuração local no CSPM do Security Hub
<a name="local-configuration"></a>

A configuração local é a forma padrão em que uma AWS organização é configurada no CSPM do Security Hub. Se você optar por usar e habilitar a configuração central, sua organização usará a configuração local por padrão.

Na configuração local, a conta de administrador delegado do CSPM do Security Hub tem controle limitado sobre as configurações. As únicas configurações que o administrador delegado pode impor são as que habilitam automaticamente o CSPM do Security Hub e os padrões de segurança padrão em novas contas da nova organização. Essas configurações se aplicam somente à região na qual você designou a conta de administrador delegado. Os padrões de segurança padrão são AWS Foundational Security Best Practices (FSBP) e Center for Internet Security (CIS) AWS Foundations Benchmark v1.2.0. As definições da configuração local não se aplicam às contas existentes da organização ou às regiões, exceto à região na qual a conta do administrador delegado foi designada.

Além de habilitar o CSPM do Security Hub e os padrões padrão em novas contas da organização em uma única região, é necessário definir outras configurações do CSPM do Security Hub, incluindo padrões e controles, separadamente em cada região e em cada conta. Como esse pode ser um processo que gere duplicações, recomendamos usar a configuração central para um ambiente com várias contas se uma ou mais das seguintes situações se aplicarem a você:
+ Você deseja configurações diferentes para diversas partes da sua organização (por exemplo, diferentes padrões ou controles habilitados para diferentes equipes).
+ Você opera em várias regiões e deseja reduzir o tempo e a complexidade da configuração do serviço nessas regiões.
+ Você deseja que novas contas usem configurações específicas quando ingressam na organização.
+ Você deseja que as contas da organização herdem configurações específicas de uma conta superior ou raiz.

Para obter informações sobre a configuração central, consulte [Noções básicas sobre a configuração central no CSPM do Security Hub](central-configuration-intro.md).

# Noções básicas sobre a configuração central no CSPM do Security Hub
<a name="central-configuration-intro"></a>

A configuração central é um recurso CSPM do AWS Security Hub que ajuda você a configurar e gerenciar o CSPM do Security Hub em vários e. Contas da AWS Regiões da AWS Para usar a configuração central, você deve primeiro integrar o Security Hub CSPM e. AWS OrganizationsÉ possível integrar os serviços criando uma organização e designando uma conta delegada de administrador do CSPM do Security Hub para a organização.

Na conta delegada do administrador do Security Hub CSPM, você pode habilitar o CSPM do Security Hub para as contas e unidades organizacionais () da sua organização em todas as regiões. OUs Você também pode ativar, configurar e desativar padrões de segurança e controles de segurança individuais para contas e OUs entre regiões. É possível definir essas configurações em apenas algumas etapas a partir de uma região primária, chamada de *região inicial*.

Quando você usa a configuração central, o administrador delegado pode escolher quais contas e OUs configurar. Se o administrador delegado designar uma conta de membro ou UO como *autogerenciada*, o membro poderá definir suas próprias configurações separadamente em cada região. Se o administrador delegado designar uma conta de membro ou UO como *gerenciada centralmente*, somente o administrador delegado poderá configurar a conta de membro ou UO em todas as regiões. Você pode designar todas as contas e OUs em sua organização como gerenciadas centralmente, todas autogerenciadas ou uma combinação de ambas.

Para configurar contas gerenciadas centralmente, o administrador delegado usa políticas de configuração do CSPM do Security Hub. As políticas de configuração permitem que o administrador delegado especifique se o CSPM do Security Hub está habilitado ou desabilitado e quais padrões e controles estão habilitados ou desabilitados. Elas também podem ser utilizados para personalizar parâmetros para determinados controles.

As políticas de configuração entram em vigor na região inicial e em todas as regiões vinculadas. O administrador delegado especifica a região inicial da organização e as regiões vinculadas antes de começar a usar a configuração central. Especificar as regiões vinculadas é opcional. O administrador delegado pode criar uma única política de configuração para toda a organização ou criar várias políticas de configuração para definir configurações variáveis para contas diferentes e. OUs

**dica**  
Se você não usar a configuração central, deverá, em grande parte, configurar o CSPM do Security Hub separadamente em cada conta e região. Isso é chamado de *configuração local*. Na configuração local, o administrador delegado pode habilitar automaticamente o CSPM do Security Hub e um conjunto limitado de padrões de segurança em novas contas da organização na região atual. A configuração local não se aplica às contas existentes da organização ou a regiões que não sejam a região atual. A configuração local também não oferece suporte ao uso de políticas de configuração.

Esta seção fornece uma visão geral da configuração central.

## Benefícios de usar a configuração central
<a name="central-configuration-benefits"></a>

Os benefícios da configuração central incluem os seguintes:

**Simplificar a configuração do serviço e dos recursos do CSPM do Security Hub**  
Quando você usa a configuração central, o CSPM do Security Hub orienta você no processo de configuração das práticas recomendadas de segurança para sua organização. Ele também implanta as políticas de configuração resultantes em contas especificadas e OUs automaticamente. Se você tiver configurações existentes do CSPM do Security Hub, como habilitar automaticamente novos controles de segurança, poderá usá-las como ponto de partida para suas políticas de configuração. Além disso, a página **Configuração** no console CSPM do Security Hub exibe um resumo em tempo real de suas políticas de configuração e quais contas OUs usam cada política.

**Configurar entre contas e regiões**  
É possível usar a configuração central para configurar o CSPM do Security Hub em várias contas e regiões. Isso ajuda a garantir que cada parte da sua organização mantenha uma configuração consistente e uma cobertura de segurança adequada.

**Acomode configurações diferentes em contas diferentes e OUs**  
Com a configuração central, você pode optar por configurar as contas da sua organização de OUs maneiras diferentes. Por exemplo, suas contas de teste e contas de produção podem exigir configurações diferentes. Também é possível criar uma política de configuração que abranja novas contas quando elas ingressarem na organização.

**Evitar desvios na configuração**  
O desvio de configuração ocorre quando um usuário faz uma alteração em um serviço ou recurso que entra em conflito com as seleções do administrador delegado. A configuração central evita esse desvio. Quando você designa uma conta ou UO como gerenciada centralmente, ela poderá ser configurada somente pelo administrador delegado da organização. Se você preferir que uma conta ou UO específica defina suas próprias configurações, é possível designá-la como autogerenciada.

## Quando usar a configuração central?
<a name="central-configuration-audience"></a>

A configuração central é mais benéfica para AWS ambientes que incluem várias contas CSPM do Security Hub. Ela foi projetada para ajudar você a gerenciar de forma central o CSPM do Security Hub para várias contas.

É possível usar a configuração central para configurar o serviço, os padrões de segurança e os controles de segurança do CSPM do Security Hub. Também é possível usá-la para personalizar os parâmetros de determinados controles. Para obter mais informações sobre padrões de segurança, consulte [Noções básicas dos padrões de segurança no CSPM do Security Hub](standards-view-manage.md). Para obter mais informações sobre controles de segurança, consulte [Noções básicas sobre os controles de segurança no CSPM do Security Hub](controls-view-manage.md).



## Termos e conceitos da configuração central
<a name="central-configuration-concepts"></a>

Compreender os termos e conceitos-chave a seguir pode ajudá-lo a usar a configuração central do CSPM do Security Hub.

**Configuração central**  
Um recurso do CSPM do Security Hub que ajuda a conta delegada do administrador do CSPM do Security Hub de uma organização a configurar o serviço, os padrões de segurança e os controles de segurança do CSPM do Security Hub em várias contas e regiões. Para definir essas configurações, o administrador delegado cria e gerencia as políticas de configuração do CSPM do Security Hub para contas gerenciadas centralmente em sua organização. As contas autogerenciadas podem definir suas próprias configurações separadamente em cada região. Para usar a configuração central, você deve integrar o Security Hub CSPM e. AWS Organizations

**Região inicial**  
A Região da AWS partir da qual o administrador delegado configura centralmente o CSPM do Security Hub, criando e gerenciando políticas de configuração. As políticas de configuração entram em vigor na região inicial e em todas as regiões vinculadas.  
A região inicial também serve como a região de agregação do CSPM do Security Hub, recebendo descobertas, insights e outros dados das regiões vinculadas.  
As regiões que AWS foram introduzidas em ou após 20 de março de 2019 são conhecidas como regiões opcionais. Uma região de adesão não pode ser a região inicial, mas pode ser uma região vinculada. Para obter uma lista de regiões de adesão, consulte [Considerações antes de habilitar e desabilitar regiões](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#manage-acct-regions-considerations) no *Guia de referência de gerenciamento de contas da AWS *.

**Região vinculada**  
E Região da AWS isso é configurável a partir da região de origem. As políticas de configuração são criadas pelo administrador delegado na região inicial. As políticas entram em vigor na região inicial e em todas as regiões vinculadas. Especificar as regiões vinculadas é opcional.  
Uma região vinculada também envia descobertas, insights e outros dados para a região inicial.  
As regiões que AWS foram introduzidas em ou após 20 de março de 2019 são conhecidas como regiões opcionais. É necessário habilitar essa região para uma conta antes que uma política de configuração possa ser aplicada a ela. A conta gerencial do Organizations pode habilitar regiões de adesão para uma conta de membro. Para obter mais informações, consulte [Especificar qual Regiões da AWS conta pode ser usada](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#rande-manage-enable) no *Guia de referência de gerenciamento de AWS contas*.

**Destino**  
Uma Conta da AWS unidade organizacional (OU) ou a raiz da organização.

**Política de configuração do CSPM do Security Hub**  
Um conjunto de configurações do CSPM do Security Hub que o administrador delegado pode definir para alvos gerenciados centralmente. Isso inclui:  
+ Se o CSPM do Security Hub deve ser habilitado ou desabilitado.
+ Se um ou mais [padrões de segurança](standards-reference.md) devem ser habilitados.
+ Quais [controles de segurança](securityhub-controls-reference.md) a habilitar dentre todos os padrões habilitados. O administrador delegado pode fazer isso fornecendo uma lista de controles específicos que devem ser habilitados, e o CSPM do Security Hub desabilitará todos os outros controles (incluindo novos controles quando eles forem lançados). De forma alternativa, o administrador delegado pode fornecer uma lista de controles específicos que devem ser desabilitados, e o CSPM do Security Hub habilitará todos os outros controles (incluindo novos controles quando eles forem lançados).
+ Opcionalmente, [personalize os parâmetros](custom-control-parameters.md) para selecionar controles habilitados dentre os padrões habilitados.
Uma política de configuração entra em vigor na região inicial e em todas as regiões vinculadas depois de ser associada a pelo menos uma conta, unidade organizacional (UO) ou raiz.  
No console do CSPM do Security Hub, o administrador delegado pode escolher a política de configuração recomendada do CSPM do Security Hub ou criar políticas de configuração personalizadas. Com a API CSPM do Security Hub e AWS CLI, o administrador delegado só pode criar políticas de configuração personalizadas. O administrador delegado pode criar no máximo 20 políticas de configuração personalizadas.  
Na política de configuração recomendada, o CSPM do Security Hub, o padrão Práticas Recomendadas de Segurança Básica (FSBP) da AWS e todos os controles de FSBP novos e existentes estão habilitados. Os controles que aceitam parâmetros usam os valores padrão. A política de configuração recomendada se aplica a toda a organização.  
Para aplicar configurações diferentes à organização ou aplicar políticas de configuração diferentes a contas diferentes e OUs criar uma política de configuração personalizada.

**Configuração local**  
O tipo de configuração padrão para uma organização, depois de integrar o Security Hub CSPM e. AWS Organizations Com a configuração local, o administrador delegado pode optar por habilitar automaticamente o CSPM do Security Hub e os [padrões de segurança padrão](securityhub-auto-enabled-standards.md) em *novas* contas da organização na região atual. Se o administrador delegado habilitar automaticamente os padrões padrão, todos os controles que fazem parte desses padrões também serão habilitados automaticamente com parâmetros padrão para as novas contas da organização. Essas configurações não se aplicam às contas existentes, portanto, é possível alterar a configuração depois que uma conta ingressa na organização. A desabilitação de controles específicos que fazem parte dos padrões padrão e a configuração de padrões e controles adicionais devem ser feitas separadamente em cada conta e região.  
A configuração local não oferece suporte ao uso de políticas de configuração. Para usar políticas de configuração, é necessário alternar para a configuração central.

**Gerenciamento manual de contas**  
Se você não integrar o CSPM do Security Hub AWS Organizations ou tiver uma conta independente, deverá especificar configurações para cada conta separadamente em cada região. O gerenciamento manual de contas não oferece suporte ao uso de políticas de configuração.

**Configuração central APIs**  
Operações do CSPM do Security Hub que somente o administrador delegado do CSPM do Security Hub pode usar na região inicial para gerenciar políticas de configuração para contas gerenciadas centralmente. As operações incluem:  
+ `CreateConfigurationPolicy`
+ `DeleteConfigurationPolicy`
+ `GetConfigurationPolicy`
+ `ListConfigurationPolicies`
+ `UpdateConfigurationPolicy`
+ `StartConfigurationPolicyAssociation`
+ `StartConfigurationPolicyDisassociation`
+ `GetConfigurationPolicyAssociation`
+ `BatchGetConfigurationPolicyAssociations`
+ `ListConfigurationPolicyAssociations`

**Específico da conta APIs**  
Operações de CSPM do Security Hub que podem ser usadas para ativar ou desativar o CSPM, os padrões e os controles do Security Hub em uma base. account-by-account Essas operações são usadas em cada região individual.  
As contas autogerenciadas podem usar operações específicas da conta para definir suas próprias configurações. As contas gerenciadas centralmente não podem usar as operações a seguir, específicas da conta na região inicial e nas regiões vinculadas. Nessas regiões, apenas o administrador delegado pode configurar contas gerenciadas centralmente por meio de operações de configuração central e políticas de configuração.  
+ `BatchDisableStandards`
+ `BatchEnableStandards`
+ `BatchUpdateStandardsControlAssociations`
+ `DisableSecurityHub`
+ `EnableSecurityHub`
+ `UpdateStandardsControl`
Para verificar o status da conta, o proprietário de uma conta gerenciada centralmente *pode* usar qualquer operação `Get` ou `Describe` da API do CSPM do Security Hub.  
Se você usar a configuração local ou o gerenciamento manual de contas, em vez da configuração central, essas operações específicas da conta poderão ser usadas.  
As contas autogerenciadas também podem usar as operações `*Invitations` e `*Members`. Porém, recomendamos que as contas autogerenciadas não usem essas operações. As associações de políticas podem não funcionar se uma conta de membro tiver seus os próprios membros e eles fizerem parte de uma organização diferente da organização do administrador delegado.

**Unidade organizacional (UO)**  
No AWS Organizations Security Hub CSPM, um contêiner para um grupo de. Contas da AWS Uma unidade organizacional (OU) também pode conter outras OUs, permitindo que você crie uma hierarquia que se assemelhe a uma árvore invertida, com uma UO principal na parte superior e ramificações OUs que se estendem para baixo, terminando em contas que são as folhas da árvore. Uma UO pode ter exatamente um pai, e, atualmente, cada conta pode ser um membro de exatamente uma UO.  
Você pode gerenciar OUs em AWS Organizations ou AWS Control Tower. Para obter mais informações, consulte [Gerenciamento de unidades organizacionais](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_ous.html) no *Guia do usuário do AWS Organizations * ou [Governo de organizações e contas com o AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/existing-orgs.html) no *Guia do usuário do AWS Control Tower *.  
O administrador delegado pode associar políticas de configuração a contas específicas ou à raiz para cobrir todas as contas e OUs em uma organização. OUs

**Gerenciada centralmente**  
Um alvo que apenas o administrador delegado pode configurar em todas as regiões usando políticas de configuração.  
A conta de administrador delegado especifica se um alvo é gerenciado centralmente. O administrador delegado também pode alterar o status de um alvo gerenciado centralmente para autogerenciado, ou vice-versa.

**Autogerenciado**  
Um destino que gerencia suas próprias configurações do CSPM do Security Hub. Um destino autogerenciado usa operações específicas da conta para configurar o CSPM do Security Hub separadamente em cada região. Isso é diferente das contas gerenciadas centralmente, que só podem ser configuradas pelo administrador delegado em todas as regiões por meio de políticas de configuração.  
A conta de administrador delegado especifica se um alvo é autogerenciado. O administrador delegado pode aplicar um comportamento autogerenciado a um alvo. Como alternativa, uma conta ou UO pode herdar o comportamento autogerenciado de um dos pais.  
A conta de administrador delegado pode ela mesma ser uma conta autogerenciada. A conta de administrador delegado pode alterar o status de um alvo de autogerenciado para gerenciado centralmente, ou vice-versa.  


**Associação de políticas de configuração**  
Um link entre uma política de configuração e uma conta, unidade organizacional (UO) ou uma raiz. Quando existe uma associação de política, a conta, a UO ou a raiz usam as configurações definidas pela política de configuração. Existe uma associação em qualquer um destes casos:  
+ Quando o administrador delegado aplica diretamente uma política de configuração a uma conta, UO ou raiz
+ Quando uma conta ou UO herda uma política de configuração de uma UO principal ou da raiz
Uma associação existe até que uma configuração diferente seja aplicada ou herdada.

**Política de configuração aplicada**  
Um tipo de associação de política de configuração na qual o administrador delegado aplica diretamente uma política de configuração às contas de destino ou à raiz. OUs Os destinos são configurados da forma que a política de configuração define, e somente o administrador delegado pode alterar sua configuração. Se aplicada à raiz, a política de configuração afeta todas as contas e OUs na organização que não usam uma configuração diferente por meio de aplicativo ou herança do pai mais próximo.  
O administrador delegado também pode aplicar uma configuração autogerenciada a contas específicas ou à raiz. OUs

**Política de configuração herdada**  
Um tipo de associação de política de configuração em que uma conta ou UO adota a configuração da UO principal mais próxima ou da raiz. Se uma política de configuração não for aplicada diretamente a uma conta ou UO, ela herdará a configuração do pai mais próximo. Todos os elementos de uma política são herdados. Em outras palavras, uma conta ou UO não pode escolher herdar seletivamente somente partes de uma política. Se o pai mais próximo for autogerenciado, a conta ou UO filha herdará o comportamento autogerenciado do pai.   
A herança não pode substituir uma configuração aplicada. Ou seja, se uma política de configuração ou configuração autogerenciada for aplicada diretamente a uma conta ou UO, ela usará essa configuração e não herdará a configuração do pai.

**Raiz**  
No Security Hub AWS Organizations e no CSPM, o nó principal de nível superior em uma organização. Se o administrador delegado aplicar uma política de configuração ao root, a política será associada a todas as contas e OUs na organização, a menos que elas usem uma política diferente, por meio de aplicativo ou herança, ou sejam designadas como autogerenciadas. Se o administrador designar a raiz como autogerenciada, todas as contas e OUs na organização serão autogerenciadas, a menos que usem uma política de configuração por meio de aplicativo ou herança. Se a raiz for autogerenciada e nenhuma política de configuração existir atualmente, todas as novas contas na organização manterão suas configurações atuais.  
As novas contas que ingressem em uma organização ficarão sob a raiz até serem atribuídas a uma UO específica. Se uma nova conta não for atribuída a uma UO, ela herdará a configuração raiz, a menos que o administrador delegado a designe como uma conta autogerenciada.

# Habilitação da configuração central no CSPM do Security Hub
<a name="start-central-configuration"></a>

A conta delegada do administrador do AWS Security Hub CSPM pode usar a configuração central para configurar o CSPM, os padrões e os controles do Security Hub para várias contas e unidades organizacionais () em todas. OUs Regiões da AWS

Para obter informações contextuais sobre os benefícios da configuração central e como ela funciona, consulte [Noções básicas sobre a configuração central no CSPM do Security Hub](central-configuration-intro.md).

Esta seção explica os pré-requisitos da configuração central e como começar a usá-la.

## Pré-requisitos para a configuração central
<a name="prerequisites-central-configuration"></a>

Antes de começar a usar a configuração central, você deve integrar o Security Hub CSPM AWS Organizations e designar uma região de origem. Se você usa o console do CSPM do Security Hub, esses pré-requisitos são incluídos no fluxo de trabalho de adesão para configuração central.

### Integrar ao Organizations
<a name="orgs-integration-prereq"></a>

Você precisa integrar o CSPM do Security Hub e o Organizations para usar a configuração central.

Para integrar esses serviços, você começa criando uma organização no Organizations. A partir da conta gerencial do Organizations, você designa uma conta de administrador delegado do CSPM do Security Hub. Para instruções, consulte [Integrando o Security Hub CSPM com AWS Organizations](designate-orgs-admin-account.md).

Certifique-se de designar seu administrador delegado na sua **região inicial pretendida**. Quando você começa a usar a configuração central, o mesmo administrador delegado também é definido automaticamente em todas as regiões vinculadas. A conta gerencial do Organizations *não pode* ser definida como uma conta de administrador delegado.

**Importante**  
Ao usar a configuração central, você não pode usar o console CSPM do Security Hub ou o CSPM do Security Hub APIs para alterar ou remover a conta do administrador delegado. Se a conta de gerenciamento do Organizations for usada AWS Organizations APIs para alterar ou remover o administrador delegado do CSPM do Security Hub, o CSPM do Security Hub interromperá automaticamente a configuração central. Suas políticas de configuração também serão desassociadas e excluídas. As contas de membro retêm as configurações que tinham antes de o administrador delegado ser alterado ou removido.

### Designar uma região inicial
<a name="home-region-prereq"></a>

É necessário designar uma região inicial para usar a configuração central. A região inicial é aquela a partir da qual o administrador delegado configura a organização.

**nota**  
A região de origem não pode ser uma região designada como uma região opcional. AWS Uma região de adesão é desabilitada por padrão. Para obter uma lista de regiões de adesão, consulte [Considerações antes de habilitar e desabilitar regiões](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#manage-acct-regions-considerations) no *Guia de referência de gerenciamento de contas da AWS *.

Outra opção é especificar uma ou mais regiões vinculadas configuráveis em uma região inicial.

O administrador delegado pode criar e gerenciar políticas de configuração somente a partir da região inicial. As políticas de configuração entram em vigor na região inicial e em todas as regiões vinculadas. Você não pode criar uma política de configuração que seja aplicada somente a um subconjunto dessas regiões, e não a outras. A exceção a isso são os controles que envolvem recursos globais. Se você usar a configuração central, o CSPM do Security Hub desabilitará automaticamente os controles que envolvem recursos globais em todas as regiões, exceto na região inicial. Para obter mais informações, consulte [Controles que usam recursos globais](controls-to-disable.md#controls-to-disable-global-resources).

A região inicial também é a sua região de agregação do CSPM do Security Hub, que recebe descobertas, insights e outros dados das regiões vinculadas.

Se você já definiu uma região de agregação para a agregação entre regiões, essa é sua região inicial padrão para a configuração central. É possível alterar a região inicial antes de começar a usar a configuração central excluindo seu agregador de descobertas atual e criando um novo na região inicial desejada. Um agregador de descobertas é um recurso do CSPM do Security Hub que especifica a região inicial e as regiões vinculadas.

Para designar uma região inicial, siga [as etapas para definir uma região de agregação](finding-aggregation-enable.md). Se você já tem uma região inicial, pode invocar a API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindingAggregator.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindingAggregator.html) para ver detalhes sobre ela, incluindo quais regiões estão atualmente vinculadas a ela.

## Instruções para habilitar a configuração central
<a name="central-configuration-get-started"></a>

Escolha seu método preferido e siga as etapas para habilitar a configuração central para a sua organização.

------
#### [ Security Hub CSPM console ]

**Para habilitar a configuração central (console)**

1. Abra o console CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. No painel de navegação, escolha **Configurações** e **Configuração**. Em seguida, escolha **Iniciar configuração central**.

   Se você estiver se integrando ao CSPM do Security Hub, escolha **Ir para o CSPM do Security Hub**.

1. Na página **Designar administrador delegado**, selecione sua conta de administrador delegado ou insira o ID da conta. Se aplicável, recomendamos escolher o mesmo administrador delegado que você definiu para outros serviços de segurança e conformidade da AWS . Escolha **Definir administrador delegado**.

1. Na página **Centralizar organização**, na seção **Regiões**, selecione sua região inicial. Você precisa fazer login na região inicial para prosseguir. Se você já definiu uma região de agregação para a agregação entre regiões, ela será exibida como a região inicial. Para alterar a região inicial, escolha **Editar configurações da região**. Em seguida, será possível selecionar sua região inicial preferida e retornar a esse fluxo de trabalho.

1. Selecione ao menos uma região para vincular à região inicial. Opcionalmente, escolha se você deseja vincular automaticamente as futuras regiões com suporte à região inicial. As regiões que você selecionar aqui poderão ser configuradas a partir da região inicial pelo administrador delegado. As políticas de configuração entram em vigor na sua região inicial e em todas as regiões vinculadas.

1. Escolha **Confirmar e continuar**.

1.  Agora é possível usar a configuração central. Continue seguindo as instruções do console para criar sua primeira política de configuração. Se você ainda não estiver pronto para criar uma política de configuração, escolha **Ainda não estou pronto para configurar**. É possível criar uma política posteriormente escolhendo **Configurações** e **Configuração** no painel de navegação. Para obter instruções sobre como criar uma política de configuração, consulte [Criação e associação de políticas de configuração](create-associate-policy.md).

------
#### [ Security Hub CSPM API ]

**Para habilitação a configuração central (API)**

1. Usando as credenciais da conta do administrador delegado, invoque a API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html) a partir da região inicial.

1. Defina o campo `AutoEnable` como `false`.

1. Defina o campo `ConfigurationType` no objeto `OrganizationConfiguration` como `CENTRAL`. Essa ação:
   + Designa a conta de chamada como o administrador delegado do CSPM do Security Hub em todas as regiões vinculadas.
   + Habilita o CSPM do Security Hub na conta do administrador delegado em todas as regiões vinculadas.
   + Designa a conta de chamada como o administrador delegado do CSPM do Security Hub para contas novas e existentes que usem o CSPM do Security Hub e pertençam à organização. Isso ocorre na região inicial e em todas as regiões vinculadas. A conta de chamada será definida como o administrador delegado para novas contas da organização somente se elas estiverem associadas a uma política de configuração que tenha o CSPM do Security Hub habilitado. A conta de chamada será definida como o administrador delegado das contas existentes da organização somente se elas já tiverem o CSPM do Security Hub habilitado.
   + Define [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html#securityhub-UpdateOrganizationConfiguration-request-AutoEnable](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html#securityhub-UpdateOrganizationConfiguration-request-AutoEnable) como `false` em todas as regiões vinculadas e define [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html#securityhub-UpdateOrganizationConfiguration-request-AutoEnableStandards](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html#securityhub-UpdateOrganizationConfiguration-request-AutoEnableStandards) como `NONE` na região inicial e em todas as regiões vinculadas. Esses parâmetros não são relevantes nas regiões inicial e vinculadas quando você usa a configuração central, mas é possível habilitar automaticamente o CSPM do Security Hub e os padrões de segurança padrão nas contas da organização por meio do uso de políticas de configuração.

1. Agora é possível usar a configuração central. O administrador delegado pode criar políticas de configuração para configurar o CSPM do Security Hub na sua organização. Para obter instruções sobre como criar uma política de configuração, consulte [Criação e associação de políticas de configuração](create-associate-policy.md).

**Exemplo de solicitação de API**:

```
{
    "AutoEnable": false,
    "OrganizationConfiguration": {
        "ConfigurationType": "CENTRAL"
    }
}
```

------
#### [ AWS CLI ]

**Para habilitação a configuração central (AWS CLI)**

1. Usando as credenciais da conta do administrador delegado, execute o comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html) a partir da região inicial.

1. Inclua o parâmetro `no-auto-enable`.

1. Defina o campo `ConfigurationType` no objeto `organization-configuration` como `CENTRAL`. Essa ação:
   + Designa a conta de chamada como o administrador delegado do CSPM do Security Hub em todas as regiões vinculadas.
   + Habilita o CSPM do Security Hub na conta do administrador delegado em todas as regiões vinculadas.
   + Designa a conta de chamada como o administrador delegado do CSPM do Security Hub para contas novas e existentes que usem o CSPM do Security Hub e pertençam à organização. Isso ocorre na região inicial e em todas as regiões vinculadas. A conta de chamada será definida como o administrador delegado para novas contas da organização somente se elas estiverem associadas a uma política de configuração que tenha o Security Hub habilitado. A conta de chamada será definida como o administrador delegado das contas existentes da organização somente se elas já tiverem o CSPM do Security Hub habilitado.
   + Define a opção de habilitação automática como [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html#options](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html#options) em todas as regiões vinculadas e define [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html#options](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html#options) como `NONE` na região inicial e em todas as regiões vinculadas. Esses parâmetros não são relevantes nas regiões inicial e vinculadas quando você usa a configuração central, mas é possível habilitar automaticamente o CSPM do Security Hub e os padrões de segurança padrão nas contas da organização por meio do uso de políticas de configuração.

1. Agora é possível usar a configuração central. O administrador delegado pode criar políticas de configuração para configurar o CSPM do Security Hub na sua organização. Para obter instruções sobre como criar uma política de configuração, consulte [Criação e associação de políticas de configuração](create-associate-policy.md).

**Exemplo de comando:**

```
aws securityhub --region us-east-1 update-organization-configuration \
--no-auto-enable \
--organization-configuration '{"ConfigurationType": "CENTRAL"}'
```

------

# Destinos gerenciado centralmente versus autogerenciados
<a name="central-configuration-management-type"></a>

*Quando você ativa a configuração central, o administrador delegado do CSPM do AWS Security Hub pode designar cada conta da organização, unidade organizacional (OU) e raiz como gerenciada *centralmente* ou autogerenciada.* O tipo de gerenciamento de um alvo determina como é possível especificar suas configurações do CSPM do Security Hub.

Para obter informações contextuais sobre os benefícios da configuração central e como ela funciona, consulte [Noções básicas sobre a configuração central no CSPM do Security Hub](central-configuration-intro.md).

Esta seção explica as diferenças entre uma designação gerenciada centralmente e autogerenciada, e como escolher o tipo de gerenciamento de uma conta, de uma UO ou da raiz.

**Autogerenciado**  
O proprietário de uma conta autogerenciada, OU ou raiz deve definir suas configurações separadamente em cada uma Região da AWS. O administrador delegado não pode criar políticas de configuração para alvos autogerenciados.

**Gerenciada centralmente**  
Somente o administrador delegado do CSPM do Security Hub pode definir configurações para contas gerenciadas centralmente ou a raiz na região de origem e regiões vinculadas. OUs As políticas de configuração podem ser associadas a contas gerenciadas centralmente e. OUs

O administrador delegado pode alternar o status de um alvo entre autogerenciado e gerenciado centralmente. Por padrão, todas as contas e UOs são autogerenciadas quando você inicia a configuração central por meio da API do CSPM do Security Hub. No console, o tipo de gerenciamento dependerá da sua primeira política de configuração. As contas OUs que você associa à sua primeira política são gerenciadas centralmente. Outras contas e OUs são autogerenciadas por padrão.

Se você associar uma política de configuração a uma conta anteriormente autogerenciada, as configurações da política substituirão a designação autogerenciada. A conta passará a ser gerenciada centralmente e adotará as configurações refletidas na política de configuração.

Se você alterar uma conta gerenciada centralmente para uma conta autogerenciada, as configurações aplicadas anteriormente à conta por meio de uma política de configuração permanecerão em vigor. Por exemplo, uma conta gerenciada centralmente poderia inicialmente ser associada a uma política que habilitasse o Security Hub CSPM, habilitasse as melhores práticas de segurança AWS básicas e desabilitasse .1. CloudTrail Se você designar a conta como autogerenciada, todas as configurações permanecerão inalteradas. No entanto, o proprietário da conta pode alterar de forma independente as configurações da conta daqui para frente.

A criança conta e OUs pode herdar o comportamento autogerenciado de um pai autogerenciado, da mesma forma que as contas secundárias e OUs pode herdar as políticas de configuração de um pai gerenciado centralmente. Para obter mais informações, consulte [Associação de políticas por meio de aplicação e herança](configuration-policies-overview.md#policy-association).

Uma conta autogerenciada ou UO não pode herdar uma política de configuração de um nó superior ou da raiz. Por exemplo, se você quiser que todas as contas e OUs em sua organização herdem uma política de configuração da raiz, você deve alterar o tipo de gerenciamento dos nós autogerenciados para gerenciados centralmente.

## Opções para definir configurações em contas autogerenciadas
<a name="self-managed-settings"></a>

As contas autogerenciadas devem definir suas próprias configurações separadamente em cada região.

Os proprietários de contas autogerenciadas podem invocar as seguintes operações da APIs do CSPM do Security Hub em cada região para definir suas configurações:
+ `EnableSecurityHub` e `DisableSecurityHub` para habilitar ou desabilitar o serviço do CSPM do Security Hub (se uma conta autogerenciada tiver um administrador delegado do CSPM do Security Hub, o administrador deverá [desassociar a conta antes que o proprietário da conta](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisassociateMembers.html) possa desabilitar o CSPM do Security Hub).
+ `BatchEnableStandards` e `BatchDisableStandards` para habilitar ou desabilitar padrões
+ `BatchUpdateStandardsControlAssociations` ou `UpdateStandardsControl` para habilitar ou desabilitar

As contas autogerenciadas também podem usar as operações `*Invitations` e `*Members`. Porém, recomendamos que as contas autogerenciadas não usem essas operações. As associações de políticas podem não funcionar se uma conta de membro tiver seus os próprios membros e eles fizerem parte de uma organização diferente da organização do administrador delegado.

Para obter descrições das ações da API do CSPM do Security Hub, consulte a [https://docs.aws.amazon.com/securityhub/1.0/APIReference/Welcome.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/Welcome.html).

As contas autogerenciadas também podem usar o console CSPM do Security Hub ou AWS CLI definir suas configurações em cada região.

As contas autogerenciadas não podem invocar nenhuma APIs relacionada às políticas de configuração e associações de políticas do Security Hub CSPM. Somente o administrador delegado pode invocar a configuração central APIs e usar políticas de configuração para configurar contas gerenciadas centralmente.

## Escolher o tipo de gerenciamento de um alvo
<a name="choose-management-type"></a>

Escolha seu método preferido e siga as etapas para designar uma conta ou OU como gerenciada centralmente ou autogerenciada no AWS Security Hub CSPM.

------
#### [ Security Hub CSPM console ]

**Para escolher o tipo de gerenciamento de uma conta ou UO**

1. Abra o console CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Faça login usando as credenciais da conta do administrador do CSPM do Security Hub delegado na região inicial.

1. Escolher **configuração**.

1. Na guia **Organização**, selecione a conta ou UO de destino. Escolha **Editar**.

1. Na página **Definir configuração**, em **Tipo de gerenciamento**, escolha **Gerenciada centralmente** se quiser que o administrador delegado configure a conta ou UO de destino. Em seguida, escolha **Aplicar uma política específica** se quiser associar uma política de configuração existente ao destino. Escolha **Herdar da minha organização** se desejar que o destino herde a configuração do pai mais próximo. Escolha **Autogerenciado** se desejar que a conta ou UO defina suas próprias configurações.

1. Escolha **Próximo**. Revise suas alterações e escolha **Salvar**.

------
#### [ Security Hub CSPM API ]

**Para escolher o tipo de gerenciamento de uma conta ou UO**

1. Invoque a API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html) a partir da conta de administrador delegado do CSPM do Security Hub na região inicial.

1. No campo `ConfigurationPolicyIdentifier`, forneça `SELF_MANAGED_SECURITY_HUB` se você deseja que a conta ou UO controle suas próprias configurações. Forneça o nome do recurso da Amazon (ARN) ou o ID da política de configuração relevante se quiser que o administrador delegado controle as configurações da conta ou da UO.

1. Para o `Target` campo, forneça o Conta da AWS ID, ID da OU ou ID raiz do destino cujo tipo de gerenciamento você deseja alterar. Isso associará o comportamento autogerenciado ou a política de configuração especificada ao destino. As contas filhas do destino podem herdar o comportamento autogerenciado ou a política de configuração.

**Exemplo de solicitação de API para designar uma conta autogerenciada:**

```
{
    "ConfigurationPolicyIdentifier": "SELF_MANAGED_SECURITY_HUB",
    "Target": {"AccountId": "123456789012"}
}
```

------
#### [ AWS CLI ]

**Para escolher o tipo de gerenciamento de uma conta ou UO**

1. Execute o comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html) a partir da conta de administrador delegado do CSPM do Security Hub na região inicial.

1. No campo `configuration-policy-identifier`, forneça `SELF_MANAGED_SECURITY_HUB` se você deseja que a conta ou UO controle suas próprias configurações. Forneça o nome do recurso da Amazon (ARN) ou o ID da política de configuração relevante se quiser que o administrador delegado controle as configurações da conta ou da UO.

1. Para o `target` campo, forneça o Conta da AWS ID, ID da OU ou ID raiz do destino cujo tipo de gerenciamento você deseja alterar. Isso associará o comportamento autogerenciado ou a política de configuração especificada ao destino. As contas filhas do destino podem herdar o comportamento autogerenciado ou a política de configuração.

**Exemplo de comando para designar uma conta autogerenciada:**

```
aws securityhub --region us-east-1 start-configuration-policy-association \
--configuration-policy-identifier "SELF_MANAGED_SECURITY_HUB" \
--target '{"AccountId": "123456789012"}'
```

------

# Como as políticas de configuração funcionam no CSPM do Security Hub
<a name="configuration-policies-overview"></a>

O administrador delegado do CSPM do AWS Security Hub pode criar políticas de configuração para configurar o CSPM, os padrões de segurança e os controles de segurança do Security Hub para uma organização. Depois de criar uma política de configuração, o administrador delegado pode associá-la a contas específicas, unidades organizacionais (OUs) ou à raiz. A política então entra em vigor nas contas OUs especificadas ou na raiz.

Para obter informações contextuais sobre os benefícios da configuração central e como ela funciona, consulte [Noções básicas sobre a configuração central no CSPM do Security Hub](central-configuration-intro.md).

Esta seção fornece uma visão geral detalhada das políticas de configuração.

## Considerações sobre políticas
<a name="configuration-policies-considerations"></a>

Antes de criar uma política de configuração no CSPM do Security Hub, considere os detalhes a seguir.
+ **As políticas de configuração devem ser associadas para entrarem em vigor** — Depois de criar uma política de configuração, você pode associá-la a uma ou mais contas, unidades organizacionais (OUs) ou à raiz. Uma política de configuração pode ser associada a contas ou OUs por meio de aplicação direta ou por meio de herança de uma OU principal.
+ **Uma conta ou UO só pode estar associada a uma única política de configuração**: para evitar configurações conflitantes, uma conta ou UO só pode estar associada a uma política de configuração por vez. Como alternativa, uma conta ou UO pode ser autogerenciada.
+ **As políticas de configuração são completas**: as políticas de configuração fornecem uma especificação completa das configurações. Por exemplo, uma conta filha não pode aceitar configurações para alguns controles de uma política e configurações para outros controles de outra política. Ao associar uma política a uma conta filha, verifique se a política especifica todas as configurações que você deseja que a conta filha use.
+ **As políticas de configuração não podem ser revertidas** — Não há opção de reverter uma política de configuração depois de associá-la a contas ou. OUs Por exemplo, se você associar uma política de configuração que desabilita CloudWatch controles a uma conta específica e, em seguida, dissociar essa política, os CloudWatch controles continuarão desativados nessa conta. Para ativar CloudWatch os controles novamente, você pode associar a conta a uma nova política que habilite os controles. Como alternativa, você pode alterar a conta para autogerenciada e ativar cada CloudWatch controle na conta.
+ **As políticas de configuração entram em vigor na sua região inicial e em todas as regiões vinculadas**: uma política de configuração afeta todas as contas associadas na região inicial e em todas as regiões vinculadas. Você não pode criar uma política de configuração que entre em vigor somente a algumas dessas regiões e não a outras. A exceção são os [controles que usam recursos globais](controls-to-disable.md#controls-to-disable-global-resources). O CSPM do Security Hub desabilita automaticamente os controles que envolvam recursos globais em todas as regiões, exceto na região inicial.

  As regiões que AWS foram introduzidas em ou após 20 de março de 2019 são conhecidas como regiões opcionais. É necessário habilitar essa região para uma conta antes que uma política de configuração entre em vigor nela. A conta gerencial do Organizations pode habilitar regiões de adesão para uma conta de membro. Para obter instruções sobre como ativar regiões opcionais, consulte [Especificar qual Regiões da AWS conta pode ser usada](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#rande-manage-enable) no *Guia de referência de gerenciamento de AWS contas*.

  Se a sua política configurar um controle que não esteja disponível na região inicial ou em uma ou mais regiões vinculadas, o CSPM do Security Hub ignorará a configuração do controle nas regiões indisponíveis, mas aplicará a configuração nas regiões em que o controle estiver disponível. Você não tem cobertura para um controle que não esteja disponível na região inicial ou em alguma das regiões vinculadas.
+ **Políticas de configuração são recursos**: como recurso, uma política de configuração tem um nome do recurso da Amazon (ARN) e um identificador universalmente exclusivo (UUID). O ARN usa o formato a seguir: `arn:partition:securityhub:region:delegated administrator account ID:configuration-policy/configuration policy UUID`. Uma configuração autogerenciada não tem ARN nem UUID. O identificador de uma configuração autogerenciada é `SELF_MANAGED_SECURITY_HUB`.

## Tipos de políticas de configuração
<a name="policy-types"></a>

Cada política de configuração especifica as configurações a seguir:
+ Habilitação ou desabilitação do CSPM do Security Hub.
+ Habilitar um ou mais [padrões de segurança](standards-reference.md).
+ Indicar quais [controles de segurança](securityhub-controls-reference.md) estão habilitados dentre todos os padrões habilitados. É possível fazer isso fornecendo uma lista de controles específicos que devem ser habilitados, e o CSPM do Security Hub desabilitará todos os outros controles, incluindo novos controles quando eles forem lançados. De forma alternativa, é possível fornecer uma lista de controles específicos que devem ser desabilitados, e o CSPM do Security Hub habilitará todos os outros controles, incluindo novos controles quando eles forem lançados.
+ Opcionalmente, [personalize os parâmetros](https://docs.aws.amazon.com/securityhub/latest/userguide/custom-control-parameters.html) para selecionar controles habilitados dentre os padrões habilitados.

As políticas de configuração central não incluem as configurações do AWS Config gravador. Você deve habilitar AWS Config e ativar separadamente a gravação dos recursos necessários para que o Security Hub CSPM gere descobertas de controle. Para obter mais informações, consulte [Considerações antes de ativar e configurar AWS Config](securityhub-setup-prereqs.md#securityhub-prereq-config).

Se você usar a configuração central, o CSPM do Security Hub desabilitará automaticamente os controles que envolvem recursos globais em todas as regiões, exceto na região inicial. Os outros controles que você escolher habilitar por meio de uma política de configuração serão habilitados em todas as regiões em que estiverem disponíveis. Para limitar as descobertas desses controles a apenas uma região, você pode atualizar as configurações do AWS Config gravador e desativar a gravação global de recursos em todas as regiões, exceto na região de origem.

Se um controle habilitado que envolva recursos globais não tiver suporte na região inicial, o CSPM do Security Hub tentará habilitar o controle em uma região vinculada onde haja suporte para o controle. Com a configuração central, não há cobertura para um controle que não esteja disponível na região inicial ou em alguma das regiões vinculadas.

Para obter uma lista dos controles que envolvem recursos globais, consulte [Controles que usam recursos globais](controls-to-disable.md#controls-to-disable-global-resources).

### Política de configuração recomendada
<a name="recommended-policy"></a>

Ao criar uma política de configuração pela *primeira vez no console do CSPM do Security Hub*, você tem a opção de escolher a política recomendada do CSPM do Security Hub.

A política recomendada habilita o Security Hub CSPM, o padrão AWS Foundational Security Best Practices (FSBP) e todos os controles FSBP novos e existentes. Os controles que aceitam parâmetros usam os valores padrão. A política recomendada se aplica ao root (todas as contas e OUs, tanto as novas quanto as existentes). Depois de criar a política recomendada para sua organização, é possível modificá-la a partir da conta de administrador delegado. Por exemplo, é possível habilitar padrões ou controles adicionais ou desabilitar controles de FSBP específicos. Para obter instruções sobre como modificar uma política de configuração, consulte [Atualização das políticas de configuração](update-policy.md).

### Política de configuração personalizada
<a name="custom-policy"></a>

Em vez da política recomendada, o administrador delegado pode criar até 20 políticas de configuração personalizadas. Você pode associar uma única política personalizada a toda a sua organização ou políticas personalizadas diferentes a contas diferentes OUs e. Para uma política de configuração personalizada, você especifica as configurações desejadas. Por exemplo, é possível criar uma política personalizada que habilite o FSBP, o Center for Internet Security (CIS) AWS Foundations Benchmark v1.4.0 e todos os controles nesses padrões, exceto os controles do Amazon Redshift. O nível de granularidade que você usa nas políticas de configuração personalizadas depende do escopo pretendido da cobertura de segurança em toda a organização.

**nota**  
Você não pode associar uma política de configuração que desabilite o CSPM do Security Hub à conta de administrador delegado. Essa política pode ser associada a outras contas, mas ignorará a associação com o administrador delegado. A conta de administrador delegado retém sua configuração atual.

Depois de criar uma política de configuração personalizada, é possível mudar para a política de configuração recomendada atualizando sua política de configuração para refletir a configuração recomendada. Entretanto, você não vê a opção de criar a política de configuração recomendada no console do CSPM do Security Hub após a criação da primeira política.

## Associação de políticas por meio de aplicação e herança
<a name="policy-association"></a>

Quando você faz a adesão à configuração central pela primeira vez, sua organização não tem associações e se comporta da mesma forma que antes da adesão. O administrador delegado pode então estabelecer associações entre uma política de configuração ou um comportamento e contas autogerenciados OUs, ou a raiz. As associações podem ser estabelecidas por meio de *aplicação* ou *herança*.

A partir da conta de administrador delegado, é possível aplicar diretamente uma política de configuração a uma conta, UO ou raiz. Ou então, o administrador delegado pode aplicar diretamente uma designação autogerenciada a uma conta, a uma UO ou à raiz.

Na ausência da aplicação direta, uma conta ou UO herda as configurações da entidade superior mais próxima que tenha uma política de configuração ou um comportamento autogerenciado. Se o pai mais próximo estiver associado a uma política de configuração, o filho herdará essa política e poderá ser configurado somente pelo administrador delegado da região inicial. Se o pai mais próximo for autogerenciado, o filho herda o comportamento autogerenciado e poderá especificar suas próprias configurações em cada um. Região da AWS

A aplicação da política tem precedência sobre a herança. Em outras palavras, a herança não substitui uma política de configuração ou uma designação autogerenciada que o administrador delegado aplicou diretamente a uma conta ou UO.

Se você aplicar uma política de configuração diretamente a uma conta autogerenciada, a política substituirá a designação autogerenciada. A conta passará a ser gerenciada centralmente e adotará as configurações refletidas na política de configuração.

Recomendamos aplicar uma política de configuração diretamente à raiz. Se você aplicar uma política à raiz, as novas contas que ingressarem na sua organização herdarão automaticamente a política da raiz, a menos que você as associe a uma política diferente ou as designe como autogerenciadas.

Somente uma política de configuração pode ser associada a uma conta ou UO em um determinado momento, seja por meio de aplicação ou herança. Isso foi projetado para evitar configurações conflitantes.

O diagrama a seguir ilustra como a aplicação de políticas e a herança funcionam na configuração central.

![\[Aplicação e herança de políticas de configuração do CSPM do Security Hub\]](http://docs.aws.amazon.com/pt_br/securityhub/latest/userguide/images/sechub-diagram-central-configuration-association.png)


Neste exemplo, um nó destacado em verde tem uma política de configuração que foi aplicada a ele. Um nó destacado em azul não tem nenhuma política de configuração aplicada a ele. Um nó destacado em amarelo foi designado como autogerenciado. Cada conta e UO usam a configuração a seguir:
+ **UO:Raiz (verde)**: essa UO usa a política de configuração que foi aplicada a ela.
+ **UO:Prod (azul)**: essa UO herda a política de configuração de UO:Raiz.
+ **UO:Aplicações (verde)**: essa UO usa a política de configuração que foi aplicada a ela.
+ **Conta 1 (verde)**: essa conta usa a política de configuração que foi aplicada a ela.
+ **Conta 2 (azul)**: essa conta herda a política de configuração de UO:Aplicações.
+ **UO:Desenv (amarelo)**: essa UO é autogerenciada.
+ **Conta 3 (verde)**: essa conta usa a política de configuração que foi aplicada a ela.
+ **Conta 4 (azul)**: essa conta herda o comportamento autogerenciado de UO:Desenv.
+ **UO:Teste (azul)**: essa conta herda a política de configuração de UO:Raiz.
+ **Conta 5 (azul)**: essa conta herda a política de configuração de UO:Raiz, pois seu pai imediato, UO:Teste, não está associado a uma política de configuração.

## Testes de uma política de configuração
<a name="test-policy"></a>

Para ter certeza de que entendeu como as políticas de configuração funcionam, recomendamos que você crie uma política e a associe a uma conta ou uma UO de teste.

**Para testar uma política de configuração**

1. Crie uma política de configuração personalizada e verifique se as configurações especificadas para habilitação, padrões e controles do CSPM do Security Hub estão corretas. Para instruções, consulte [Criação e associação de políticas de configuração](create-associate-policy.md).

1. Aplique a política de configuração a uma conta de teste ou UO que não tenha nenhuma conta secundária ou OUs.

1. Verifique se a conta de teste ou UO usa a política de configuração da forma esperada em sua região inicial e em todas as regiões vinculadas. Você também pode verificar se todas as outras contas e OUs em sua organização permanecem autogerenciadas e podem alterar suas próprias configurações em cada região.

Depois de testar uma política de configuração em uma única conta ou OU, você pode associá-la a outras contas OUs e.

# Criação e associação de políticas de configuração
<a name="create-associate-policy"></a>

A conta delegada do administrador do AWS Security Hub CSPM pode criar políticas de configuração que especificam como o CSPM, os padrões e os controles do Security Hub são configurados em contas e unidades organizacionais especificadas (). OUs Uma política de configuração entra em vigor somente depois que o administrador delegado a associa a pelo menos uma conta ou unidade organizacional (OUs) ou à raiz. O administrador delegado também pode associar uma configuração autogerenciada às contas ou à raiz. OUs

Se essa for a primeira vez que você está criando uma política de configuração, é recomendável analisar primeiro [Como as políticas de configuração funcionam no CSPM do Security Hub](configuration-policies-overview.md).

Escolha seu método de acesso preferido e siga as etapas para criar e associar uma política de configuração ou uma configuração autogerenciada. Ao usar o console CSPM do Security Hub, você pode associar uma configuração a várias contas ou OUs ao mesmo tempo. Ao usar a API CSPM do Security Hub ou AWS CLI, você pode associar uma configuração a somente uma conta ou OU em cada solicitação.

**nota**  
Se você usar a configuração central, o CSPM do Security Hub desabilitará automaticamente os controles que envolvem recursos globais em todas as regiões, exceto na região inicial. Os outros controles que você escolher habilitar por meio de uma política de configuração serão habilitados em todas as regiões em que estiverem disponíveis. Para limitar as descobertas desses controles a apenas uma região, você pode atualizar as configurações do AWS Config gravador e desativar a gravação global de recursos em todas as regiões, exceto na região de origem.  
Se um controle habilitado que envolva recursos globais não tiver suporte na região inicial, o CSPM do Security Hub tentará habilitar o controle em uma região vinculada onde haja suporte para o controle. Com a configuração central, não há cobertura para um controle que não esteja disponível na região inicial ou em alguma das regiões vinculadas.  
Para obter uma lista dos controles que envolvem recursos globais, consulte [Controles que usam recursos globais](controls-to-disable.md#controls-to-disable-global-resources).

------
#### [ Security Hub CSPM console ]

**Para criar e associar políticas de configuração**

1. Abra o console CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Faça login usando as credenciais da conta do administrador do CSPM do Security Hub delegado na região inicial.

1. No painel de navegação, escolha **Configuração** e a guia **Políticas**. Em seguida, selecione **Criar política**.

1. Na página **Configurar organização**, se for a primeira vez que você cria uma política de configuração, você verá três opções em **Tipo de configuração**. Se você já criou pelo menos uma política de configuração, verá somente a opção **Política personalizada**.
   + Escolha **Usar a configuração CSPM AWS recomendada do Security Hub em toda a minha organização** para usar nossa política recomendada. A política recomendada ativa o CSPM do Security Hub em todas as contas da organização, ativa o padrão AWS Foundational Security Best Practices (FSBP) e ativa todos os controles FSBP novos e existentes. Os controles usam valores de parâmetros padrão.
   + Escolha **Ainda não estou pronto para configurar** para criar uma política de configuração mais tarde.
   + Escolha **Política personalizada** para criar uma política de configuração personalizada. Especifique se deseja habilitar ou desabilitar o CSPM do Security Hub, quais padrões habilitar e quais controles habilitar em todos esses padrões. Opcionalmente, especifique [valores de parâmetros personalizados](custom-control-parameters.md) para um ou mais controles habilitados que ofereçam suporte a parâmetros personalizados.

1. Na seção **Contas**, escolha a quais contas de destino ou a raiz às quais você deseja que sua política de configuração se aplique. OUs
   + Escolha **Todas as contas** se quiser aplicar a política de configuração à raiz. Isso inclui todas as contas e OUs na organização que não têm outra política aplicada ou herdada.
   + Escolha **Contas específicas** se quiser aplicar a política de configuração a contas específicas ou OUs. Insira a conta IDs ou selecione as contas e a OUs partir da estrutura organizacional. Você pode aplicar a política a um máximo de 15 alvos (contas ou raiz) ao criá-la. OUs Para especificar um número maior, edite a política após criá-la e aplique-a aos alvos adicionais.
   + Escolha **Somente o administrador delegado** para aplicar a política de configuração à conta atual do administrador delegado.

1. Escolha **Próximo**.

1. Na página **Revisar e aplicar**, revise os detalhes da configuração. Em seguida, escolha **Criar política e aplicar**. Na sua região inicial e em todas as regiões vinculadas, essa ação substituirá as configurações existentes das contas associadas a essa política de configuração. As contas podem ser associadas à política de configuração por meio de aplicação direta ou herança de um nó pai. As contas OUs secundárias e os alvos aplicados herdarão automaticamente essa política de configuração, a menos que sejam especificamente excluídas, autogerenciadas ou usem uma política de configuração diferente.

------
#### [ Security Hub CSPM API ]

**Para criar e associar políticas de configuração**

1. Invoque a API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateConfigurationPolicy.html) a partir da conta de administrador delegado do CSPM do Security Hub na região inicial.

1. Em `Name`, insira um nome exclusivo para a política de configuração. Opcionalmente, em `Description`, forneça uma descrição para a política de configuração.

1. No campo `ServiceEnabled`, especifique se você deseja que o CSPM do Security Hub seja habilitado ou desabilitado nesta política de configuração.

1. No campo `EnabledStandardIdentifiers`, especifique quais padrões do CSPM do Security Hub você deseja habilitar nesta política de configuração.

1. No objeto `SecurityControlsConfiguration`, especifique quais controles você deseja habilitar ou desabilitar nessa política de configuração. Escolher `EnabledSecurityControlIdentifiers` significa que os controles especificados serão habilitados. Outros controles que façam parte de seus padrões habilitados (incluindo controles recém-lançados) serão desabilitados. Escolher `DisabledSecurityControlIdentifiers` significa que os controles especificados serão desabilitados. Outros controles que façam parte de seus padrões habilitados (incluindo controles recém-lançados) serão habilitados.

1. Opcionalmente, no campo `SecurityControlCustomParameters`, especifique os controles habilitados para os quais você deseja personalizar os parâmetros. Forneça `CUSTOM` para o campo `ValueType` e o valor do parâmetro personalizado para o campo `Value`. O valor deve ser do tipo de dados correto e estar dentro dos intervalos válidos especificados pelo CSPM do Security Hub. Somente controles selecionados oferecem suporte a valores de parâmetros personalizados. Para obter mais informações, consulte [Noções básicas sobre os parâmetros de controles no CSPM do Security Hub](custom-control-parameters.md).

1. Para aplicar sua política de configuração às contas ou OUs, invocar a [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html)API da conta de administrador delegado CSPM do Security Hub na região de origem.

1. No campo `ConfigurationPolicyIdentifier`, forneça o nome do recurso da Amazon (ARN) ou o identificador único universal (UUID) da política. O ARN e o UUID são retornados pela API `CreateConfigurationPolicy`. Para uma configuração autogerenciada, o campo `ConfigurationPolicyIdentifier` é igual a `SELF_MANAGED_SECURITY_HUB`.

1. No campo `Target`, forneça o ID da UO, da conta ou da raiz à qual você deseja que essa política de configuração se aplique. Você só pode fornecer um destino em cada solicitação de API. As contas secundárias e OUs do alvo selecionado herdarão automaticamente essa política de configuração, a menos que sejam autogerenciadas ou usem uma política de configuração diferente.

**Exemplo de solicitação de API para criar uma política de configuração:**

```
{
    "Name": "SampleConfigurationPolicy",
    "Description": "Configuration policy for production accounts",
    "ConfigurationPolicy": {
        "SecurityHub": {
             "ServiceEnabled": true,
             "EnabledStandardIdentifiers": [
                    "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0",
                    "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"
                ],
            "SecurityControlsConfiguration": {
                "DisabledSecurityControlIdentifiers": [
                    "CloudTrail.2"
                ],
                "SecurityControlCustomParameters": [
                    {
                        "SecurityControlId": "ACM.1",
                        "Parameters": {
                            "daysToExpiration": {
                                "ValueType": "CUSTOM",
                                "Value": {
                                    "Integer": 15
                                }
                            }
                        }
                    }
                ]
            }
        }
    }
}
```

**Exemplo de solicitação de API para associar uma política de configuração:**

```
{
    "ConfigurationPolicyIdentifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "Target": {"OrganizationalUnitId": "ou-examplerootid111-exampleouid111"}
}
```

------
#### [ AWS CLI ]

**Para criar e associar políticas de configuração**

1. Execute o comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-configuration-policy.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-configuration-policy.html) a partir da conta de administrador delegado do CSPM do Security Hub na região inicial.

1. Em `name`, insira um nome exclusivo para a política de configuração. Opcionalmente, em `description`, forneça uma descrição para a política de configuração.

1. No campo `ServiceEnabled`, especifique se você deseja que o CSPM do Security Hub seja habilitado ou desabilitado nesta política de configuração.

1. No campo `EnabledStandardIdentifiers`, especifique quais padrões do CSPM do Security Hub você deseja habilitar nesta política de configuração.

1. No campo `SecurityControlsConfiguration`, especifique quais controles você deseja habilitar ou desabilitar nessa política de configuração. Escolher `EnabledSecurityControlIdentifiers` significa que os controles especificados serão habilitados. Outros controles que façam parte de seus padrões habilitados (incluindo controles recém-lançados) serão desabilitados. Escolher `DisabledSecurityControlIdentifiers` significa que os controles especificados serão desabilitados. Outros controles que se apliquem aos seus padrões habilitados (incluindo controles recém-lançados) serão habilitados.

1. Opcionalmente, no campo `SecurityControlCustomParameters`, especifique os controles habilitados para os quais você deseja personalizar os parâmetros. Forneça `CUSTOM` para o campo `ValueType` e o valor do parâmetro personalizado para o campo `Value`. O valor deve ser do tipo de dados correto e estar dentro dos intervalos válidos especificados pelo CSPM do Security Hub. Somente controles selecionados oferecem suporte a valores de parâmetros personalizados. Para obter mais informações, consulte [Noções básicas sobre os parâmetros de controles no CSPM do Security Hub](custom-control-parameters.md).

1. Para aplicar sua política de configuração às contas ou OUs, execute o [https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html)comando na conta de administrador delegado CSPM do Security Hub na região de origem.

1. No campo `configuration-policy-identifier`, forneça o nome do recurso da Amazon (ARN) ou o ID da política de configuração. Esse ARN e ID são retornados pelo comando `create-configuration-policy`.

1. No campo `target`, forneça o ID da UO, da conta ou da raiz à qual você deseja que essa política de configuração se aplique. Você só pode fornecer um destino a cada vez que você executa o comando. Os filhos do destino selecionado herdarão automaticamente esta política de configuração, a menos que sejam autogerenciadas ou usem uma política de configuração diferente.

**Exemplo de comando para criar uma política de configuração:**

```
aws securityhub --region us-east-1 create-configuration-policy \
--name "SampleConfigurationPolicy" \
--description "Configuration policy for production accounts" \
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}}]}}}'
```

**Exemplo de comando para associar uma política de configuração:**

```
aws securityhub --region us-east-1 start-configuration-policy-association \
--configuration-policy-identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--target '{"OrganizationalUnitId": "ou-examplerootid111-exampleouid111"}'
```

------

A API `StartConfigurationPolicyAssociation` retorna um campo chamado `AssociationStatus`. Esse campo informa se uma associação de política está pendente ou em um estado de sucesso ou fracasso. Pode demorar até 24 horas para que o status mude de `PENDING` para `SUCCESS` ou `FAILURE`. Para obter mais informações sobre status de associações, consulte [Revisar o status da associação de uma política de configuração](view-policy.md#configuration-association-status).

# Visualização do status e dos detalhes de políticas de configuração
<a name="view-policy"></a>

O administrador delegado do CSPM do AWS Security Hub pode visualizar as políticas de configuração de uma organização e seus detalhes. Isso inclui a quais contas e unidades organizacionais (OUs) uma política está associada.

Para obter informações contextuais sobre os benefícios da configuração central e como ela funciona, consulte [Noções básicas sobre a configuração central no CSPM do Security Hub](central-configuration-intro.md).

Escolha seu método preferido e siga as etapas para visualizar suas políticas de configuração.

------
#### [ Security Hub CSPM console ]

**Para visualizar políticas de configuração (console)**

1. Abra o console CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Faça login usando as credenciais da conta do administrador do CSPM do Security Hub delegado na região inicial.

1. No painel de navegação, escolha **Configurações** e **Configuração**.

1. Escolha a guia **Políticas** para ter uma visão geral das políticas de configuração.

1. Selecione uma política de configuração e escolha **Exibir detalhes** para ver detalhes adicionais sobre ela, incluindo a quais contas OUs ela está associada.

------
#### [ Security Hub CSPM API ]

Para visualizar uma lista resumida de todas as suas políticas de configuração, use a operação [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListConfigurationPolicies.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListConfigurationPolicies.html) da API do CSPM do Security Hub. Se você usar o AWS CLI, execute o [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-configuration-policies.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-configuration-policies.html)comando. O administrador delegado do CSPM do Security Hub deve invocar a operação na região inicial.

```
$ aws securityhub list-configuration-policies \
--max-items 5 \
--starting-token U2FsdGVkX19nUI2zoh+Pou9YyutlYJHWpn9xnG4hqSOhvw3o2JqjI23QDxdf
```

Para visualizar detalhes sobre uma política de configuração específica, use a operação [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetConfigurationPolicy.html). Se você usar o AWS CLI, execute [https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-configuration-policy.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-configuration-policy.html)o. O administrador delegado deve invocar a operação na região inicial. Forneça o nome do recurso da Amazon (ARN) ou o ID da política de configuração cujos detalhes você deseja visualizar.

```
$ aws securityhub get-configuration-policy \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
```

Para visualizar uma lista resumida de todas as suas políticas de configuração e suas associações de conta, use a operação [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListConfigurationPolicyAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListConfigurationPolicyAssociations.html). Se você usar o AWS CLI, execute o [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-configuration-policy-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-configuration-policy-associations.html)comando. O administrador delegado deve invocar a operação na região inicial. Opcionalmente, é possível fornecer parâmetros de paginação ou filtrar os resultados por um ID de política específica, tipo de associação ou status de associação.

```
$ aws securityhub list-configuration-policy-associations \
--filters '{"AssociationType": "APPLIED"}'
```

Para visualizar as associações de uma conta específica, use a operação [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetConfigurationPolicyAssociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetConfigurationPolicyAssociation.html). Se você usar o AWS CLI, execute o [https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-configuration-policy-association.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-configuration-policy-association.html)comando. O administrador delegado deve invocar a operação na região inicial. Em `target`, forneça o número da conta, ID da UO ou ID da raiz.

```
$ aws securityhub get-configuration-policy-association \
--target '{"AccountId": "123456789012"}'
```

------

## Revisar o status da associação de uma política de configuração
<a name="configuration-association-status"></a>

As operações a seguir da API da configuração central retornam um campo chamado `AssociationStatus`:
+ `BatchGetConfigurationPolicyAssociations`
+ `GetConfigurationPolicyAssociation`
+ `ListConfigurationPolicyAssociations`
+ `StartConfigurationPolicyAssociation`

Esse campo é retornado quando a configuração subjacente é uma política de configuração e quando é um comportamento autogerenciado.

O valor de `AssociationStatus` indica se uma associação de política está pendente ou em estado de êxito ou falha para uma conta específica. Pode demorar até 24 horas para que o status mude de `PENDING` para `SUCCESS` ou `FAILED`. Um status `SUCCESS` significa que todas as configurações especificadas na política de configuração estão associadas à conta. Um status `FAILED` significa uma ou mais configurações especificadas na política de configuração falharam ao associar à conta. Apesar do status `FAILED`, a conta pode ser parcialmente configurada de acordo com a política. Por exemplo, você pode tentar associar uma conta a uma política de configuração que habilite o CSPM do Security Hub, habilite as melhores práticas de segurança AWS básicas e desabilite .1. CloudTrail As duas configurações iniciais podem ser bem-sucedidas, mas a configuração CloudTrail .1 pode falhar. Neste exemplo, o status da associação é `FAILED`, mesmo que algumas configurações tenham sido definidas corretamente.

O status da associação de uma UO principal ou da raiz depende do status de seus filhos. Se o status de associação de todos os filhos for `SUCCESS`, o status de associação dos pais será `SUCCESS`. Se o status de associação de um ou mais filhos for `FAILED`, o status de associação dos pais será `FAILED`.

O valor de `AssociationStatus` depende do status de associação da política em todas as regiões relevantes. Se a associação obtiver êxito na região inicial e em todas as regiões vinculadas, o valor de `AssociationStatus` será `SUCCESS`. Se a associação falhar em uma ou mais dessas regiões, o valor de `AssociationStatus` será `FAILED`.

O comportamento a seguir também afeta o valor de `AssociationStatus`:
+ Se o destino for uma UO pai ou a raiz, ela terá um `AssociationStatus` de `SUCCESS` ou `FAILED` somente quando todos os filhos tiverem um status `SUCCESS` ou `FAILED`. Se o status de associação de uma conta secundária ou UO mudar (por exemplo, quando uma região vinculada for adicionada ou removida) depois que você associar o pai a uma configuração pela primeira vez, a alteração não atualizará o status de associação do pai, a menos que você invoque a API `StartConfigurationPolicyAssociation` novamente.
+ Se o destino for uma conta, ela terá um `AssociationStatus` de `SUCCESS` ou `FAILED` somente se a associação tiver um resultado de `SUCCESS` ou `FAILED` na região inicial e em todas as regiões vinculadas. Se o status de associação de uma conta de destino mudar (por exemplo, quando uma região vinculada for adicionada ou removida) depois que você a associar pela primeira vez a uma configuração, seu status de associação será atualizado. Entretanto, a alteração não atualiza o status de associação do pai, a menos que você invoque a API `StartConfigurationPolicyAssociation` novamente.

Se você adicionar uma nova região vinculada, o CSPM do Security Hub replicará suas associações existentes que estiverem em um estado `PENDING`, `SUCCESS` ou `FAILED` na nova região.

Mesmo quando o status da associação for `SUCCESS`, o status de habilitação de um padrão que faz parte da política pode passar para um estado incompleto. Nesse caso, o CSPM do Security Hub não pode gerar descobertas para os controles do padrão. Para obter mais informações, consulte [Verificação do status de um padrão](enable-standards.md#standard-subscription-status).

## Solução de problemas de falha de associação
<a name="failed-association-reasons"></a>

No AWS Security Hub CSPM, uma associação de política de configuração pode falhar pelos seguintes motivos comuns.
+ A **conta de gerenciamento do Organizations não é um membro** — Se você quiser associar uma política de configuração à conta de gerenciamento do Organizations, essa conta já deve ter o CSPM do AWS Security Hub ativado. Isso torna a conta gerencial uma conta de membro na organização.
+ **AWS Config não está habilitado ou configurado corretamente** — Para habilitar padrões em uma política de configuração, AWS Config ela deve estar habilitada e configurada para registrar recursos relevantes.
+ **É necessário associar a partir da conta de administrador delegado** — Você só pode associar uma política às contas de destino e OUs quando estiver conectado à conta de administrador delegada do CSPM do Security Hub.
+ **É necessário associar a partir da região de origem** — Você só pode associar uma política às contas de destino e OUs quando estiver conectado à sua região de origem.
+ **Região de adesão não habilitada**: a associação de políticas falhará para uma conta de membro ou UO em uma região vinculada se for uma região de adesão que o administrador delegado não tenha habilitado. É possível tentar novamente depois de habilitar a região a partir da conta de administrador delegado.
+ **Conta de membro suspensa**: a associação de políticas falhará se você tentar associar uma política a uma conta de membro suspensa.

# Atualização das políticas de configuração
<a name="update-policy"></a>

Depois de criar uma política de configuração, a conta delegada do administrador CSPM do AWS Security Hub pode atualizar os detalhes da política e as associações de políticas. Quando os detalhes da política são atualizados, as contas associadas à política de configuração começam automaticamente a usar a política atualizada.

Para obter informações contextuais sobre os benefícios da configuração central e como ela funciona, consulte [Noções básicas sobre a configuração central no CSPM do Security Hub](central-configuration-intro.md).

O administrador delegado pode atualizar as seguintes configurações de política:
+ Habilitar ou desabilitar o CSPM do Security Hub.
+ Habilitar um ou mais [padrões de segurança](standards-reference.md).
+ Indicar quais [controles de segurança](securityhub-controls-reference.md) estão habilitados dentre todos os padrões habilitados. É possível fazer isso fornecendo uma lista de controles específicos que devem ser habilitados, e o CSPM do Security Hub desabilitará todos os outros controles, incluindo novos controles quando eles forem lançados. De forma alternativa, é possível fornecer uma lista de controles específicos que devem ser desabilitados, e o CSPM do Security Hub habilitará todos os outros controles, incluindo novos controles quando eles forem lançados.
+ Opcionalmente, [personalize os parâmetros](https://docs.aws.amazon.com/securityhub/latest/userguide/custom-control-parameters.html) para selecionar controles habilitados dentre os padrões habilitados.

Escolha seu método preferido e siga as etapas para atualizar uma política de configuração.

**nota**  
Se você usar a configuração central, o CSPM do Security Hub desabilitará automaticamente os controles que envolvem recursos globais em todas as regiões, exceto na região inicial. Os outros controles que você escolher habilitar por meio de uma política de configuração serão habilitados em todas as regiões em que estiverem disponíveis. Para limitar as descobertas desses controles a apenas uma região, você pode atualizar as configurações do AWS Config gravador e desativar a gravação global de recursos em todas as regiões, exceto na região de origem.  
Se um controle habilitado que envolva recursos globais não tiver suporte na região inicial, o CSPM do Security Hub tentará habilitar o controle em uma região vinculada onde haja suporte para o controle. Com a configuração central, não há cobertura para um controle que não esteja disponível na região inicial ou em alguma das regiões vinculadas.  
Para obter uma lista dos controles que envolvem recursos globais, consulte [Controles que usam recursos globais](controls-to-disable.md#controls-to-disable-global-resources).

------
#### [ Console ]

**Para atualizar políticas de configuração**

1. Abra o console CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Faça login usando as credenciais da conta do administrador do CSPM do Security Hub delegado na região inicial.

1. No painel de navegação, escolha **Configurações** e **Configuração**.

1. Escolha a guia **Políticas**.

1. Selecione a política de configuração que deseja editar e escolha **Editar**. Se desejar, edite as configurações da política. Deixe esta seção como está se desejar manter as configurações de políticas inalteradas.

1. Escolha **Avançar**. Se desejar, edite as associações de políticas. Deixe esta seção como está se desejar manter as associações de políticas inalteradas. Você pode associar ou desassociar a política a um máximo de 15 alvos (contas ou raiz) ao atualizá-la. OUs 

1. Escolha **Próximo**.

1. Revise suas alterações e escolha **Salvar e aplicar**. Na sua região inicial e em todas as regiões vinculadas, essa ação substituirá as configurações existentes das contas associadas a essa política de configuração. As contas podem ser associadas a uma política de configuração por meio de aplicação direta ou herança de um nó pai.

------
#### [ API ]

**Para atualizar políticas de configuração**

1. Para atualizar as configurações em uma política de configuração, invoque a API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html) da conta de administrador delegado do CSPM do Security Hub na região inicial.

1. Forneça o nome do recurso da Amazon (ARN) ou o ID da política de configuração que deseja atualizar. 

1. Forneça valores atualizados para os campos sob `ConfigurationPolicy`. Opcionalmente, também é possível fornecer um motivo para a atualização.

1. Para adicionar novas associações a essa política de configuração, invoque a API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html) da conta de administrador delegado do CSPM do Security Hub na região inicial. Para remover uma ou mais das associações atuais, invoque a API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyDisassociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyDisassociation.html) a partir da conta de administrador delegado do CSPM do Security Hub na região inicial.

1. No campo `ConfigurationPolicyIdentifier`, forneça o ARN ou o ID da política de configuração cujas associações você deseja atualizar.

1. Para o `Target` campo, forneça as contas ou o ID raiz que você deseja associar ou desassociar. OUs Essa ação substitui associações de políticas anteriores para as contas OUs especificadas.

**nota**  
Quando você invoca a API `UpdateConfigurationPolicy`, o CSPM do Security Hub executa uma substituição completa da lista para os campos `EnabledStandardIdentifiers`, `EnabledSecurityControlIdentifiers`, `DisabledSecurityControlIdentifiers` e `SecurityControlCustomParameters`. Sempre que você invocar essa API, forneça a lista completa dos padrões que você deseja habilitar e a lista completa dos controles para os quais você deseja habilitar ou desabilitar e personalizar os parâmetros.

**Exemplo de solicitação de API para atualizar uma política de configuração:**

```
{
    "Identifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "Description": "Updated configuration policy",
    "UpdatedReason": "Disabling CloudWatch.1",
    "ConfigurationPolicy": {
        "SecurityHub": {
             "ServiceEnabled": true,
             "EnabledStandardIdentifiers": [
                    "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0",
                    "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0" 
                ],
            "SecurityControlsConfiguration": {
                "DisabledSecurityControlIdentifiers": [
                    "CloudTrail.2",
                    "CloudWatch.1"
                ],
                "SecurityControlCustomParameters": [
                    {
                        "SecurityControlId": "ACM.1",
                        "Parameters": {
                            "daysToExpiration": {
                                "ValueType": "CUSTOM",
                                "Value": {
                                    "Integer": 15
                                }
                            }
                        }
                    }
                ]
            }
        }
    }
}
```

------
#### [ AWS CLI ]

**Para atualizar políticas de configuração**

1. Para atualizar as configurações em uma política de configuração, execute o comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-configuration-policy.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-configuration-policy.html) a partir da conta de administrador delegado do CSPM do Security Hub na região inicial.

1.  Forneça o nome do recurso da Amazon (ARN) ou o ID da política de configuração que deseja atualizar.

1. Forneça valores atualizados para os campos sob `configuration-policy`. Opcionalmente, também é possível fornecer um motivo para a atualização.

1. Para adicionar novas associações a essa política de configuração, execute o comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html) a partir da conta de administrador delegado do CSPM do Security Hub na região inicial. Para remover uma ou mais das associações atuais, execute o comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html) a partir da conta de administrador delegado do CSPM do Security Hub na região inicial.

1. No campo `configuration-policy-identifier`, forneça o ARN ou o ID da política de configuração cujas associações você deseja atualizar.

1. Para o `target` campo, forneça as contas ou o ID raiz que você deseja associar ou desassociar. OUs Essa ação substitui associações de políticas anteriores para as contas OUs especificadas.

**nota**  
Quando você executa o comando `update-configuration-policy`, o CSPM do Security Hub executa uma substituição completa da lista para os campos `EnabledStandardIdentifiers`, `EnabledSecurityControlIdentifiers`, `DisabledSecurityControlIdentifiers` e `SecurityControlCustomParameters`. Sempre que você executar esse comando, forneça a lista completa dos padrões que você deseja habilitar e a lista completa dos controles para os quais você deseja habilitar ou desabilitar e personalizar os parâmetros.

**Exemplo de comando para atualizar uma política de configuração:**

```
aws securityhub update-configuration-policy \
--region us-east-1 \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--description "Updated configuration policy" \
--updated-reason "Disabling CloudWatch.1" \
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2","CloudWatch.1"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}}]}}}'
```

------

A API `StartConfigurationPolicyAssociation` retorna um campo chamado `AssociationStatus`. Esse campo informa se uma associação de política está pendente ou em um estado de sucesso ou fracasso. Pode demorar até 24 horas para que o status mude de `PENDING` para `SUCCESS` ou `FAILURE`. Para obter mais informações sobre status de associações, consulte [Revisar o status da associação de uma política de configuração](view-policy.md#configuration-association-status).

# Exclusão de políticas de configuração
<a name="delete-policy"></a>

Depois de criar uma política de configuração, o administrador delegado do CSPM do AWS Security Hub pode excluí-la. Como alternativa, o administrador delegado pode manter a política, mas desassociá-la de contas ou unidades organizacionais específicas (OUs) ou da raiz. Para obter instruções para desassociar uma política, consulte [Desassociar uma configuração dos seus alvos](disassociate-policy.md).

Para obter informações contextuais sobre os benefícios da configuração central e como ela funciona, consulte [Noções básicas sobre a configuração central no CSPM do Security Hub](central-configuration-intro.md).

Esta seção explica como excluir políticas de configuração.

Quando você exclui uma política de configuração, ela deixa de existir para sua organização. As contas de OUs destino e a raiz da organização não podem mais usar a política de configuração. Os destinos associados a uma política de configuração excluída herdam a política de configuração do pai mais próximo ou se tornam autogerenciados se o pai mais próximo for autogerenciado. Se quiser que um destino use uma configuração diferente, é possível associar o destino a uma nova política de configuração. Para obter mais informações, consulte [Criação e associação de políticas de configuração](create-associate-policy.md).

Recomendamos criar e associar pelo menos uma política de configuração à sua organização para fornecer cobertura de segurança adequada.

Antes de excluir uma política de configuração, você deve desassociar a política de qualquer conta ou da raiz à qual ela se aplica atualmente. OUs

Escolha seu método preferido e siga as etapas para excluir uma política de configuração.

------
#### [ Console ]

**Para excluir uma política de configuração**

1. Abra o console CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Faça login usando as credenciais da conta do administrador do CSPM do Security Hub delegado na região inicial.

1. No painel de navegação, escolha **Configurações** e **Configuração**.

1. Escolha a guia **Políticas**. Selecione a política de configuração que você deseja excluir e, em seguida, escolha **Excluir**. Se a política de configuração ainda estiver associada a alguma conta ou OUs se você for solicitado a primeiro desassociar a política desses alvos antes de excluí-la.

1. Revise a mensagem de confirmação. Insira **confirm** e escolha **Excluir**.

------
#### [ API ]

**Para excluir uma política de configuração**

Invoque a API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DeleteConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DeleteConfigurationPolicy.html) a partir da conta de administrador delegado do CSPM do Security Hub na região inicial.

Forneça o nome do recurso da Amazon (ARN) ou o ID da política de configuração que deseja excluir. Se você receber um `ConflictException` erro, a política de configuração ainda se aplica às contas ou OUs à sua organização. Para resolver o erro, desassocie a política de configuração dessas contas ou OUs antes de tentar excluí-la.

**Exemplo de solicitação de API para excluir uma política de configuração:**

```
{
    "Identifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
}
```

------
#### [ AWS CLI ]

**Para excluir uma política de configuração**

Execute o comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/delete-configuration-policy.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/delete-configuration-policy.html) a partir da conta de administrador delegado do CSPM do Security Hub na região inicial.

 Forneça o nome do recurso da Amazon (ARN) ou o ID da política de configuração que deseja excluir. Se você receber um `ConflictException` erro, a política de configuração ainda se aplica às contas ou OUs à sua organização. Para resolver o erro, desassocie a política de configuração dessas contas ou OUs antes de tentar excluí-la.

```
aws securityhub --region us-east-1 delete-configuration-policy \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
```

------

# Desassociar uma configuração dos seus alvos
<a name="disassociate-policy"></a>

Na conta delegada do administrador CSPM do AWS Security Hub, você pode desassociar uma política de configuração ou configuração autogerenciada de uma conta, UO ou raiz. A desassociação retém a política para uso futuro, mas remove as associações existentes de contas específicas ou da raiz. Você pode desassociar somente uma configuração aplicada diretamente OUs, não uma configuração herdada. Para alterar uma configuração herdada, é possível aplicar uma política de configuração ou um comportamento autogerenciado à conta ou UO afetada. Também é possível aplicar uma nova política de configuração, que inclua as modificações desejadas, ao pai mais próximo.

A desassociação *não* exclui uma política de configuração. A política é retida em sua conta, para que você possa associá-la a outras metas em sua organização. Para obter instruções sobre como excluir uma política de configuração, consulte [Exclusão de políticas de configuração](delete-policy.md). Quando a desassociação é concluída, um destino afetado herda a política de configuração ou o comportamento autogerenciado do pai mais próximo. Se não houver uma configuração herdável, o destino reterá as configurações que tinha antes da desassociação, mas se tornará autogerenciado.

Escolha seu método preferido e siga as etapas para desassociar uma conta, UO ou ou a raiz de sua configuração atual.

------
#### [ Console ]

**Para desassociar uma conta ou UO de sua configuração atual**

1. Abra o console CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Faça login usando as credenciais da conta do administrador do CSPM do Security Hub delegado na região inicial.

1. No painel de navegação, escolha **Configurações** e **Configuração**.

1. Na guia **Organizations**, selecione a conta, a UO ou a raiz que você deseja desassociar da configuração atual. Escolha **Editar**.

1. Na página **Definir configuração**, em **Gerenciamento**, escolha **Política aplicada** se quiser que o administrador delegado possa aplicar políticas diretamente ao destino. Escolha **Herdada** se desejar que o destino herde a configuração do pai mais próximo. Em qualquer um desses casos, o administrador delegado controlará as configurações do destino. Escolha **Autogerenciado** se desejar que a conta ou UO controle suas próprias configurações.

1. Depois de revisar suas alterações, escolha **Avançar** e **Aplicar**. Essa ação substitui as configurações existentes de qualquer conta ou OUs que esteja no escopo, se essas configurações entrarem em conflito com suas seleções atuais.

------
#### [ API ]

**Para desassociar uma conta ou UO de sua configuração atual**

1. Invoque a API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyDisassociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyDisassociation.html) a partir da conta de administrador delegado do CSPM do Security Hub na região inicial.

1.  Em `ConfigurationPolicyIdentifier`, forneça o nome do recurso da Amazon (ARN) ou o ID da política de configuração que deseja desassociar. Forneça `SELF_MANAGED_SECURITY_HUB` para esse campo, para desassociar o comportamento autogerenciado.

1.  Para`Target`, forneça as contas ou a raiz que você deseja dissociar dessa política de configuração. OUs

**Exemplo de solicitação de API para desassociar uma política de configuração:**

```
{
    "ConfigurationPolicyIdentifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "Target": {"RootId": "r-f6g7h8i9j0example"}
}
```

------
#### [ AWS CLI ]

**Para desassociar uma conta ou UO de sua configuração atual**

1. Execute o comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-disassociation.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-disassociation.html) a partir da conta de administrador delegado do CSPM do Security Hub na região inicial.

1.  Em `configuration-policy-identifier`, forneça o nome do recurso da Amazon (ARN) ou o ID da política de configuração que deseja desassociar. Forneça `SELF_MANAGED_SECURITY_HUB` para esse campo, para desassociar o comportamento autogerenciado.

1.  Para`target`, forneça as contas ou a raiz que você deseja dissociar dessa política de configuração. OUs

**Exemplo de comando para desassociar uma política de configuração:**

```
aws securityhub --region us-east-1 start-configuration-policy-disassociation \
--configuration-policy-identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--target '{"RootId": "r-f6g7h8i9j0example"}'
```

------

# Configuração de um padrão ou controle no contexto
<a name="central-configuration-in-context"></a>

Quando você usa a [configuração central](central-configuration-intro.md) no CSPM do AWS Security Hub, o administrador delegado do CSPM do Security Hub pode criar políticas de configuração que especificam como o CSPM, os padrões de segurança e os controles de segurança do Security Hub são configurados para uma organização. O administrador delegado pode associar políticas a contas e unidades organizacionais (UO) específicas. As políticas entram em vigor na sua região inicial e em todas as regiões vinculadas. O administrador delegado pode atualizar políticas de configuração conforme necessário.

No console do CSPM do Security Hub, o administrador delegado pode atualizar as políticas de configuração de duas maneiras: na página **Configuração** ou no contexto dos fluxos de trabalho existentes. Esse último pode ser vantajoso porque, conforme você visualiza as descobertas de segurança, pode descobrir quais padrões e controles são os mais relevantes para o seu ambiente e configurá-los ao mesmo tempo.

A configuração contextual está disponível somente no console do CSPM do Security Hub. Programaticamente, o administrador delegado deve invocar a operação [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html) da API do CSPM do Security Hub para alterar a forma como os padrões ou controles específicos são configurados em sua organização.

Siga estas etapas para configurar um padrão ou controle do CSPM do Security Hub no contexto.

**Para configurar um padrão ou controle no contexto (console)**

1. Abra o console CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Faça login usando as credenciais da conta do administrador do CSPM do Security Hub delegado na região inicial.

1. No painel de navegação, escolha uma das opções a seguir:
   + Para configurar um padrão, escolha **Padrões de segurança** e escolha um padrão específico.
   + Para configurar um controle, escolha **Controles** e escolha um controle específico.

1. O console lista as políticas de configuração existentes do CSPM do Security Hub e o status do padrão ou controle selecionado em cada uma delas. Escolha as opções para habilitar ou desabilitar o padrão ou controle em cada política de configuração existente. Para os controles, também é possível personalizar os [parâmetros de controles](custom-control-parameters.md). Você não pode criar uma nova política durante a configuração no contexto. Para criar uma nova política, é necessário acessar a página **Configuração**, escolher a guia **Políticas** e depois escolher **Criar política**.

1. Depois de fazer suas alterações, escolha **Avançar**.

1. Revise suas alterações e escolha **Aplicar**. As atualizações afetam todas as contas e OUs estão associadas a uma política de configuração alterada. As atualizações também entram em vigor na região inicial e em todas as regiões vinculadas.

# Desabilitação da configuração central no CSPM do Security Hub
<a name="stop-central-configuration"></a>

Quando você desabilita a configuração central no CSPM do AWS Security Hub, o administrador delegado perde a capacidade de configurar o CSPM, os padrões de segurança e os controles de segurança do Security Hub em várias Contas da AWS unidades organizacionais () e. OUs Regiões da AWS Em vez disso, é necessário definir a maioria das configurações de cada conta em cada região separadamente.

**Importante**  
Antes de desativar a configuração central, você deve primeiro [desassociar suas contas e OUs](disassociate-policy.md) da configuração atual, seja uma política de configuração ou um comportamento autogerenciado.  
Para poder desabilitar a configuração central, você também deve [excluir as políticas de configuração existentes](delete-policy.md).

Quando você desabilita a configuração central, as seguintes alterações ocorrem:
+ O administrador delegado não pode mais criar políticas de configuração para a organização.
+ As contas que tiveram uma política de configuração aplicada ou herdada retêm suas configurações atuais, mas se tornam autogerenciadas.
+ Sua organização muda para a *configuração local*. Na configuração local, a maioria das configurações do CSPM do Security Hub deve ser definida separadamente em cada conta da organização e região. O administrador delegado pode optar por habilitar automaticamente o CSPM do Security Hub, os [padrões de segurança padrão](securityhub-auto-enabled-standards.md) e todos os controles que fazem parte dos padrões padrão em novas contas da organização. Os padrões padrão são AWS Foundational Security Best Practices (FSBP) e Center for Internet Security (CIS) AWS Foundations Benchmark v1.2.0. Essas novas configurações entram em vigor somente na região atual, e afetarão somente as novas contas da organização. O administrador delegado não pode alterar quais padrões são padrão. A configuração local não oferece suporte ao uso de políticas de configuração ou de configuração no nível de UO.

A identidade da conta de administrador delegado permanece a mesma quando você para de usar a configuração central. Sua região inicial e as regiões vinculadas também permanecem as mesmas (sua região inicial agora é chamada de região de agregação e pode ser usada para agregar descobertas).

Escolha seu método preferido e siga as etapas para parar de usar a configuração central e mudar para a configuração local.

------
#### [ Security Hub CSPM console ]

**Para desabilitar a configuração central (console)**

1. Abra o console CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Faça login usando as credenciais da conta do administrador do CSPM do Security Hub delegado na região inicial.

1. No painel de navegação, escolha **Configurações** e **Configuração**.

1. Na seção **Visão geral**, selecione **Editar**.

1. Na caixa **Editar configuração da organização**, escolha **Configuração local**. Se ainda não o fez, você será solicitado a desassociar e excluir suas políticas de configuração atuais antes de poder interromper a configuração central. As contas ou OUs que são designadas como autogerenciadas devem ser desassociadas de sua configuração autogerenciada. É possível fazer isso no console [alterando o tipo de gerenciamento](central-configuration-management-type.md#choose-management-type) de cada conta autogerenciada ou UO para **Gerenciado centralmente** e **Herdar da minha organização**.

1. Opcionalmente, selecione as definições padrão da configuração local para novas contas da organização.

1. Escolha **Confirmar**.

------
#### [ Security Hub CSPM API ]

**Para desabilitar a configuração central (API)**

1. Invoque a API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html).

1. Defina o campo `ConfigurationType` no objeto `OrganizationConfiguration` como `LOCAL`. A API retornará um erro se você tiver políticas de configuração ou associações de políticas existentes. Para desassociar uma política de configuração, invoque a API `StartConfigurationPolicyDisassociation`. Para excluir uma política de configuração, invoque a API `DeleteConfigurationPolicy`.

1. Se você desejar habilitar automaticamente o CSPM do Security Hub nas novas contas da organização, defina o campo `AutoEnable` como `true`. Por padrão, o valor desse campo é `false`, e o CSPM do Security Hub não é habilitado automaticamente nas novas contas da organização. Opcionalmente, se você desejar habilitar automaticamente os padrões de segurança padrão nas novas contas da organização, defina o campo `AutoEnableStandards` como `DEFAULT`. Esse é o valor padrão. Se você não desejar habilitar automaticamente os padrões de segurança padrão nas novas contas da organização, defina o campo `AutoEnableStandards` como `NONE`.

**Exemplo de solicitação de API**:

```
{
    "AutoEnable": true, 
    "OrganizationConfiguration": {
        "ConfigurationType" : "LOCAL"
    }
}
```

------
#### [ AWS CLI ]

**Para desabilitar a configuração central (AWS CLI)**

1. Execute o comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html).

1. Defina o campo `ConfigurationType` no objeto `organization-configuration` como `LOCAL`. O comando retornará um erro se você tiver políticas de configuração ou associações de políticas existentes. Para desassociar uma política de configuração, execute o comando `start-configuration-policy-disassociation`. Para excluir uma política de configuração, execute o comando `delete-configuration-policy`.

1. Se você desejar habilitar automaticamente o CSPM do Security Hub nas novas contas da organização, inclua o parâmetro `auto-enable`. Por padrão, o valor desse parâmetro é `no-auto-enable`, e o CSPM do Security Hub não é habilitado automaticamente nas novas contas da organização. Opcionalmente, se você desejar habilitar automaticamente os padrões de segurança padrão nas novas contas da organização, defina o campo `auto-enable-standards` como `DEFAULT`. Esse é o valor padrão. Se você não desejar habilitar automaticamente os padrões de segurança padrão nas novas contas da organização, defina o campo `auto-enable-standards` como `NONE`.

```
aws securityhub --region us-east-1 update-organization-configuration \
--auto-enable \
--organization-configuration '{"ConfigurationType": "LOCAL"}'
```

------