Habilitar a configuração central no Security Hub
A conta de administrador delegado do AWS Security Hub pode usar a configuração central para configurar o Security Hub, os padrões e os controles de várias contas e unidades organizacionais (UOs) em várias Regiões da AWS.
Para obter informações contextuais sobre os benefícios da configuração central e como ela funciona, consulte Entender a configuração central no Security Hub.
Esta seção explica os pré-requisitos da configuração central e como começar a usá-la.
Pré-requisitos para a configuração central
Antes de começar a usar a configuração central, você deverá integrar o Security Hub ao AWS Organizations e designar uma região inicial. Se você usa o console do Security Hub, esses pré-requisitos são incluídos no fluxo de trabalho de adesão para configuração central.
Integrar ao Organizations
Você precisa integrar o Security Hub e o Organizations para usar a configuração central.
Para integrar esses serviços, você começa criando uma organização no Organizations. A partir da conta de gerenciamento do Organizations, você designa uma conta de administrador delegado do Security Hub. Para obter instruções, consulte Integração do Security Hub com o AWS Organizations.
Certifique-se de designar seu administrador delegado na sua região inicial pretendida. Quando você começa a usar a configuração central, o mesmo administrador delegado também é definido automaticamente em todas as regiões vinculadas. A conta de gerenciamento do Organizations não pode ser definida como uma conta de administrador delegado.
Ao usar a configuração central, você não pode usar o console do Security Hub ou as APIs do Security Hub para alterar ou remover a conta do administrador delegado. Se a conta de gerenciamento do Organizations usar as APIs do AWS Organizations para alterar ou remover o administrador delegado do Security Hub, o Security Hub interromperá automaticamente a configuração central. Suas políticas de configuração também serão desassociadas e excluídas. As contas-membro retêm as configurações que tinham antes de o administrador delegado ser alterado ou removido.
Designar uma região inicial
Você deve designar uma região inicial para usar a configuração central. A região inicial é aquela a partir da qual o administrador delegado configura a organização.
A região inicial não pode ser uma região que a AWS tenha designado como uma região de adesão. Uma região de adesão é desabilitada por padrão. Para obter uma lista de regiões de adesão, consulte Considerações antes de habilitar e desabilitar regiões no Guia de referência de gerenciamento de contas da AWS.
Ou então, você pode especificar uma ou mais regiões vinculadas configuráveis em uma região inicial.
O administrador delegado pode criar e gerenciar políticas de configuração somente a partir da região inicial. As políticas de configuração entram em vigor na região inicial e em todas as regiões vinculadas. Você não pode criar uma política de configuração que seja aplicada somente a um subconjunto dessas regiões, e não a outras. A exceção a isso são os controles que envolvem recursos globais. Se você usar a configuração central, o Security Hub desabilitará automaticamente os controles que envolvem recursos globais em todas as regiões, exceto na região inicial. Para obter mais informações, consulte Controles que usam recursos globais.
A região inicial também é a sua região de agregação do Security Hub, que recebe descobertas, insights e outros dados das regiões vinculadas.
Se você já definiu uma região de agregação para a agregação entre regiões, essa é sua região inicial padrão para a configuração central. É possível alterar a região inicial antes de começar a usar a configuração central excluindo seu agregador de descobertas atual e criando um novo na região inicial desejada. Um agregador de descobertas é um recurso do Security Hub que especifica a região inicial e as regiões vinculadas.
Para designar uma região inicial, siga as etapas para definir uma região de agregação. Se você já tem uma região inicial, pode invocar a API GetFindingAggregator para ver detalhes sobre ela, incluindo quais regiões estão atualmente vinculadas a ela.
Instruções para habilitar a configuração central
Escolha seu método preferido e siga as etapas para habilitar a configuração central para a sua organização.
- Security Hub console
-
Para habilitar a configuração central (console)
Abra o console do AWS Security Hub em https://console.aws.amazon.com/securityhub/.
-
No painel de navegação, escolha Configurações e Configuração. Em seguida, escolha Iniciar configuração central.
Se você estiver se integrando ao Security Hub, escolha Ir para o Security Hub.
-
Na página Designar administrador delegado, selecione sua conta de administrador delegado ou insira o ID da conta. Se aplicável, recomendamos escolher o mesmo administrador delegado que você definiu para outros serviços de segurança e conformidade da AWS. Escolha Definir administrador delegado.
-
Na página Centralizar organização, na seção Regiões, selecione sua região inicial. Você precisa fazer login na região inicial para prosseguir. Se você já definiu uma região de agregação para a agregação entre regiões, ela será exibida como a região inicial. Para alterar a região inicial, escolha Editar configurações da região. Em seguida, será possível selecionar sua região inicial preferida e retornar a esse fluxo de trabalho.
-
Selecione ao menos uma região para vincular à região inicial. Opcionalmente, escolha se você deseja vincular automaticamente as futuras regiões com suporte à região inicial. As regiões que você selecionar aqui poderão ser configuradas a partir da região inicial pelo administrador delegado. As políticas de configuração entram em vigor na sua região inicial e em todas as regiões vinculadas.
-
Escolha Confirmar e continuar.
-
Agora é possível usar a configuração central. Continue seguindo as instruções do console para criar sua primeira política de configuração. Se você ainda não estiver pronto para criar uma política de configuração, escolha Ainda não estou pronto para configurar. É possível criar uma política posteriormente escolhendo Configurações e Configuração no painel de navegação. Para obter instruções sobre como criar uma política de configuração, consulte Criação e associação de políticas de configuração.
- Security Hub API
-
Para habilitação a configuração central (API)
-
Usando as credenciais da conta do administrador delegado, invoque a API UpdateOrganizationConfiguration a partir da região inicial.
-
Defina o campo AutoEnable
como false
.
-
Defina o campo ConfigurationType
no objeto OrganizationConfiguration
como CENTRAL
. Essa ação:
-
Designa a conta de chamada como o administrador delegado do Security Hub em todas as regiões vinculadas.
-
Habilita o Security Hub na conta do administrador delegado em todas as regiões vinculadas.
-
Designa a conta de chamada como o administrador delegado do Security Hub para contas novas e existentes que usem o Security Hub e pertençam à organização. Isso ocorre na região inicial e em todas as regiões vinculadas. A conta de chamada será definida como o administrador delegado para novas contas da organização somente se elas estiverem associadas a uma política de configuração que tenha o Security Hub habilitado. A conta de chamada será definida como o administrador delegado das contas existentes da organização somente se elas já tiverem o Security Hub habilitado.
-
Define AutoEnable como false
em todas as regiões vinculadas e define AutoEnableStandards como NONE
na região inicial e em todas as regiões vinculadas. Esses parâmetros não são relevantes nas regiões inicial e vinculadas quando você usa a configuração central, mas é possível habilitar automaticamente o Security Hub e os padrões de segurança padrão nas contas da organização por meio do uso de políticas de configuração.
Agora é possível usar a configuração central. O administrador delegado pode criar políticas de configuração para configurar o Security Hub na sua organização. Para obter instruções sobre como criar uma política de configuração, consulte Criação e associação de políticas de configuração.
Exemplo de solicitação de API:
{
"AutoEnable": false,
"OrganizationConfiguration": {
"ConfigurationType": "CENTRAL"
}
}
- AWS CLI
-
Para habilitação a configuração central (AWS CLI)
-
Usando as credenciais da conta do administrador delegado, execute o comando update-organization-configuration a partir da região inicial.
-
Inclua o parâmetro no-auto-enable
.
-
Defina o campo ConfigurationType
no objeto organization-configuration
como CENTRAL
. Essa ação:
-
Designa a conta de chamada como o administrador delegado do Security Hub em todas as regiões vinculadas.
-
Habilita o Security Hub na conta do administrador delegado em todas as regiões vinculadas.
-
Designa a conta de chamada como o administrador delegado do Security Hub para contas novas e existentes que usem o Security Hub e pertençam à organização. Isso ocorre na região inicial e em todas as regiões vinculadas. A conta de chamada será definida como o administrador delegado para novas contas da organização somente se elas estiverem associadas a uma política de configuração que tenha o Security Hub habilitado. A conta de chamada será definida como o administrador delegado das contas existentes da organização somente se elas já tiverem o Security Hub habilitado.
-
Define a opção de habilitação automática como no-auto-enable em todas as regiões vinculadas e define auto-enable-standards como NONE
na região inicial e em todas as regiões vinculadas. Esses parâmetros não são relevantes nas regiões inicial e vinculadas quando você usa a configuração central, mas é possível habilitar automaticamente o Security Hub e os padrões de segurança padrão nas contas da organização por meio do uso de políticas de configuração.
Agora é possível usar a configuração central. O administrador delegado pode criar políticas de configuração para configurar o Security Hub na sua organização. Para obter instruções sobre como criar uma política de configuração, consulte Criação e associação de políticas de configuração.
Exemplo de comando:
aws securityhub --region us-east-1 update-organization-configuration \
--no-auto-enable \
--organization-configuration '{"ConfigurationType": "CENTRAL
"}'