AWS Security Hub y AWS Organizations - AWS Organizations
Roles vinculados al servicioPrincipal del servicioHabilitar el acceso de confianzaDeshabilitar el acceso de confianzaHabilitar un administrador delegado para Security HubDeshabilitar un administrador delegado para Security Hub

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

AWS Security Hub y AWS Organizations

AWS Security Hub le proporciona una visión completa del estado de su seguridad AWS y le ayuda a comparar su entorno con los estándares y las mejores prácticas del sector de la seguridad.

Security Hub recopila datos de seguridad de sus productos Cuentas de AWS, los Servicios de AWS que utiliza y los de socios externos compatibles. Lo ayuda a analizar sus tendencias de seguridad y a identificar los problemas de seguridad de mayor prioridad.

Si utilizas Security Hub y de forma AWS Organizations conjunta, puedes habilitar automáticamente Security Hub para todas tus cuentas, incluidas las cuentas nuevas a medida que se vayan añadiendo. Esto aumenta la cobertura de las comprobaciones y hallazgos de Security Hub, lo que proporciona una imagen más completa y precisa de su posición general de seguridad.

Para obtener más información sobre Security Hub, consulte la Guía del usuario de AWS Security Hub.

Usa la siguiente información para ayudarte a integrarte AWS Security Hub con AWS Organizations.

Roles vinculados al servicio creados al habilitar la integración

El siguientes Rol vinculado al servicio se crea automáticamente en la cuenta de administración de su organización cuando habilita el acceso de confianza. Este rol permite a Security Hub realizar operaciones compatibles dentro de las cuentas de su organización.

Puede eliminar o modificar este rol solo si deshabilita el acceso de confianza entre Security Hub y Organizations, o si elimina la cuenta de miembro de la organización.

  • AWSServiceRoleForSecurityHub

Los principales de servicios utilizados por los roles vinculados a servicios

El rol vinculado al servicio de la sección anterior solo puede ser asumido por las entidades de servicio autorizadas por las relaciones de confianza definidas para el rol. Los roles vinculados a servicios utilizados por Security Hub otorgan acceso a las siguientes entidades de servicio:

  • securityhub.amazonaws.com

Habilitación del acceso de confianza Security Hub

Para obtener información acerca de los permisos necesarios para habilitar el acceso de confianza, consulte Permisos necesarios para habilitar el acceso de confianza.

Cuando designa un administrador delegado para Security Hub, Security Hub habilita automáticamente el acceso de confianza para Security Hub en su organización.

Inhabilitar el acceso de confianza con Security Hub

Para obtener información sobre los permisos necesarios para deshabilitar el acceso de confianza, consulte los permisos necesarios para deshabilitar el acceso de confianza en la Guía del AWS Organizations usuario.

Antes de deshabilitar el acceso de confianza, recomendamos colaborar con el administrador delegado de su organización para deshabilitar Security Hub en las cuentas de miembro y limpiar los recursos de Security Hub en esas cuentas.

Puede deshabilitar el acceso de confianza mediante la AWS Organizations consolaAPI, Organizations o el AWS CLI. Solo un administrador de la cuenta de administración de Organizations puede deshabilitar el acceso de confianza con Security Hub.

Para obtener instrucciones sobre cómo deshabilitar el acceso de confianza con Security Hub, consulte Inhabilitar la integración de Security Hub con. AWS Organizations

Habilitar un administrador delegado para Security Hub

Cuando designa una cuenta de miembro como administrador delegado para la organización, los usuarios y las funciones de esa cuenta pueden realizar acciones administrativas para Security Hub que, de lo contrario, solo pueden ser realizadas por usuarios o roles en la cuenta de administración de la organización. Esto le ayuda a separar la gestión de la organización de la gestión de Security Hub.

Para obtener información, consulte Designación de una cuenta de administrador de Security Hub en la Guía del usuario de AWS Security Hub .

Para designar una cuenta de miembro como administrador delegado para Security Hub

  1. Inicie sesión en Organizations mediante la cuenta de administración de su organización.

  2. Lleve a cabo una de las siguientes operaciones:

    • Si su cuenta de administración no tiene habilitado Security Hub, en la consola de Security Hub, elija Ir a Security Hub.

    • Si su cuenta de administración tiene activado Security Hub, en la consola de Security Hub, en General, elija Configuración.

  3. En Administrador delegado, ingrese el ID de la cuenta.

Deshabilitar un administrador delegado para Security Hub

Solo la cuenta de administración de la organización puede eliminar la cuenta de administrador delegada de Security Hub.

Para cambiar el administrador delegado de Security Hub, primero debe eliminar la cuenta de administrador delegado actual y, a continuación, designar una nueva.

Si utiliza la consola de Security Hub para eliminar al administrador delegado en una región, este se elimina en todas las regiones.

El Security Hub API solo elimina la cuenta de administrador delegada del Security Hub de la región en la que se emite la API llamada o el comando. Debe repetir la acción en las demás regiones.

Si utiliza Organizations API para eliminar la cuenta de administrador delegada de Security Hub, se eliminará automáticamente en todas las regiones.

Para obtener instrucciones sobre cómo deshabilitar el administrador delegado de Security Hub, consulte Eliminar o cambiar el administrador delegado.