Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Comparación de objetivos gestionados centralmente y autogestionados
Al habilitar la configuración central, la delegada AWS Security Hub el administrador puede designar cada cuenta, unidad organizativa (OU) y raíz de la organización como gestionada de forma centralizada o autogestionada. El tipo de administración de un objetivo determina cómo se puede especificar su configuración de Security Hub.
Para obtener información general sobre las ventajas de la configuración central y su funcionamiento, consulteDescripción de la configuración central en Security Hub.
En esta sección se explican las diferencias entre una designación gestionada de forma centralizada y una autogestionada y cómo elegir el tipo de administración de una cuenta, unidad organizativa o raíz.
- Autoadministrado
El propietario de una cuenta, unidad organizativa o root autogestionada debe configurar sus ajustes por separado en cada Región de AWS. El administrador delegado no puede crear políticas de configuración para los destinos autogestionados.
- Administrada de forma centralizada
Solo el administrador delegado de Security Hub puede configurar los ajustes de las cuentas gestionadas de forma centralizada o de la raíz en la región de origen y las regiones vinculadas. OUs Las políticas de configuración se pueden asociar a cuentas administradas de forma centralizada yOUs.
El administrador delegado puede cambiar el estado de un destino entre autogestionado y gestionado centralmente. De forma predeterminada, todas las cuentas y la unidad organizativa se autogestionan al iniciar la configuración central a través del Security HubAPI. En la consola, el tipo de administración depende de la primera política de configuración. Las cuentas y las OUs que asocie a su primera política se administran de forma centralizada. El resto de las cuentas OUs se administran automáticamente de forma predeterminada.
Si asocia una política de configuración a una cuenta autogestionada, los ajustes de la política anulan la designación autogestionada. La cuenta pasa a administrarse de forma centralizada y adopta los ajustes reflejados en la política de configuración.
Las cuentas secundarias OUs pueden heredar el comportamiento autogestionado de una entidad principal autogestionada, del mismo modo que las cuentas secundarias, y OUs pueden heredar las políticas de configuración de una entidad principal gestionada de forma centralizada. Para obtener más información, consulte Asociación de políticas mediante la aplicación y la herencia.
Una cuenta o unidad organizativa autogestionada no puede heredar una política de configuración de un nodo principal o de la raíz. Por ejemplo, si desea que todas las cuentas de su organización hereden una política de configuración de la raíz, debe cambiar el tipo de administración de los nodos autogestionados a gestionados de forma centralizada. OUs
Opciones para configurar los ajustes en las cuentas autogestionadas
Las cuentas autoadministradas deben configurar sus ajustes por separado en cada región.
Los propietarios de cuentas autogestionadas pueden invocar las siguientes operaciones del Security Hub API en cada región para configurar sus ajustes:
EnableSecurityHubyDisableSecurityHubpara habilitar o deshabilitar el servicio Security HubBatchEnableStandardsyBatchDisableStandardspara habilitar o deshabilitar estándaresBatchUpdateStandardsControlAssociationsoUpdateStandardsControlpara habilitar o deshabilitar controles
Las cuentas autogestionadas también pueden utilizar *Invitations las operaciones de NW. *Members Sin embargo, recomendamos que las cuentas autogestionadas no utilicen estas operaciones. Las asociaciones de políticas pueden fallar si la cuenta de un miembro tiene sus propios miembros que forman parte de una organización diferente a la del administrador delegado.
Para obtener descripciones de API las acciones de Security Hub, consulte AWS Security Hub APIReferencia .
Las cuentas autogestionadas también pueden usar la consola Security Hub o AWS CLI para configurar sus ajustes en cada región.
Las cuentas autogestionadas no pueden invocar ninguna política de configuración o asociación de políticas APIs relacionada con Security Hub. Solo el administrador delegado puede invocar la configuración central APIs y utilizar las políticas de configuración para configurar las cuentas gestionadas de forma centralizada.
