Creación y asociación de políticas de configuración - AWS Security Hub

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Creación y asociación de políticas de configuración

La cuenta de AWS Security Hub administrador delegado puede crear políticas de configuración que especifiquen cómo se configuran Security Hub, los estándares y los controles en cuentas y unidades organizativas específicas (OUs). Una política de configuración solo entra en vigor después de que el administrador delegado la asocie a al menos una cuenta o unidad organizativa (OUs) o a la raíz. El administrador delegado también puede asociar una configuración autogestionada a las cuentas o a la OUs raíz.

Si es la primera vez que crea una política de configuración, le recomienda que revise antes Cómo funcionan las políticas de configuración en Security Hub.

Elija el método de acceso que prefiera y siga los pasos para crear y asociar una política de configuración o una configuración autogestionada. Al utilizar la consola de Security Hub, puede asociar una configuración a varias cuentas o OUs al mismo tiempo. Al utilizar el Security Hub API o AWS CLI, puede asociar una configuración a una sola cuenta o unidad organizativa en cada solicitud.

nota

Si usa la configuración central, Security Hub deshabilita automáticamente los controles que involucran recursos globales en todas las regiones, excepto en la región de origen. Los demás controles que decida habilitar mediante una política de configuración están habilitados en todas las regiones en las que están disponibles. Para limitar las búsquedas de estos controles a una sola región, puede actualizar la configuración de la AWS Config grabadora y desactivar el registro de recursos globales en todas las regiones, excepto en la región de origen. Cuando utilizas la configuración central, no tienes cobertura para un control que no está disponible en la región de origen ni en ninguna de las regiones vinculadas. Para obtener una lista de los controles que implican recursos globales, consulteControles que utilizan recursos globales.

Security Hub console
Creación y asociación de políticas de configuración
  1. Abra la AWS Security Hub consola en https://console.aws.amazon.com/securityhub/.

    Inicie sesión con las credenciales de la cuenta del administrador delegado de Security Hub en la región de origen.

  2. En el panel de navegación, seleccione Configuración y la pestaña Políticas. A continuación, seleccione Crear política.

  3. En la página Configurar organización, si es la primera vez que crea una política de configuración, verá tres opciones en Tipo de configuración. Si ya ha creado al menos una política de configuración, solo verá la opción Política personalizada.

    • Elija Usar la configuración de Security Hub AWS recomendada en toda mi organización para usar nuestra política recomendada. La política recomendada habilita Security Hub en todas las cuentas de la organización, habilita el estándar AWS Foundational Security Best Practices (FSBP) y habilita todos los FSBP controles nuevos y existentes. Los controles utilizan valores de parámetros predeterminados.

    • Para crear una política de configuración más tarde, seleccione Aún no lo tengo todo listo para configurarla.

    • Seleccione Política personalizada para crear una política de configuración personalizada. Especifique si desea habilitar o deshabilitar Security Hub, qué estándares desea habilitar y qué controles desea habilitar en todos esos estándares. Si lo desea, especifique valores de parámetros personalizados para uno o más controles habilitados que admitan parámetros personalizados.

  4. En la sección Cuentas, elija las cuentas de destino o las cuentas raíz a las que desea que se aplique la política de configuración. OUs

    • Seleccione Todas las cuentas si desea aplicar la política de configuración a la raíz. Esto incluye todas las cuentas de OUs la organización a las que no se les haya aplicado o heredado otra política.

    • Elija Cuentas específicas si desea aplicar la política de configuración a cuentas específicas oOUs. Introduzca la cuenta IDs o seleccione las cuentas y la estructura OUs de la organización. Puede aplicar la política a un máximo de 15 objetivos (cuentas o usuarios raíz) al crearla. OUs Para especificar un número mayor, edite la política después de crearla y aplíquela a destinos adicionales.

    • Seleccione Solo el administrador delegado para aplicar la política de configuración a la cuenta de administrador delegado actual.

  5. Elija Next (Siguiente).

  6. En la página Revisar y aplicar, revise los detalles de la política de configuración. A continuación, seleccione Crear y aplicar política. Tanto en su región de origen como en las regiones vinculadas, esta acción anula los ajustes de configuración existentes de las cuentas asociadas a esta política de configuración. Las cuentas se pueden asociar a la política de configuración mediante una aplicación o la herencia de un nodo principal. Las cuentas secundarias y OUs los destinos aplicados heredarán automáticamente esta política de configuración, a menos que se excluyan específicamente, se autoadministren o utilicen una política de configuración diferente.

Security Hub API
Creación y asociación de políticas de configuración
  1. Invoque CreateConfigurationPolicyAPIdesde la cuenta de administrador delegado de Security Hub en la región de origen.

  2. En Name, especifique un nombre para la política de configuración. Si lo desea, en el caso de Description, proporcione una descripción de la política de configuración.

  3. En el campo ServiceEnabled, especifique si desea que Security Hub esté habilitado o deshabilitado en esta política de configuración.

  4. En el campo EnabledStandardIdentifiers, especifique qué estándares de Security Hub desea habilitar en esta política de configuración.

  5. Para el objeto SecurityControlsConfiguration, especifique qué controles desea habilitar o deshabilitar en esta política de configuración. Elegir EnabledSecurityControlIdentifiers significa que los controles especificados están habilitados. Otros controles que forman parte de los estándares habilitados (como los controles recién lanzados) están deshabilitados. Elegir DisabledSecurityControlIdentifiers significa que los controles especificados están deshabilitados. Otros controles que forman parte de los estándares habilitados (como los controles recién lanzados) están habilitados.

  6. Si lo desea, en el campo SecurityControlCustomParameters, especifique los controles habilitados para los que desee personalizar los parámetros. Indique CUSTOM en el campo ValueType y el valor del parámetro personalizado para el campo Value. El valor debe ser del tipo de datos correcto y estar dentro de los rangos válidos que especifique Security Hub. Solo algunos controles admiten valores de parámetros personalizados. Para obtener más información, consulte Descripción de los parámetros de control en Security Hub.

  7. Para aplicar su política de configuración a las cuentas o OUs invoque StartConfigurationPolicyAssociationAPIdesde la cuenta de administrador delegado de Security Hub en la región de origen.

  8. Para el ConfigurationPolicyIdentifier campo, proporciona el nombre del recurso de Amazon (ARN) o el identificador único universal (UUID) de la política. Los ARN y UUID son devueltos por CreateConfigurationPolicyAPI. Para una configuración autogestionada, el ConfigurationPolicyIdentifier campo es igual aSELF_MANAGED_SECURITY_HUB.

  9. En el campo Target, indique el ID de raíz, unidad organizativa, o cuenta donde desea que se aplique esta política de configuración. Solo puede proporcionar un objetivo en cada API solicitud. Las cuentas secundarias y OUs del destino seleccionado heredarán automáticamente esta política de configuración, a menos que se autoadministren o utilicen una política de configuración diferente.

Ejemplo de API solicitud para crear una política de configuración:

{ "Name": "SampleConfigurationPolicy", "Description": "Configuration policy for production accounts", "ConfigurationPolicy": { "SecurityHub": { "ServiceEnabled": true, "EnabledStandardIdentifiers": [ "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0", "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0" ], "SecurityControlsConfiguration": { "DisabledSecurityControlIdentifiers": [ "CloudTrail.2" ], "SecurityControlCustomParameters": [ { "SecurityControlId": "ACM.1", "Parameters": { "daysToExpiration": { "ValueType": "CUSTOM", "Value": { "Integer": 15 } } } } ] } } } }

Ejemplo de API solicitud para asociar una política de configuración:

{ "ConfigurationPolicyIdentifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "Target": {"OrganizationalUnitId": "ou-examplerootid111-exampleouid111"} }
AWS CLI
Creación y asociación de políticas de configuración
  1. Ejecute el comando create-configuration-policy desde la cuenta de administrador delegado de Security Hub en la región de origen.

  2. En name, especifique un nombre para la política de configuración. Si lo desea, en el caso de description, proporcione una descripción de la política de configuración.

  3. En el campo ServiceEnabled, especifique si desea que Security Hub esté habilitado o deshabilitado en esta política de configuración.

  4. En el campo EnabledStandardIdentifiers, especifique qué estándares de Security Hub desea habilitar en esta política de configuración.

  5. En el campo SecurityControlsConfiguration, especifique qué controles desea habilitar o deshabilitar en esta política de configuración. Elegir EnabledSecurityControlIdentifiers significa que los controles especificados están habilitados. Otros controles que forman parte de los estándares habilitados (como los controles recién lanzados) están deshabilitados. Elegir DisabledSecurityControlIdentifiers significa que los controles especificados están deshabilitados. Se han habilitado otros controles que se aplican a los estándares habilitados (como los controles recién lanzados).

  6. Si lo desea, en el campo SecurityControlCustomParameters, especifique los controles habilitados para los que desee personalizar los parámetros. Indique CUSTOM en el campo ValueType y el valor del parámetro personalizado para el campo Value. El valor debe ser del tipo de datos correcto y estar dentro de los rangos válidos que especifique Security Hub. Solo algunos controles admiten valores de parámetros personalizados. Para obtener más información, consulte Descripción de los parámetros de control en Security Hub.

  7. Para aplicar la política de configuración a las cuentas oOUs, ejecute el start-configuration-policy-associationcomando desde la cuenta de administrador delegado de Security Hub en la región de origen.

  8. Para el configuration-policy-identifier campo, proporciona el nombre del recurso de Amazon (ARN) o el ID de la política de configuración. El create-configuration-policy comando devuelve este dato ARN y el identificador.

  9. En el campo target, indique el ID de raíz, unidad organizativa, o cuenta donde desea que se aplique esta política de configuración. Solo puede proporcionar un destino cada vez que ejecute el comando. Las entidades secundarias de los destinos seleccionados heredarán automáticamente esta política de configuración, a menos que se autoadministren o utilicen una política de configuración diferente.

Ejemplo de comando para crear una política de configuración:

aws securityhub --region us-east-1 create-configuration-policy \ --name "SampleConfigurationPolicy" \ --description "Configuration policy for production accounts" \ --configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}}]}}}'

Ejemplo de comando para asociar una política de configuración:

aws securityhub --region us-east-1 start-configuration-policy-association \ --configuration-policy-identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \ --target '{"OrganizationalUnitId": "ou-examplerootid111-exampleouid111"}'

StartConfigurationPolicyAssociationAPIDevuelve un campo llamadoAssociationStatus. Este campo indica si la asociación de una política está pendiente o si su estado es correcto o incorrecto. El estado puede tardar hasta 24 horas minutos en cambiar de PENDING a SUCCESS o FAILURE. Para obtener más información sobre el estado de una asociación, consulte Revisar el estado de asociación de una política de configuración.