Integración de Security Hub con AWS Organizations - AWS Security Hub

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Integración de Security Hub con AWS Organizations

Para integrar AWS Security Hub y AWS Organizationscrear una organización en Organizations y utilizar la cuenta de administración de la organización para designar una cuenta de administrador delegada de Security Hub. A continuación, el administrador delegado puede habilitar Security Hub para las cuentas de miembro, ver los datos de las cuentas de miembro y llevar a cabo otras acciones permitidas en dichas cuentas.

Si utiliza la configuración centralizada, el administrador delegado también puede crear políticas de configuración de Security Hub que especifiquen cómo se deben configurar el servicio, los estándares y los controles de Security Hub en las cuentas de la organización.

Creación de una organización

Una organización es una entidad que se crea para consolidar la suya y Cuentas de AWS poder administrarla como una sola unidad.

Puede crear una organización mediante la AWS Organizations consola o mediante un comando de la API del SDK AWS CLI o de una de ellas. Para obtener instrucciones detalladas sobre cómo hacerlo, consulte Creación de una organización en la Guía del usuario deAWS Organizations .

Puede utilizarla AWS Organizations para ver y gestionar de forma centralizada todas las cuentas de su organización. Una organización tiene una cuenta de administración junto con cero o más cuentas miembro. Puede organizar las cuentas jerárquicamente en una estructura de árbol con una raíz en la parte superior y unidades organizativas (OU) anidadas bajo la raíz. Cada cuenta puede estar directamente en el nodo raíz o colocarse en una de las unidades organizativas de la jerarquía. Una unidad organizativa es un contenedor para cuentas específicas. Por ejemplo, puede crear una unidad organizativa de finanzas que incluya todas las cuentas relacionadas con las operaciones financieras.

Recomendaciones para elegir al administrador delegado de Security Hub

Si dispone de una cuenta de administrador gracias al proceso de invitación manual y está realizando la transición a la administración de cuentas con AWS Organizationsella, Security Hub le recomienda que designe esa cuenta como administrador delegado del Security Hub.

No debe designar la cuenta de administración de la organización como administrador delegado de Security Hub. Esto se debe a que es probable que los usuarios que tienen acceso a la cuenta de administración de la organización para administrar la facturación sean distintos de los usuarios que necesitan acceder a Security Hub para administrar la seguridad.

Le recomendamos que utilice el mismo administrador delegado en todas las regiones. Si opta por la configuración centralizada, Security Hub designa automáticamente el mismo administrador delegado en su región de origen y en cualquier región vinculada.

Compruebe los permisos para configurar el administrador delegado de Security Hub

Para designar y eliminar una cuenta de administrador delegada de Security Hub, la cuenta de administración de la organización debe tener permisos EnableOrganizationAdminAccount y DisableOrganizationAdminAccount acciones en Security Hub. La cuenta de administración de Organizations también debe contar con permisos administrativos para Organizations.

Para conceder todos los permisos necesarios, adjunte las siguientes políticas gestionadas por Security Hub al principal de IAM de la cuenta de administración de la organización:

Designación del administrador delegado de Security Hub

Para designar la cuenta de administrador de Security Hub delegada, puede utilizar la consola de Security Hub, la API de Security Hub o AWS CLI. Security Hub establece al administrador delegado Región de AWS solo en la actual, y debes repetir la acción en otras regiones. Si comienza a utilizar la configuración centralizada, Security Hub establece automáticamente el mismo administrador delegado en la región de origen y en las regiones vinculadas.

La cuenta de administración de la organización no tiene que habilitar Security Hub para designar la cuenta de administrador delegada del Security Hub.

Recomendamos que la cuenta de administración de la organización no sea la cuenta de administrador delegada de Security Hub. Sin embargo, si elige la cuenta de administración de la organización como administrador delegado de Security Hub, la cuenta de administración debe tener Security Hub activado. Si la cuenta de administración no tiene habilitado Security Hub, tendrá que hacerlo manualmente. Security Hub no se puede habilitar automáticamente para la cuenta de administración de la organización.

nota

Debe designar al administrador delegado de Security Hub mediante uno de los siguientes métodos. Designar al administrador delegado de Security Hub con las API de Organizations no se refleja en Security Hub.

Elija el método que prefiera y siga los pasos para designar la cuenta de administrador delegada de Security Hub.

Security Hub console
Para designar al administrador delegado de Security Hub durante la incorporación
  1. Abra la AWS Security Hub consola en https://console.aws.amazon.com/securityhub/.

  2. Seleccione Ir a Security Hub. Se te pedirá que inicies sesión en la cuenta de administración de la organización.

  3. En la página Designar administrador delegado, en la sección Cuenta de administrador delegado, especifique la cuenta de administrador delegado. Se recomienda que elija el mismo administrador delegado que haya configurado para otros servicios de seguridad y conformidad de AWS .

  4. Elija Establecer administrador delegado. Se le solicitará que inicie sesión en la cuenta de administrador delegado (si aún no lo ha hecho) para continuar con la integración con la configuración centralizada. Si no desea iniciar la configuración centralizada, seleccione Cancelar. Su administrador delegado está configurado, pero usted todavía no utiliza la configuración centralizada.

Para designar al administrador delegado de Security Hub desde la página de configuración
  1. Abra la AWS Security Hub consola en https://console.aws.amazon.com/securityhub/.

  2. En el panel de navegación de Security Hub, elija Configuración. A continuación, elija General.

  3. Si actualmente hay asignada una cuenta de administrador de Security Hub, debe eliminarla antes de poder designar una nueva cuenta.

    En Administrador delegado, para eliminar la cuenta actual, seleccione Eliminar.

  4. Ingrese el ID de la cuenta que desea designar como administrador de Security Hub.

    Debe designar la misma cuenta de administrador para todas las regiones de Security Hub. Si designa una cuenta diferente de la que ha designado en otras regiones, la consola le mostrará un error.

  5. Elija Delegar.

Security Hub API

Invoca la EnableOrganizationAdminAccountAPI desde la cuenta de administración de la organización. Proporcione el Cuenta de AWS ID de la cuenta de administrador delegada de Security Hub.

AWS CLI

Ejecute el enable-organization-admin-accountcomando desde la cuenta de administración de la organización. Proporcione el Cuenta de AWS ID de la cuenta de administrador delegada de Security Hub.

Comando de ejemplo:

aws securityhub enable-organization-admin-account --admin-account-id 777788889999

Eliminar al administrador delegado de Security Hub

aviso

Cuando utiliza la configuración centralizada, no puede utilizar la consola o las API de Security Hub para cambiar o eliminar la cuenta de administrador delegado. Si la cuenta de administración de la organización usa la AWS Organizations consola o AWS Organizations las API para cambiar o eliminar al administrador delegado del Security Hub, Security Hub detiene automáticamente la configuración central y elimina las políticas de configuración y las asociaciones de políticas. Las cuentas de los miembros retienen la configuración que tenían antes de que se cambiara o eliminara el administrador delegado.

Solo la cuenta de administración de la organización puede eliminar la cuenta de administrador delegada de Security Hub.

Para cambiar el administrador delegado de Security Hub, primero debe eliminar la cuenta de administrador delegado actual y, a continuación, designar una nueva.

Si utiliza la consola de Security Hub para eliminar al administrador delegado en una región, este se elimina en todas las regiones.

La API de Security Hub solo elimina la cuenta de administrador de Security Hub delegada de la región en la que se emite la llamada o el comando a la API. Debe repetir la acción en las demás regiones.

Si utilizas la API de Organizations para eliminar la cuenta de administrador delegada de Security Hub, se eliminará automáticamente en todas las regiones.

Eliminar el administrador delegado de Security Hub (Organizations API, AWS CLI)

Puede usar Organizations para eliminar al administrador delegado de Security Hub en todas las regiones.

Si utiliza la configuración centralizada para administrar las cuentas, al eliminar la cuenta de administrador delegado, se eliminarán las políticas de configuración y las asociaciones de políticas. Las cuentas de miembro retienen las configuraciones que tenían antes de que se cambiara o eliminara el administrador delegado. Sin embargo, la cuenta de administrador delegado eliminada ya no puede administrar estas cuentas. Se convierten en cuentas autoadministradas que deben configurarse por separado en cada región.

Elige el método que prefieras y sigue las instrucciones para eliminar la cuenta de administrador delegada de Security Hub con AWS Organizationsella.

AWS Organizations API

Para eliminar el administrador delegado de Security Hub

Invoque la API DeregisterDelegatedAdministrator. Proporcione el ID de cuenta de la cuenta de administrador delegado y la entidad principal de servicio de Security Hub, que es securityhub.amazonaws.com.

AWS CLI

Para eliminar el administrador delegado de Security Hub

Ejecute el comando deregister-delegated-administrator. Proporcione el ID de cuenta de la cuenta de administrador delegado y la entidad principal de servicio de Security Hub, que es securityhub.amazonaws.com.

aws organizations deregister-delegated-administrator --account-id <admin account ID> --service-principal <Security Hub service principal>

Ejemplo

aws organizations deregister-delegated-administrator --account-id 123456789012 --service-principal securityhub.amazonaws.com

Eliminar el administrador delegado de Security Hub (consola de Security Hub)

Puede usar la consola de Security Hub para eliminar al administrador delegado del Security Hub en todas las regiones.

Cuando se elimina la cuenta de administrador de Security Hub delegada, las cuentas de los miembros se disocian de la cuenta de administrador de Security Hub delegada eliminada.

Security Hub aún está habilitado en las cuentas de miembro. Se convierten en cuentas independientes hasta que un nuevo administrador de Security Hub las habilite como cuentas de miembro.

Si la cuenta de administración de la organización no es una cuenta habilitada en Security Hub, utilice la opción de la página Bienvenido a Security Hub.

Para eliminar la cuenta de administrador delegada de Security Hub de la página Bienvenido a Security Hub
  1. Abra la AWS Security Hub consola en https://console.aws.amazon.com/securityhub/.

  2. Seleccione Ir a Security Hub.

  3. En Administrador delegado, seleccione Eliminar.

Si la cuenta de administración de la organización es una cuenta habilitada en Security Hub, utilice la opción de la pestaña General de la página de configuración.

Para eliminar la cuenta de administrador delegada de Security Hub de la página de configuración
  1. Abra la AWS Security Hub consola en https://console.aws.amazon.com/securityhub/.

  2. En el panel de navegación de Security Hub, elija Configuración. A continuación, elija General.

  3. En Administrador delegado, seleccione Eliminar.

Eliminar al administrador delegado del Security Hub (API de Security Hub, AWS CLI)

Puede utilizar la API de Security Hub o las operaciones del Security Hub AWS CLI para eliminar al administrador delegado del Security Hub. Al eliminar al administrador delegado con uno de estos métodos, este solo se elimina en la región en la que se emitió el comando o la llamada a la API. Security Hub no actualiza otras regiones ni elimina la cuenta de administrador delegado en AWS Organizationsellas.

Elige el método que prefieras y sigue estos pasos para eliminar la cuenta de administrador delegada de Security Hub con Security Hub.

Security Hub API

Para eliminar el administrador delegado de Security Hub

Con las credenciales de la cuenta de administración de la organización, invoque la DisableOrganizationAdminAccountAPI. Proporcione el ID de cuenta de la cuenta de administrador de Security Hub delegada.

AWS CLI

Para eliminar el administrador delegado de Security Hub

Con las credenciales de la cuenta de administración de la organización, ejecute el disable-organization-admin-accountcomando. Proporcione el ID de cuenta de la cuenta de administrador de Security Hub delegada.

aws securityhub disable-organization-admin-account --admin-account-id <admin account ID>

Ejemplo

aws securityhub disable-organization-admin-account --admin-account-id 123456789012