Designación de una cuenta de administrador de Security Hub - AWS Security Hub

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Designación de una cuenta de administrador de Security Hub

La cuenta de administrador de Security Hub administra la membresía de Security Hub de una organización.

Cómo se administra la cuenta de administrador de Security Hub

La cuenta de administración de la organización designa la cuenta de administrador de Security Hub de cada región.

A continuación, la cuenta de administrador de Security Hub habilita las cuentas de organización como cuentas miembro. También pueden invitar a otras cuentas a ser cuentas de miembro. Consulte Administrar cuentas de miembro que pertenecen a una organización y Gestión de cuentas de miembro por invitación.


        Diagrama que muestra cómo la cuenta de administración de la organización designa una cuenta de organización como administrador delegado de Security Hub. El administrador delegado se convierte en una cuenta de administrador de Security Hub.

Las cuentas de miembro solo se pueden asociar a una sola cuenta de administrador. La cuenta de administrador de Security Hub no puede habilitar cuentas de miembro que pertenecen a otra cuenta de administrador.

Todas las cuentas de Security Hub deben tenerAWS Confighabilitada y configurada para registrar todos los recursos. Para obtener más información sobre el requisito deAWS Config, consulteHabilitación y configuraciónAWS Config.

Configuración de la cuenta de administrador de Security Hub como cuenta de administrador delegado

Cuando elige por primera vez una cuenta de administrador de Security Hub, Security Hub llama a Organizations para convertir esa cuenta en la cuenta de administrador delegado de Security Hub.

Una vez que tenga una cuenta de administrador delegada en Organizations, puede elegir esa cuenta o la cuenta de administración de la organización como cuenta de administrador de Security Hub en todas las regiones. Recomendamos elegir la misma cuenta de administrador delegado en todas las regiones.

Para elegir otra cuenta, debe quitar la cuenta de administrador de Security Hub actual en todas las regiones.

Recomendaciones para elegir la cuenta de administrador de Security Hub

Si tiene una cuenta de administrador desde el proceso de invitación manual, Security Hub recomienda designar esa cuenta como cuenta de administrador de Security Hub.

También recomendamos que no designe la cuenta de administración de la organización en sí como cuenta de administrador de Security Hub. Esto se debe a que los usuarios que tienen acceso a la cuenta de administración de la organización para administrar la facturación probablemente sean diferentes de los usuarios que necesitan acceso a Security Hub para la administración de la seguridad.

La cuenta de administración de la organización tampoco puede ser la cuenta de administrador delegada de un servicio de Organizations.

Eliminar la cuenta de administrador de Security Hub

La cuenta de administración de la organización puede quitar la cuenta de administrador de Security Hub.

Cuando la cuenta de administración de la organización utiliza la consola para quitar la cuenta de administrador de Security Hub en una región, se elimina automáticamente en todas las regiones. Security Hub también llama a Organizations para quitar la cuenta de administrador delegado.

La API de Security Hub solo elimina la cuenta de administrador de Security Hub de la región en la que se emite la llamada o el comando a la API. No actualiza otras regiones ni elimina la cuenta de administrador delegado de Organizations.

Cuando utiliza la API de Organizations para quitar la cuenta de administrador delegado de Security Hub, Security Hub también elimina la cuenta de administrador de Security Hub en todas las regiones.

Permisos necesarios para configurar la cuenta de administrador de Security Hub

Para designar y quitar una cuenta de administrador de Security Hub, la cuenta de administración de la organización debe tener permisos para elEnableOrganizationAdminAccountyDisableOrganizationAdminAccountacciones en Security Hub. La cuenta de administración de la organización también debe tener permisos administrativos para las Organizations.

Para conceder todos los permisos necesarios, adjunte las siguientes políticas administradas de Security Hub al principal de IAM de la cuenta de administración de la organización:

Designación de una cuenta de administrador de Security Hub (consola)

La cuenta de administración de la organización puede utilizar la consola de Security Hub para designar la cuenta de administrador de Security Hub.

La cuenta de administración de la organización no tiene que habilitar Security Hub para administrar la cuenta de administrador de Security Hub.

Security Hub recomienda que la cuenta de administración de la organización no sea la cuenta de administrador de Security Hub. Sin embargo, si la cuenta de administración de la organización se elige a sí misma como cuenta de administrador de Security Hub, debe tener habilitado Security Hub. Si no tiene Security Hub habilitado, debe habilitar Security Hub manualmente. Security Hub no se puede habilitar automáticamente para la cuenta de administración de la organización.

Para designar una cuenta de administrador de Security Hub desde elBienvenido a Security Hubpágina

  1. Abra el iconoAWS Security HubConsola dehttps://console.aws.amazon.com/securityhub/.

  2. ElegirIr a Security Hub.

  3. Si actualmente se ha asignado una cuenta de administrador de Security Hub, debe quitar la cuenta corriente para poder designar una nueva cuenta.

    Para eliminar la cuenta corriente, enAdministrador delegado, eligeRemove.

  4. UNDERAdministrador delegado, introduzca el ID de la cuenta para designar como elCentro de seguridad decuenta de administrador.

    Debe designar la misma cuenta de administrador de Security Hub en todas las regiones. Si designa una cuenta que es diferente de la cuenta designada en otras regiones, Security Hub devuelve un error.

  5. Elija Delegate (Delegar).

Si tiene Security Hub habilitado, también puede designar la cuenta de administrador de Security Hub desde elConfiguración(Se ha creado el certificado).

Para designar una cuenta de administrador de Security Hub desde elConfiguraciónpágina

  1. Abra el iconoAWS Security HubConsola dehttps://console.aws.amazon.com/securityhub/.

  2. En el panel de navegación de Security Hub, elijaConfiguración. A continuación, eligeGeneral.

  3. Si actualmente se ha asignado una cuenta de administrador de Security Hub, antes de poder designar una nueva cuenta, debe quitar la cuenta corriente.

    UNDERAdministrador delegado, para eliminar la cuenta corriente, elijaRemove.

  4. Introduzca el ID de la cuenta de la cuenta que desea designar comoCentro de seguridad decuenta de administrador.

    Debe designar la misma cuenta de administrador de Security Hub en todas las regiones. Si designa una cuenta que es diferente de la cuenta designada en otras regiones, Security Hub devuelve un error.

  5. Elija Delegate (Delegar).

Designación de una cuenta de administrador de Security Hub (API de Security Hub,AWS CLI)

Para designar la cuenta de administrador de Security Hub, puede utilizar una llamada a la API o laAWS Command Line Interface. Debe utilizar las credenciales de la cuenta de administración de la organización.

Para designar elCentro de seguridad decuenta de administrador (API de Security Hub,AWS CLI)

  • API de Security Hub:UsarEnableOrganizationAdminAccount. Debe proporcionar elAWSID de la cuenta de administrador de Security Hub.

  • AWS CLI–En la línea de comandos, ejecute el comandoenable-organization-admin-accountcomando.

    aws securityhub enable-organization-admin-account --admin-account-id <admin account ID>

    Ejemplo

    aws securityhub enable-organization-admin-account --admin-account-id 777788889999

Eliminación de una cuenta de administrador de Security Hub (consola)

La cuenta de administración de la organización puede quitar la cuenta de administrador de Security Hub actual. Cuando utiliza la consola para quitar la cuenta de administrador de Security Hub, la cuenta de administrador de Security Hub se elimina en todas las regiones. Security Hub también llama a Organizations para que eliminen la cuenta de administrador delegado de Security Hub.

Cuando se quita la cuenta de administrador de Security Hub, las cuentas de miembro se desasocian de la cuenta de administrador de Security Hub eliminada.

Las cuentas de miembro habilitadas siguen habilitadas Security Hub. Se convierten en cuentas independientes hasta que un nuevo administrador de Security Hub las habilita como cuentas de miembro.

Si la cuenta de administración de la organización no es una cuenta habilitada en Security Hub, utilice la opción delBienvenido a Security Hub(Se ha creado el certificado).

Para quitar la cuenta de administrador de Security Hub de laBienvenido a Security Hubpágina

  1. Abra el iconoAWS Security HubConsola dehttps://console.aws.amazon.com/securityhub/.

  2. ElegirIr a Security Hub.

  3. UNDERAdministrador delegado, eligeRemove.

Si la cuenta de administración de la organización es una cuenta habilitada enCentro de seguridad dey, a continuación, utilice la opción de laGeneralpestaña deConfiguración(Se ha creado el certificado).

Para quitar la cuenta de administrador de Security Hub de laConfiguraciónpágina

  1. Abra el iconoAWS Security HubConsola dehttps://console.aws.amazon.com/securityhub/.

  2. En el panel de navegación de Security Hub, elijaConfiguración. A continuación, eligeGeneral.

  3. UNDERAdministrador delegado, eligeRemove.

Eliminación de una cuenta de administrador de Security Hub (API de Security Hub,AWS CLI)

Para quitar la cuenta de administrador de Security Hub, puede utilizar una llamada de API o elAWS Command Line Interface. Debe utilizar las credenciales de la cuenta de administración de la organización.

Cuando usas la API oAWS CLIpara quitar la cuenta de administrador de Security Hub, solo se elimina en la región en la que se ha emitido la llamada o el comando a la API. Security Hub no actualiza otras regiones ni quita la cuenta de administrador delegado de Organizations.

Para quitar la cuenta de administrador de Security Hub (API de Security Hub,AWS CLI)

  • API de Security Hub:UsarDisableOrganizationAdminAccount. Debe proporcionar el ID de cuenta de la cuenta de administrador de Security Hub.

  • AWS CLI–En la línea de comandos, ejecute el comandodisable-organization-admin-accountcomando.

    aws securityhub disable-organization-admin-account --admin-account-id <admin account ID>

    Ejemplo

    aws securityhub disable-organization-admin-account --admin-account-id 777788889999

Eliminación de la cuenta de administrador delegado (API de Organizations,AWS CLI)

Cuando utiliza la API de Security Hub para quitar la cuenta de administrador de Security Hub, solo se elimina en la región en la que se emitió la llamada o el comando a la API. Security Hub no actualiza otras regiones ni quita la cuenta de administrador delegado de Organizations.

La API de Organizations le permite quitar la cuenta de administrador delegado. Al quitar la cuenta de administrador delegado de Security Hub, Security Hub también quita la cuenta de administrador de Security Hub de todas las regiones.

Para quitar la cuenta de administrador delegado (API de Organizations,AWS CLI)

  • API de Organizations:UsarDeregisterDelegatedAdministrator. Debe proporcionar el ID de cuenta de la cuenta de administrador delegado y el principal de servicio de Security Hub, que essecurityhub.amazonaws.com.

  • AWS CLI–En la línea de comandos, ejecute el comandoderegister-delegated-administratorcomando.

    aws organizations deregister-delegated-administrator --account-id <admin account ID> --service-principal <Security Hub service principal>

    Ejemplo

    aws organizations deregister-delegated-administrator --account-id 777788889999 --service-principal securityhub.amazonaws.com