Designación de una cuenta de administrador de Security Hub - AWS Security Hub
Habilitación de la cuenta de administrador de Security HubPermisos necesarios para configurar la cuenta de administrador de Security HubHabilitación de una cuenta de administrador de Security HubDesignación de una cuenta de administrador de Security Hub (API de Security Hub,AWS CLI)Habilitación de una cuenta de administrador de Security HubEliminar una cuenta de administrador de Security Hub (API de Security Hub,AWS CLI)Eliminar la cuenta de administrador delegada (API de OrganizationsAWS CLI),

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Designación de una cuenta de administrador de Security Hub

La cuenta de administrador de Security Hub administra la membresía de Security Hub de una organización.

Habilitación de la cuenta de administrador de Security Hub

La cuenta de administración de la organización designa la cuenta de administrador de Security Hub en cada región.

La cuenta de administrador de Security Hub También pueden invitar a otras cuentas a ser cuentas de miembros. Consulte Administrar las cuentas de los miembros que pertenecen a una organización y Administrar las cuentas de los miembros mediante invitación.

Diagrama que muestra cómo la cuenta de administración de la organización designa a una cuenta de organización como administrador delegado de Security Hub. El administrador delegado se convierte en una cuenta de administrador de Security Hub.

Las cuentas de los miembros solo se pueden asociar a una única cuenta de administrador. La cuenta de administrador de Security Hub no puede habilitar cuentas de miembros que pertenezcan a otra cuenta de administrador.

Todas las cuentas de Security Hub deben estarAWS Config habilitadas y configuradas para registrar todos los recursos. Para obtener más información sobre el requisito deAWS Config, consulteHabilitar y configurarAWS Config.

Habilitación de la cuenta de administrador delegado

Cuando elige por primera vez una cuenta de administrador de Security Hub, Security Hub llama a las Organizations para que esa cuenta sea la cuenta de administrador delegado de Security Hub.

Una vez que tenga una cuenta de administrador delegada en Organizations, podrá elegir esa cuenta o la cuenta de administración de la organización como cuenta de administrador de Security Hub en todas las regiones. Se recomienda elegir la misma cuenta de administrador delegado en todas las regiones.

Para elegir una cuenta diferente, debe eliminar la cuenta de administrador de Security Hub actual en todas las regiones.

Recomendaciones para elegir la cuenta de administrador de Security Hub

Si dispone de una cuenta de administrador a partir del proceso de invitación manual, Security Hub le recomienda que designe esa cuenta como cuenta de administrador de Security Hub.

También le recomendamos que no designe la propia cuenta de administración de la organización como cuenta de administrador de Security Hub. Esto se debe a que es probable que los usuarios que tienen acceso a la cuenta de administración de la organización para administrar la facturación sean diferentes de los usuarios que necesitan acceso a Security Hub para la administración de la seguridad.

La cuenta de administración de la organización tampoco puede ser la cuenta de administrador delegada de un servicio en Organizations.

Habilitación de la cuenta de administrador de Security Hub

La cuenta de administración de la organización puede quitar la cuenta de administrador de Security Hub.

Cuando la cuenta de administración de la organización utiliza la consola para eliminar la cuenta de administrador de Security Hub en una región, se elimina automáticamente en todas las regiones. Security Hub también llama a las Organizations para quitar la cuenta de administrador delegado.

La API de Security Hub solo elimina la cuenta de administrador de Security Hub de la región en la que se emite la llamada o el comando a la API. No actualiza otras regiones ni elimina la cuenta de administrador delegada en las Organizations.

Al utilizar la API de Organizations para eliminar la cuenta de administrador delegada de Security Hub, Security Hub también elimina la cuenta de administrador de Security Hub en todas las regiones.

Permisos necesarios para configurar la cuenta de administrador de Security Hub

Para designar y eliminar una cuenta de administrador de Security Hub, la cuenta de administración de la organización debe tener permisosEnableOrganizationAdminAccount yDisableOrganizationAdminAccount acciones en Security Hub. La cuenta de administración de la organización también debe tener permisos administrativos para las Organizations.

Para conceder todos los permisos necesarios, adjunte las siguientes políticas gestionadas por Security Hub al director de IAM de la cuenta de administración de la organización:

Habilitación de una cuenta de administrador de Security Hub

La cuenta de administración de la organización puede usar la consola de Security Hub para designar la cuenta de administrador de Security Hub.

La cuenta de administración de la organización no tiene que habilitar Security Hub para administrar la cuenta de administrador de Security Hub.

Security Hub recomienda que la cuenta de administración de la organización no sea la cuenta de administrador de Security Hub. Sin embargo, si la cuenta de administración de la organización se elige a sí misma como cuenta de administrador de Security Hub, debe tener Security Hub activado. Si no tiene activado Security Hub, debe habilitar Security Hub manualmente. Security Hub no se puede habilitar automáticamente para la cuenta de administración de la organización.

Para designar una cuenta de administrador de Security Hub

  1. Abra laAWS Security Hub consola en https://console.aws.amazon.com/securityhub/.

  2. Selecciona Ir a Security Hub.

  3. Si actualmente hay asignada una cuenta de administrador de Security Hub, debe eliminar la cuenta actual antes de poder designar una cuenta nueva.

    Para eliminar la cuenta actual, en Administrador delegado, seleccione Eliminar.

  4. En Administrador delegado, introduzca el identificador de la cuenta que desee designar como cuenta de administrador de Security Hub.

    Debe designar la misma cuenta de administrador de Security Hub en todas las regiones. Si designa una cuenta diferente de la cuenta designada en otras regiones, Security Hub devolverá un error.

  5. Elija Delegate (Delegar).

Si tiene activado Security Hub, también puede designar la cuenta de administrador de Security Hub en la página de configuración.

Para designar una cuenta de administrador de Security Hub

  1. Abra laAWS Security Hub consola en https://console.aws.amazon.com/securityhub/.

  2. En el panel de navegación de Security Hub, seleccione Configuración. A continuación, selecciona General.

  3. Si actualmente hay asignada una cuenta de administrador de Security Hub, antes de poder designar una cuenta nueva, debe eliminar la cuenta actual.

    En Administrador delegado, para eliminar la cuenta actual, seleccione Eliminar.

  4. Introduzca el identificador de la cuenta que desea designar como cuenta de administrador de Security Hub.

    Debe designar la misma cuenta de administrador de Security Hub en todas las regiones. Si designa una cuenta diferente de la cuenta designada en otras regiones, Security Hub devolverá un error.

  5. Elija Delegate (Delegar).

Designación de una cuenta de administrador de Security Hub (API de Security Hub,AWS CLI)

Para designar la cuenta de administrador de Security Hub, puede utilizar una llamada a la API o elAWS Command Line Interface. Debe utilizar las credenciales de la cuenta de administración de la organización.

Para designar la cuenta de administrador de Security Hub (API de Security Hub,AWS CLI)

  • API de Security Hub: utilice la EnableOrganizationAdminAccountoperación. Debe proporcionar elCuenta de AWS ID de la cuenta de administrador de Security Hub.

  • AWS CLI— Ejecute el comando en la línea de enable-organization-admin-accountcomandos.

    aws securityhub enable-organization-admin-account --admin-account-id <admin account ID>

    Ejemplo

    aws securityhub enable-organization-admin-account --admin-account-id 777788889999

Habilitación de una cuenta de administrador de Security Hub

La cuenta de administración de la organización puede eliminar la cuenta de administrador actual de Security Hub. Al utilizar la consola para eliminar la cuenta de administrador de Security Hub, la cuenta de administrador de Security Hub se elimina en todas las regiones. Security Hub también pide a las Organizations que quiten la cuenta de administrador delegado para Security Hub.

Cuando se elimina la cuenta de administrador de Security Hub, las cuentas de los miembros se desasocian de la cuenta de administrador de Security Hub eliminada.

Las cuentas de miembros habilitadas aún tienen activado Security Hub. Se convierten en cuentas independientes hasta que un nuevo administrador de Security Hub las habilite como cuentas de miembro.

Si la cuenta de administración de la organización no es una cuenta habilitada en Security Hub, utilice la opción de la página Bienvenido a Security Hub.

Para quitar la cuenta de administrador de Security Hub

  1. Abra laAWS Security Hub consola en https://console.aws.amazon.com/securityhub/.

  2. Selecciona Ir a Security Hub.

  3. En Administrador delegado, seleccione Eliminar.

Si la cuenta de administración de la organización es una cuenta habilitada en Security Hub, utilice la opción de la pestaña General de la página de configuración.

Para quitar la cuenta de administrador de Security Hub

  1. Abra laAWS Security Hub consola en https://console.aws.amazon.com/securityhub/.

  2. En el panel de navegación de Security Hub, seleccione Configuración. A continuación, selecciona General.

  3. En Administrador delegado, seleccione Eliminar.

Eliminar una cuenta de administrador de Security Hub (API de Security Hub,AWS CLI)

Para eliminar la cuenta de administrador de Security Hub, puede utilizar una llamada a la API o elAWS Command Line Interface. Debe utilizar las credenciales de la cuenta de administración de la organización.

Cuando usa la API oAWS CLI para eliminar la cuenta de administrador de Security Hub, solo se elimina en la región en la que se emitió la llamada o el comando a la API. Security Hub no actualiza otras regiones ni elimina la cuenta de administrador delegada en las Organizations.

Para quitar la cuenta de administrador de Security HubAWS CLI

  • API de Security Hub: utilice la DisableOrganizationAdminAccountoperación. Debe proporcionar el identificador de la cuenta de administrador de Security Hub.

  • AWS CLI— Ejecute el comando en la línea de disable-organization-admin-accountcomandos.

    aws securityhub disable-organization-admin-account --admin-account-id <admin account ID>

    Ejemplo

    aws securityhub disable-organization-admin-account --admin-account-id 777788889999

Eliminar la cuenta de administrador delegada (API de OrganizationsAWS CLI),

Cuando utiliza la API de Security Hub para eliminar la cuenta de administrador de Security Hub, solo se elimina en la región en la que se emitió la llamada o el comando a la API. Security Hub no actualiza otras regiones ni elimina la cuenta de administrador delegada en las Organizations.

La API de Organizations le permite quitar la cuenta de administrador delegado. Al eliminar la cuenta de administrador delegada de Security Hub, Security Hub también elimina la cuenta de administrador de Security Hub de todas las regiones.

Para eliminar la cuenta de administrador delegada (API de Organizations,AWS CLI)

  • API de Organizations: utilice la DeregisterDelegatedAdministratoroperación. Debe proporcionar el identificador de cuenta de la cuenta de administrador delegado y el principal del servicio de Security Hub, que essecurityhub.amazonaws.com.

  • AWS CLI— Ejecute el comando en la línea de deregister-delegated-administratorcomandos.

    aws organizations deregister-delegated-administrator --account-id <admin account ID> --service-principal <Security Hub service principal>

    Ejemplo

    aws organizations deregister-delegated-administrator --account-id 777788889999 --service-principal securityhub.amazonaws.com