Administrar las cuentas de administrador y miembro de Security Hub con Organizations

Puede integrar AWS Security Hub with AWS Organizations y, a continuación, administre Security Hub para las cuentas de su organización.

Para integrar Security Hub con AWS Organizations, se crea una organización en AWS Organizations. La cuenta de administración de Organizations designa una cuenta como administrador delegado de Security Hub para la organización. A continuación, el administrador delegado puede habilitar Security Hub para otras cuentas de la organización, agregar esas cuentas como cuentas de miembro del Security Hub y llevar a cabo las acciones permitidas en las cuentas de miembro. El administrador delegado de Security Hub puede habilitar y administrar Security Hub para un máximo de 10 000 cuentas de miembro.

El alcance de las capacidades de configuración del administrador delegado depende de si utiliza la configuración centralizada. Con la configuración central habilitada, no es necesario configurar Security Hub por separado en cada cuenta de miembro y Región de AWS. El administrador delegado puede aplicar ajustes específicos de Security Hub en determinadas cuentas de miembros y unidades organizativas (OUs) de todas las regiones.

La cuenta de administrador delegado de Security Hub puede llevar a cabo las siguientes acciones en las cuentas de miembro:

Si utiliza la configuración central, configure de forma centralizada el Security Hub para las cuentas de los miembros y OUs cree políticas de configuración del Security Hub. Las políticas de configuración se pueden usar para habilitar y deshabilitar Security Hub y para habilitar y deshabilitar los estándares y controles.
Tratar automáticamente las nuevas cuentas de la organización como cuentas de miembro de Security Hub a medida que se agregan a la organización. Si utiliza la configuración centralizada, una política de configuración asociada a una unidad organizativa incluye las cuentas nuevas y existentes que forman parte de la unidad organizativa.
Tratar las cuentas de la organización existentes como cuentas miembro de Security Hub. Esto ocurre automáticamente si utiliza una configuración centralizada.
Desasociar las cuentas miembro que pertenecen a la organización. Si utiliza la configuración centralizada, solo podrá desasociar una cuenta de miembro después de designarla como autoadministrada. Como alternativa, puede asociar una política de configuración que deshabilite Security Hub con cuentas de miembros específicas administradas de forma centralizada.

Si no opta por la configuración central, su organización utilizará el tipo de configuración predeterminado denominado configuración local. En la configuración local, el administrador delegado tiene una capacidad más limitada para aplicar la configuración en las cuentas de los miembros. Para obtener más información, consulte Descripción de la configuración local en Security Hub.

Para obtener una lista completa de las acciones que el administrador delegado puede llevar a cabo en las cuentas de los miembros, consulte Acciones permitidas por parte del administrador y las cuentas de los miembros en Security Hub.

En los temas de esta sección se explica cómo integrar Security Hub con AWS Organizations y cómo administrar Security Hub para las cuentas de una organización. Cuando proceda, en cada sección, se identifican las ventajas y diferencias de administración para los usuarios de la configuración centralizada.

Temas

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Recomendaciones para entornos con varias cuentas

Integración de Security Hub con AWS Organizations