Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Administración de cuentas de administrador y de miembros
Si su entorno de AWS tiene varias cuentas, puede tratar las cuentas que utilizan AWS Security Hub como cuentas de miembro y asociarlas a una sola cuenta de administrador. El administrador puede supervisar el estado general de seguridad y tomar medidas permitidas en las cuentas de miembro. El administrador también puede realizar diversas tareas de gestión y administración de cuentas a gran escala, como supervisar los costos de uso estimados y evaluar las cuotas de las cuentas.
Puede asociar las cuentas de miembro a un administrador de dos maneras: al integrar Security Hub con AWS Organizations o al enviar y aceptar manualmente las invitaciones de membresía en Security Hub.
Administración de cuentas con AWS Organizations
AWS Organizations es un servicio de administración de cuentas global que permite a los administradores de AWS consolidar y administrar múltiples Cuentas de AWS. Proporciona características de facturación unificada y administración de cuentas que están diseñadas para satisfacer las necesidades de presupuestos, seguridad y conformidad. Se ofrece sin costo adicional y se integra con varios Servicios de AWS, incluidos AWS Security Hub, Amazon GuardDuty y Amazon Macie. Para obtener más información, consulte la Guía del usuario deAWS Organizations.
Al integrar Security Hub y AWS Organizations, la cuenta de administración de Organizations designa un administrador delegado de Security Hub. Security Hub se habilita automáticamente en la cuenta de administrador delegado en la Región de AWS en la que se designó.
Tras designar un administrador delegado, recomendamos administrar las cuentas en Security Hub con una configuración centralizada. Esta es la forma más eficaz de personalizar Security Hub y garantizar una cobertura de seguridad adecuada para su organización.
La configuración centralizada permite al administrador delegado personalizar Security Hub en varias cuentas y regiones de la organización en lugar de configurarlo región por región. Puede crear una política de configuración para toda la organización o diferentes políticas de configuración para las distintas cuentas y unidades organizativas. Las políticas especifican si Security Hub está habilitado o deshabilitado en las cuentas asociadas y qué estándares y controles de seguridad están habilitados.
El administrador delegado puede designar las cuentas como administradas de manera centralizada o autoadministradas. Las cuentas administradas de manera centralizada solo las puede configurar el administrador delegado. Las cuentas autoadministradas pueden especificar su propia configuración.
Si no opta por la configuración centralizada, el administrador delegado tiene una capacidad más limitada para configurar Security Hub, lo que se denomina configuración local. En la configuración local, el administrador delegado puede habilitar automáticamente Security Hub y los estándares de seguridad predeterminados en las nuevas cuentas de la organización en la región actual. Sin embargo, las cuentas existentes no utilizan esta configuración, por lo que se pueden producir cambios en la configuración después de que una cuenta se una a la organización.
Además de esta nueva configuración de la cuenta, la configuración local es específica de la cuenta y de la región. Cada cuenta de la organización debe configurar el servicio, los estándares y los controles de Security Hub por separado en cada región. La configuración local tampoco admite el uso de políticas de configuración.
Administración manual de cuentas mediante invitación
Si tiene una cuenta independiente, debe administrar manualmente las cuentas de miembro mediante invitación en Security Hub o si no ha integrado con Organizations. Una cuenta independiente no se puede integrar con Organizations, por lo que es necesario administrarla manualmente. Recomendamos la integración con AWS Organizations y el uso de la configuración centralizada si va a agregar cuentas adicionales en el futuro.
Cuando utiliza la administración manual de cuentas, designa una cuenta como administradora de Security Hub. La cuenta de administrador puede ver los datos de las cuentas de miembro y tomar determinadas medidas en función de los resultados de las cuentas de miembro. El administrador de Security Hub invita a otras cuentas para que sean cuentas de miembro. La relación administrador-miembro se establece cuando una potencial cuenta de miembro acepta la invitación.
La administración manual de cuentas no admite el uso de políticas de configuración. Sin políticas de configuración, el administrador no puede personalizar de forma centralizada Security Hub al configurar parámetros variables para diferentes cuentas. En su lugar, cada cuenta de la organización debe habilitar y configurar Security Hub por separado en cada región. Esto puede hacer que sea más difícil y lento garantizar una cobertura de seguridad adecuada en todas las cuentas y regiones en las que utilice Security Hub. También puede provocar cambios en la configuración, ya que las cuentas de miembro pueden especificar su propia configuración sin la intervención del administrador.
Para administrar las cuentas mediante invitación, consulte Administración de cuentas por invitación.
