Habilitar Security Hub para una organización Habilitar Security Hub para el administrador delegado Habilitar Security Hub para una cuenta independiente

Habilitación de Security Hub

nota

Security Hub se encuentra en versión preliminar y está sujeto a cambios.

Puede activar Security Hub para cualquiera Cuenta de AWS. Los procedimientos de este tema describen cómo habilitar Security Hub desde una cuenta de administración de AWS la organización, una cuenta de administrador delegado y una cuenta independiente.

nota

Después de activar Security Hub, las exposiciones en su entorno se analizan inmediatamente. Sin embargo, puede esperar hasta 6 horas para recibir una evaluación de la exposición de un recurso.

Habilitar Security Hub para una organización

El procedimiento de esta sección describe cómo habilitar Security Hub para la cuenta de administración de la AWS organización. El procedimiento supone que ha configurado un administrador delegado para Security Hub CSPM e incluye un paso en el que puede configurar un administrador delegado para su organización en Security Hub. Para obtener más información sobre cómo configurar un administrador delegado en Security Hub, consulte Configurar una cuenta de administrador delegado en Security Hub.

Si decide configurar un administrador delegado para Security Hub durante la activación, tendrá que crear una política de recursos en la AWS Organizations consola que permita al administrador delegado realizar acciones en nombre de su organización. Puede utilizar el siguiente ejemplo de política de recursos para la cuenta de administrador delegado.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Statement",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::delegated-administrator-account-id:root"
      },
      "Action": [
        "organizations:AttachPolicy",
        "organizations:CreatePolicy",
        "organizations:DetachPolicy",
        "organizations:DeletePolicy",
        "organizations:UpdatePolicy",
        "organizations:ListPolicies",
        "organizations:ListPoliciesForTarget",
        "organizations:ListTargetsForPolicy",
        "organizations:DescribePolicy",
        "organizations:DescribeEffectivePolicy",
        "organizations:DisablePolicyType",
        "organizations:EnablePolicyType"
      ],
      "Resource": "*"
    }
  ]
}

Si no configura un administrador delegado, puede hacerlo más adelante. Para obtener más información, consulte Configurar una cuenta de administrador delegado en Security Hub. El tema incluye un procedimiento que describe cómo configurar un administrador delegado para su organización desde la página General de la consola de Security Hub.

El siguiente procedimiento describe cómo configurar una cuenta de administrador delegado para su organización en Security Hub.

Para habilitar Security Hub en una cuenta de administración de la AWS organización

Inicie sesión en su AWS cuenta con las credenciales de la cuenta de administración de su AWS organización. Abre la consola de Security Hub en la https://console.aws.amazon.com/securityhub/versión 2/home.
En la página de inicio de Security Hub, selecciona Security Hub. Elija Comenzar.
(Opcional) Para la cuenta de administrador delegado, configure un administrador delegado en función de las opciones ofrecidas. Como práctica recomendada, recomendamos utilizar el mismo administrador delegado en todos los servicios de seguridad para lograr una gobernanza coherente. Para obtener más información sobre cómo configurar una cuenta de administrador delegado, consulte Configurar una cuenta de administrador delegado en Security Hub.
(Opcional) Para habilitar la cuenta, selecciona la casilla para habilitar Security Hub en tu AWS cuenta.
Selecciona Copiar y adjuntar para abrir la configuración de la organización. En la consola de Organizations, seleccione Delegar en Administrador delegado de AWS Organizations y pegue la política de recursos. Seleccione Crear política.
Ve a la consola de Security Hub. Elija Configurar.

Al habilitar Security Hub, se crea un rol vinculado a un servicio denominado AWSServiceRoleForSecurityHubV2 en su cuenta y se agrega una grabadora vinculada al servicio a su cuenta. Una grabadora vinculada a un servicio es un tipo de AWS Config grabadora gestionada por un AWS servicio que puede registrar los datos de configuración de los recursos específicos del servicio. Con un grabador vinculado a un servicio, Security Hub permite un enfoque basado en eventos para obtener los elementos de configuración de recursos necesarios para la cobertura del análisis de exposición. Un grabador vinculado a un servicio se configura por separado. Cuenta de AWS Región de AWS

nota

Si configura un administrador delegado, el administrador delegado puede crear y aplicar una política que le permita habilitar y deshabilitar las cuentas de los miembros de Security Hub. Para obtener más información, consulte Crear una política como administrador delegado para administrar las cuentas de los miembros.

Habilitar Security Hub para el administrador delegado

Si la cuenta de administración de la AWS organización establece un administrador delegado para su organización, el administrador delegado debe habilitar Security Hub para su cuenta. El administrador delegado debe completar el siguiente procedimiento, pero solo si no ha habilitado Security Hub para su cuenta. Para obtener información sobre cómo configurar un administrador delegado, consulte Configurar una cuenta de administrador delegado en Security Hub.

Para habilitar Security Hub para una cuenta de administrador delegado

Inicie sesión en su AWS cuenta con sus credenciales de administrador delegadas y abra la consola de Security Hub en la https://console.aws.amazon.com/securityhub/v2/home.
En la página de inicio de Security Hub, selecciona Security Hub y elige Comenzar.
Seleccione Habilitar.
(Opcional) En el caso de las etiquetas, determine si desea añadir un par clave-valor a la configuración de la cuenta.
Seleccione Ir a Security Hub.

nota

Como administrador delegado de una organización, puedes crear y aplicar una política que te permita habilitar y deshabilitar las cuentas de los miembros de Security Hub. Para obtener más información, consulte Crear una política como administrador delegado para administrar las cuentas de los miembros.

Habilitar Security Hub para una cuenta independiente

El siguiente procedimiento describe cómo habilitar Security Hub para una cuenta independiente. Hay dos tipos de cuentas independientes que pueden habilitar Security Hub: las que Cuenta de AWS no están dentro de una organización y las que están Cuenta de AWS dentro de una organización. Una parte Cuenta de AWS interna de una AWS organización puede ser aquella en la Cuenta de AWS que un administrador delegado vincula una AWS Organizations política a la. Cuenta de AWS Para obtener más información, consulte las políticas de Security Hub en la Guía del AWS Organizations usuario.

Para habilitar Security Hub para una cuenta independiente

Inicie sesión en su AWS cuenta con sus credenciales y abra la consola de Security Hub en la https://console.aws.amazon.com/securityhub/versión 2/home.
En la página de inicio de Security Hub, selecciona Security Hub y elige Comenzar.
Seleccione Habilitar.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Introducción

Configuración de una cuenta de administrador delegado en Security Hub