Activación de la configuración central en Security Hub (CSPM) - AWS Security Hub
Requisitos previos para la configuración centralizadaInstrucciones para habilitar la configuración centralizada

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Activación de la configuración central en Security Hub (CSPM)

La cuenta de administrador de CSPM de AWS Security Hub delegada puede usar la configuración central para configurar el CSPM, los estándares y los controles del Security Hub para varias cuentas y unidades organizativas () en todas. OUs Regiones de AWS

Para obtener información general sobre las ventajas de la configuración centralizada y su funcionamiento, consulte Descripción de la configuración central en Security Hub (CSPM).

En esta sección, se explican los requisitos previos para la configuración centralizada y cómo empezar a utilizarla.

Requisitos previos para la configuración centralizada

Antes de empezar a utilizar la configuración central, debe integrar Security Hub CSPM AWS Organizations y designar una región de origen. Si utiliza la consola CSPM de Security Hub, estos requisitos previos se incluyen en el flujo de trabajo opcional para la configuración central.

Integración con Organizations

Debe integrar Security Hub CSPM y Organizations para utilizar la configuración central.

Para integrar estos servicios, comience por crear una organización en Organizations. A continuación, desde la cuenta de administración de Organizations, se designa una cuenta de administrador delegado CSPM de Security Hub. Para obtener instrucciones, consulte Integración de Security Hub CSPM con AWS Organizations.

Asegúrese de designar un administrador delegado en la región de origen prevista. Cuando empieza a utilizar la configuración centralizada, también se establece automáticamente el mismo administrador delegado en todas las regiones vinculadas. La cuenta de administración de Organizations no se puede establecer como cuenta de administrador delegado.

importante

Cuando usa la configuración central, no puede usar la consola CSPM de Security Hub ni la CSPM de Security Hub APIs para cambiar o eliminar la cuenta de administrador delegado. Si la cuenta de administración de la organización se utiliza AWS Organizations APIs para cambiar o eliminar al administrador delegado de CSPM de Security Hub, Security Hub CSPM detiene automáticamente la configuración central. Sus políticas de configuración también se desasocian y se eliminan. Las cuentas de miembro retienen la configuración que tenían antes de que se cambiara o eliminara el administrador delegado.

Designación de una región de origen

Debe designar una región de origen para utilizar la configuración centralizada. La región de origen es aquella desde la que el administrador delegado configura la organización.

nota

La región de origen no puede ser una región AWS designada como región opcional. Las regiones optativas están deshabilitadas de forma predeterminada. Para ver una lista de las regiones opcionales, consulte la sección Considerations before enabling and disabling Regions en la Guía de referencia de administración de cuentas de AWS .

Si lo desea, puede especificar una o más regiones vinculadas que se puedan configurar desde la región de origen.

El administrador delegado puede crear y administrar políticas de configuración solo desde la región de agregación. Las políticas de configuración entran en vigor en la región de origen y en todas las regiones vinculadas. No puede crear una política de configuración que se aplique exclusivamente a un subconjunto de estas regiones. La excepción a esto son los controles que involucran recursos globales. Si usa la configuración central, Security Hub CSPM deshabilita automáticamente los controles que involucran recursos globales en todas las regiones, excepto en la región de origen. Para obtener más información, consulte Controles que utilizan recursos globales.

La región de origen también es la región de agregación de CSPM de Security Hub que recibe hallazgos, información y otros datos de las regiones vinculadas.

Si ya ha establecido una región de agregación para la agregación entre regiones, esa será su región de origen predeterminada para la configuración centralizada. Puede cambiar la región de origen antes de empezar a utilizar la configuración centralizada. Para ello, elimine su agregador de resultados actual y cree uno nuevo en la región de origen que desee. Un agregador de búsquedas es un recurso CSPM de Security Hub que especifica la región de origen y las regiones vinculadas.

Para designar una región de origen, consulte los pasos para configurar una región de agregación. Si ya tiene una región de origen, puede invocar la API GetFindingAggregator para ver los detalles de dicha región, lo que incluye las regiones que están vinculadas actualmente a ella.

Instrucciones para habilitar la configuración centralizada

Elija el método que prefiera y siga los pasos para habilitar la configuración centralizada en su organización.

Security Hub CSPM console
Para habilitar la configuración centralizada (consola)

  1. Abra la consola CSPM de AWS Security Hub en. https://console.aws.amazon.com/securityhub/

  2. En el panel de navegación, seleccione Configuración y Configuración. A continuación, elija Iniciar configuración centralizada.

    Si se va a incorporar a Security Hub CSPM, elija Ir a Security Hub CSPM.

  3. En la página Designar administrador delegado, seleccione su cuenta de administrador delegado o ingrese su ID de cuenta. Si corresponde, se recomienda que elija el mismo administrador delegado que haya configurado para otros servicios de seguridad y conformidad de AWS . Elija Establecer administrador delegado.

  4. En la página Centralizar organización, en la sección Regiones, seleccione su región de origen. Debe haber iniciado sesión en dicha región para continuar. Si ya ha configurado una región de agregación para la agregación entre regiones, aparecerá como la región de origen. Para cambiar la región de origen, seleccione Editar configuración de la región. A continuación, puede seleccionar la región de origen que prefiera y volver a este flujo de trabajo.

  5. Seleccione al menos una región para vincularla a la región de origen. De manera opcional, elija si desea vincular automáticamente las futuras regiones compatibles con la región de origen. El administrador delegado configurará las regiones que seleccione aquí desde la región de origen. Las políticas de configuración entran en vigor en la región de origen y en todas las regiones vinculadas.

  6. Seleccione Confirmar y continuar.

  7. A partir de ahora, puede utilizar la configuración centralizada. Siga las instrucciones de la consola para crear su primera política de configuración. Si aún no lo tiene todo preparado para crear una política de configuración, seleccione Aún no lo tengo todo listo para configurarla. Para crear una política más adelante, puede seleccionar Configuración y, a continuación, Configuración en el panel de navegación. Para obtener instrucciones sobre cómo crear una política de configuración, consulte Creación y asociación de políticas de configuración.

Security Hub CSPM API
Para habilitar la configuración centralizada (API)

  1. Con las credenciales de la cuenta de administrador delegado, invoque la API UpdateOrganizationConfiguration desde la región de origen.

  2. Establezca el campo AutoEnable como false.

  3. Establezca el campo ConfigurationType del objeto OrganizationConfiguration en CENTRAL. Esta acción tiene los siguientes efectos:

    • Designa a la cuenta llamante como administradora delegada de CSPM de Security Hub en todas las regiones vinculadas.

    • Activa el CSPM de Security Hub en la cuenta de administrador delegado de todas las regiones vinculadas.

    • Designa la cuenta llamante como administradora delegada de CSPM de Security Hub para las cuentas nuevas y existentes que utilizan Security Hub CSPM y pertenecen a la organización. Esto ocurre en la región de origen y en todas las regiones vinculadas. La cuenta de llamada se establece como la administradora delegada para las nuevas cuentas de la organización solo si están asociadas a una política de configuración que tenga activado el CSPM de Security Hub. La cuenta de llamada se configura como la administradora delegada de las cuentas de la organización existentes solo si ya tienen activado el CSPM de Security Hub.

    • Se establece AutoEnable como false en todas las regiones vinculadas y se establece AutoEnableStandards como NONE en la región de origen y en todas las regiones vinculadas. Estos parámetros no son relevantes en las regiones de origen y vinculadas cuando se usa la configuración central, pero puede habilitar automáticamente el Security Hub CSPM y los estándares de seguridad predeterminados en las cuentas de la organización mediante el uso de políticas de configuración.

  4. A partir de ahora, puede utilizar la configuración centralizada. El administrador delegado puede crear políticas de configuración para configurar Security Hub CSPM en su organización. Para obtener instrucciones sobre cómo crear una política de configuración, consulte Creación y asociación de políticas de configuración.

Ejemplo de solicitud de API:

{
    "AutoEnable": false,
    "OrganizationConfiguration": {
        "ConfigurationType": "CENTRAL"
    }
}
AWS CLI
Para habilitar la configuración centralizada (AWS CLI)

  1. Con las credenciales de la cuenta de administrador delegado, ejecute el comando update-organization-configuration desde la región de origen.

  2. Incluya el parámetro no-auto-enable.

  3. Establezca el campo ConfigurationType del objeto organization-configuration en CENTRAL. Esta acción tiene los siguientes efectos:

    • Designa a la cuenta llamante como administradora delegada de CSPM de Security Hub en todas las regiones vinculadas.

    • Activa el CSPM de Security Hub en la cuenta de administrador delegado de todas las regiones vinculadas.

    • Designa la cuenta llamante como administradora delegada de CSPM de Security Hub para las cuentas nuevas y existentes que utilizan Security Hub CSPM y pertenecen a la organización. Esto ocurre en la región de origen y en todas las regiones vinculadas. La cuenta que llama se establece como administrador delegado para las nuevas cuentas de la organización solo si están asociadas a una política de configuración que tenga habilitado Security Hub. La cuenta de llamada se configura como la administradora delegada de las cuentas de la organización existentes solo si ya tienen activado el CSPM de Security Hub.

    • Establece la opción de habilitación automática como no-auto-enable en todas las regiones vinculadas y establece auto-enable-standards como NONE en la región de origen y en todas las regiones vinculadas. Estos parámetros no son relevantes en las regiones de origen y vinculadas cuando se usa la configuración central, pero puede habilitar automáticamente el Security Hub CSPM y los estándares de seguridad predeterminados en las cuentas de la organización mediante el uso de políticas de configuración.

  4. A partir de ahora, puede utilizar la configuración centralizada. El administrador delegado puede crear políticas de configuración para configurar Security Hub CSPM en su organización. Para obtener instrucciones sobre cómo crear una política de configuración, consulte Creación y asociación de políticas de configuración.

Comando de ejemplo:

aws securityhub --region us-east-1 update-organization-configuration \
--no-auto-enable \
--organization-configuration '{"ConfigurationType": "CENTRAL"}'