Desactivación de la configuración centralizada en el CSPM de Security Hub
Cuando desactiva la configuración centralizada en el CSPM de AWS Security Hub, el administrador delegado pierde la capacidad de configurar el CSPM de Security Hub, los estándares y los controles de seguridad en varias Cuentas de AWS, unidades organizativas (UO) y Regiones de AWS. En su lugar, debe configurar la mayoría de los ajustes por separado para cada cuenta en cada región.
Al deshabilitar la configuración centralizada, se producen los siguientes cambios:
El administrador delegado ya no puede crear políticas de configuración para la organización.
Las cuentas que tenían una política de configuración aplicada o heredada retienen su configuración actual, pero se vuelven autoadministradas.
Su organización cambia a la configuración local. Al utilizar el enfoque de configuración local, la mayoría de los ajustes del CSPM de Security Hub se deben configurar por separado para cada cuenta y región de la organización. El administrador delegado puede optar por habilitar automáticamente el CSPM de Security Hub, los estándares de seguridad predeterminados y todos los controles que forman parte de los estándares predeterminados en las nuevas cuentas de la organización. Los estándares predeterminados son las Prácticas recomendadas de seguridad básica de AWS (FSBP) y AWS Foundations Benchmark v1.2.0 de Center for Internet Security (CIS). Esta configuración entra en vigor en la región actual y afecta únicamente a las cuentas nuevas de la organización. El administrador delegado no puede cambiar los estándares predeterminados. La configuración local no admite el uso de políticas de configuración ni la configuración a nivel de la unidad organizativa.
La identidad de la cuenta de administrador delegado sigue siendo la misma cuando se deja de utilizar la configuración centralizada. Su región de origen y las regiones vinculadas también siguen siendo las mismas (su región de origen ahora se denomina región de agregación y se puede utilizar para la agregación de resultados).
Elija el método que prefiera y siga los pasos para dejar de utilizar la configuración centralizada y cambiar a la configuración local.
- Security Hub CSPM console
-
Para deshabilitar la configuración centralizada (consola)
Abra la consola del CSPM de AWS Security Hub en https://console.aws.amazon.com/securityhub/.
Inicie sesión con las credenciales de la cuenta de administrador delegado del CSPM de Security Hub en la región de origen.
-
En el panel de navegación, seleccione Configuración y Configuración.
-
En la sección Información general, seleccione Editar.
-
En el cuadro Editar configuración de la organización, seleccione Configuración local. Si aún no lo ha hecho, se le solicitará que desasocie y elimine las políticas de configuración actuales antes de poder dejar de utilizar la configuración centralizada. Las cuentas o unidades organizativas que se designan como autoadministradas deben desasociarse de su configuración autoadministrada. Para ello, en la consola puede cambiar el tipo de administración de cada cuenta u unidad organizativa autoadministrada a Administrada de forma centralizada y Heredar de mi organización.
-
Si lo desea, seleccione los ajustes predeterminados de la configuración local para las nuevas cuentas de la organización.
-
Elija Confirmar.
- Security Hub CSPM API
-
Para deshabilitar la configuración centralizada (API)
-
Invoque la API UpdateOrganizationConfiguration.
-
Establezca el campo ConfigurationType del objeto OrganizationConfiguration en LOCAL. La API devuelve un error si tiene políticas de configuración o asociaciones de políticas existentes. Para desasociar una política de configuración, invoque la API StartConfigurationPolicyDisassociation. Para eliminar una política de configuración, invoque la API DeleteConfigurationPolicy.
-
Si quiere habilitar automáticamente el CSPM de Security Hub en las nuevas cuentas de la organización, establezca el campo AutoEnable en true. De forma predeterminada, el valor de este campo es false y el CSPM de Security Hub no se habilita automáticamente en las nuevas cuentas de la organización. De forma opcional, si quiere habilitar automáticamente Security Hub en las nuevas cuentas de la organización, establezca el campo AutoEnableStandards en DEFAULT. Este es el valor predeterminado. Si no quiere habilitar automáticamente los estándares de seguridad predeterminados en las nuevas cuentas de la organización, establezca el campo AutoEnableStandards en NONE.
Ejemplo de solicitud de API:
{
"AutoEnable": true,
"OrganizationConfiguration": {
"ConfigurationType" : "LOCAL"
}
}
- AWS CLI
-
Para deshabilitar la configuración centralizada (AWS CLI)
-
Ejecute el comando update-organization-configuration.
-
Establezca el campo ConfigurationType del objeto organization-configuration en LOCAL. El comando devuelve un error si tiene políticas de configuración o asociaciones de políticas existentes. Para desasociar una política de configuración, ejecute el comando start-configuration-policy-disassociation. Para eliminar una política de configuración, ejecute el comando delete-configuration-policy.
-
Si quiere habilitar automáticamente el CSPM de Security Hub en las nuevas cuentas de la organización, incluya el parámetro auto-enable. De forma predeterminada, el valor de este parámetro es no-auto-enable y el CSPM de Security Hub no se habilita automáticamente en las nuevas cuentas de la organización. De forma opcional, si quiere habilitar automáticamente Security Hub en las nuevas cuentas de la organización, establezca el campo auto-enable-standards en DEFAULT. Este es el valor predeterminado. Si no quiere habilitar automáticamente los estándares de seguridad predeterminados en las nuevas cuentas de la organización, establezca el campo auto-enable-standards en NONE.
aws securityhub --region us-east-1 update-organization-configuration \
--auto-enable \
--organization-configuration '{"ConfigurationType": "LOCAL"}'
