Comparaison des cibles gérées de manière centralisée et autogérées - AWS Security Hub
Options pour configurer les paramètres dans les comptes autogérésChoix du type de gestion

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Comparaison des cibles gérées de manière centralisée et autogérées

Lorsque vous activez la configuration centralisée, l' AWS Security Hub administrateur délégué peut désigner chaque compte d'organisation, chaque unité organisationnelle (UO) et la racine comme étant gérés de manière centralisée ou autogérée. Le type de gestion d'une cible détermine la manière dont vous pouvez spécifier ses paramètres Security Hub.

Pour obtenir des informations générales sur les avantages de la configuration centralisée et son fonctionnement, consultezComprendre la configuration centrale dans Security Hub.

Cette section explique les différences entre une désignation gérée de manière centralisée et une désignation autogérée et explique comment choisir le type de gestion d'un compte, d'une unité d'organisation ou de la racine.

Autogéré

Le propriétaire d'un compte autogéré, d'une unité d'organisation ou d'un root doit configurer ses paramètres séparément dans chacun Région AWS d'eux. L'administrateur délégué ne peut pas créer de politiques de configuration pour les cibles autogérées.

Géré de manière centralisée

Seul l'administrateur délégué du Security Hub peut configurer les paramètres des comptes gérés de manière centralisée ou du root dans la région d'origine et les régions associées. OUs Les politiques de configuration peuvent être associées à des comptes gérés de manière centralisée etOUs.

L'administrateur délégué peut changer le statut d'une cible entre autogéré et géré de manière centralisée. Par défaut, tous les comptes et unités d'organisation sont autogérés lorsque vous démarrez la configuration centralisée via le Security HubAPI. Dans la console, le type de gestion dépend de votre première politique de configuration. Les comptes et OUs ceux que vous associez à votre premier contrat sont gérés de manière centralisée. Les autres comptes OUs sont autogérés par défaut.

Si vous associez une politique de configuration à un compte précédemment autogéré, les paramètres de stratégie remplacent la désignation autogérée. Le compte est géré de manière centralisée et adopte les paramètres reflétés dans la politique de configuration.

Si vous remplacez un compte géré de manière centralisée par un compte autogéré, les paramètres précédemment appliqués au compte par le biais d'une politique de configuration restent en place. Par exemple, un compte géré de manière centralisée peut initialement être associé à une politique qui active Security Hub, active AWS Foundational Security Best Practices v1.0.0 et désactive .1. CloudTrail Si vous indiquez ensuite que le compte est autogéré, tous les paramètres restent inchangés. Toutefois, le titulaire du compte peut modifier indépendamment les paramètres du compte à l'avenir.

Les comptes enfants OUs peuvent hériter du comportement autogéré d'un parent autogéré, de la même manière que les comptes enfants et OUs peuvent hériter des politiques de configuration d'un parent géré de manière centralisée. Pour de plus amples informations, veuillez consulter Association des politiques par le biais de l'application et de l'héritage.

Un compte ou une unité d'organisation autogéré ne peut pas hériter d'une politique de configuration d'un nœud parent ou de la racine. Par exemple, si vous souhaitez que tous les OUs comptes de votre organisation héritent d'une politique de configuration depuis la racine, vous devez remplacer le type de gestion des nœuds autogérés par des nœuds gérés de manière centralisée.

Options pour configurer les paramètres dans les comptes autogérés

Les comptes autogérés doivent configurer leurs propres paramètres séparément dans chaque région.

Les propriétaires de comptes autogérés peuvent invoquer les opérations suivantes du Security Hub API dans chaque région pour configurer leurs paramètres :

  • EnableSecurityHubet DisableSecurityHub pour activer ou désactiver le service Security Hub (si un compte autogéré dispose d'un administrateur Security Hub délégué, l'administrateur doit dissocier le compte avant que le propriétaire du compte puisse désactiver Security Hub).

  • BatchEnableStandardset BatchDisableStandards pour activer ou désactiver les normes

  • BatchUpdateStandardsControlAssociationsou UpdateStandardsControl pour activer ou désactiver les commandes

Les comptes autogérés peuvent également utiliser *Invitations des *Members opérations. Toutefois, nous recommandons que les comptes autogérés n'utilisent pas ces opérations. Les associations de politiques peuvent échouer si un compte membre possède ses propres membres qui font partie d'une organisation différente de celle de l'administrateur délégué.

Pour une description des API actions du Security Hub, consultez la AWS Security Hub APIréférence.

Les comptes autogérés peuvent également utiliser la console Security Hub ou AWS CLI configurer leurs paramètres dans chaque région.

Les comptes autogérés ne peuvent invoquer aucune politique APIs liée aux politiques de configuration ou aux associations de politiques de Security Hub. Seul l'administrateur délégué peut invoquer la configuration centralisée APIs et utiliser des politiques de configuration pour configurer des comptes gérés de manière centralisée.

Choix du type de gestion d'une cible

Choisissez votre méthode préférée et suivez les étapes pour désigner un compte ou une unité d'organisation comme étant géré de manière centralisée ou autogérée dans AWS Security Hub.

Security Hub console
Pour choisir le type de gestion d'un compte ou d'une unité d'organisation

  1. Ouvrez la AWS Security Hub console à l'adresse https://console.aws.amazon.com/securityhub/.

    Connectez-vous à l'aide des informations d'identification du compte administrateur délégué du Security Hub dans la région d'origine.

  2. Choisissez Configuration.

  3. Dans l'onglet Organisation, sélectionnez le compte ou l'unité d'organisation cible. Choisissez Modifier.

  4. Sur la page Définir la configuration, pour Type de gestion, choisissez Gestion centralisée si vous souhaitez que l'administrateur délégué configure le compte ou l'unité d'organisation cible. Choisissez ensuite Appliquer une politique spécifique si vous souhaitez associer une politique de configuration existante à la cible. Choisissez Hériter de mon organisation si vous souhaitez que la cible hérite de la configuration de son parent le plus proche. Choisissez Autogéré si vous souhaitez que le compte ou l'unité d'organisation configure ses propres paramètres.

  5. Choisissez Suivant. Passez en revue vos modifications, puis choisissez Enregistrer.

Security Hub API
Pour choisir le type de gestion d'un compte ou d'une unité d'organisation

  1. Invoquez le StartConfigurationPolicyAssociationAPIdepuis le compte d'administrateur délégué du Security Hub dans la région d'origine.

  2. Dans le ConfigurationPolicyIdentifier champ, indiquez SELF_MANAGED_SECURITY_HUB si vous souhaitez que le compte ou l'unité d'organisation contrôle ses propres paramètres. Indiquez le nom de ressource Amazon (ARN) ou l'ID de la politique de configuration appropriée si vous souhaitez que l'administrateur délégué contrôle les paramètres du compte ou de l'unité d'organisation.

  3. Pour le Target champ, indiquez l' Compte AWS ID, l'ID de l'UO ou l'ID racine de la cible dont vous souhaitez modifier le type de gestion. Cela associe le comportement autogéré ou la politique de configuration spécifiée à la cible. Les comptes enfants de la cible peuvent hériter du comportement autogéré ou de la politique de configuration.

Exemple de API demande pour désigner un compte autogéré :

{
    "ConfigurationPolicyIdentifier": "SELF_MANAGED_SECURITY_HUB",
    "Target": {"AccountId": "123456789012"}
}
AWS CLI
Pour choisir le type de gestion d'un compte ou d'une unité d'organisation

  1. Exécutez le start-configuration-policy-associationcommande depuis le compte d'administrateur délégué de Security Hub dans la région d'origine.

  2. Dans le configuration-policy-identifier champ, indiquez SELF_MANAGED_SECURITY_HUB si vous souhaitez que le compte ou l'unité d'organisation contrôle ses propres paramètres. Indiquez le nom de ressource Amazon (ARN) ou l'ID de la politique de configuration appropriée si vous souhaitez que l'administrateur délégué contrôle les paramètres du compte ou de l'unité d'organisation.

  3. Pour le target champ, indiquez l' Compte AWS ID, l'ID de l'UO ou l'ID racine de la cible dont vous souhaitez modifier le type de gestion. Cela associe le comportement autogéré ou la politique de configuration spécifiée à la cible. Les comptes enfants de la cible peuvent hériter du comportement autogéré ou de la politique de configuration.

Exemple de commande pour désigner un compte autogéré :

aws securityhub --region us-east-1 start-configuration-policy-association \
--configuration-policy-identifier "SELF_MANAGED_SECURITY_HUB" \
--target '{"AccountId": "123456789012"}'