Intégration de Security Hub à AWS Organizations - AWS Security Hub
Création d'une organisationRecommandations pour le choix de l'administrateur délégué du Security HubVérifiez les autorisations pour configurer l'administrateur déléguéDésignation de l'administrateur déléguéSupprimer ou modifier l'administrateur déléguéDésactivation de l'intégration avec AWS Organizations

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Intégration de Security Hub à AWS Organizations

Pour intégrer AWS Security Hub et AWS Organizations, vous créez une organisation dans Organizations et vous utilisez le compte de gestion de l'organisation pour désigner un compte administrateur délégué du Security Hub. Cela permet à Security Hub de devenir un service fiable dans les Organizations. Il active également Security Hub en cours Région AWS pour le compte administrateur délégué, et permet à l'administrateur délégué d'activer Security Hub pour les comptes membres, de consulter les données des comptes membres et d'effectuer d'autres actions autorisées sur les comptes membres.

Si vous utilisez la configuration centralisée, l'administrateur délégué peut également créer des politiques de configuration du Security Hub qui spécifient la manière dont le service, les normes et les contrôles du Security Hub doivent être configurés dans les comptes de l'organisation.

Création d'une organisation

Une organisation est une entité que vous créez pour consolider les vôtres Comptes AWS afin de pouvoir les administrer en tant qu'unité unique.

Vous pouvez créer une organisation à l'aide de la AWS Organizations console ou à l'aide d'une commande provenant du AWS CLI ou de l'un des SDKAPIs. Pour obtenir des instructions détaillées, voir Création d'une organisation dans le guide de AWS Organizations l'utilisateur.

Vous pouvez l'utiliser AWS Organizations pour visualiser et gérer de manière centralisée tous les comptes de votre organisation. Une organisation possède un compte de gestion avec zéro ou plusieurs comptes membres. Vous pouvez organiser les comptes dans une structure hiérarchique arborescente avec une racine en haut et des unités organisationnelles (OUs) imbriquées sous la racine. Chaque compte peut se trouver directement sous la racine ou être placé dans l'un des comptes de la hiérarchie. OUs Une UO est un conteneur pour des comptes spécifiques. Par exemple, vous pouvez créer une unité d'organisation financière qui inclut tous les comptes liés aux opérations financières.

Recommandations pour le choix de l'administrateur délégué du Security Hub

Si vous avez créé un compte administrateur à la suite du processus d'invitation manuel et que vous êtes en train de passer à la gestion des comptes avec AWS Organizations, nous vous recommandons de désigner ce compte en tant qu'administrateur délégué du Security Hub.

Bien que le Security Hub APIs et la console autorisent le compte de gestion de l'organisation à être l'administrateur délégué du Security Hub, nous vous recommandons de choisir deux comptes différents. Cela est dû au fait que les utilisateurs qui ont accès au compte de gestion de l'organisation pour gérer la facturation sont susceptibles d'être différents des utilisateurs qui ont besoin d'accéder à Security Hub pour gérer la sécurité.

Nous recommandons d'utiliser le même administrateur délégué dans toutes les régions. Si vous optez pour la configuration centralisée, Security Hub désigne automatiquement le même administrateur délégué dans votre région d'origine et dans toutes les régions associées.

Vérifiez les autorisations pour configurer l'administrateur délégué

Pour désigner et supprimer un compte administrateur délégué du Security Hub, le compte de gestion de l'organisation doit disposer des autorisations nécessaires pour les DisableOrganizationAdminAccount actions EnableOrganizationAdminAccount et dans Security Hub. Le compte de gestion Organizations doit également disposer d'autorisations administratives pour les Organizations.

Pour accorder toutes les autorisations requises, associez les politiques gérées par Security Hub suivantes au IAM principal du compte de gestion de l'organisation :

Désignation de l'administrateur délégué

Pour désigner le compte administrateur délégué du Security Hub, vous pouvez utiliser la console Security Hub, Security Hub API ou AWS CLI. Security Hub définit l'administrateur délégué Région AWS uniquement dans la zone actuelle, et vous devez répéter l'action dans les autres régions. Si vous commencez à utiliser la configuration centralisée, Security Hub définit automatiquement le même administrateur délégué dans la région d'origine et dans les régions associées.

Le compte de gestion de l'organisation n'a pas besoin d'activer Security Hub pour désigner le compte administrateur délégué du Security Hub.

Nous recommandons que le compte de gestion de l'organisation ne soit pas le compte administrateur délégué du Security Hub. Toutefois, si vous choisissez le compte de gestion de l'organisation comme administrateur délégué de Security Hub, Security Hub doit être activé sur le compte de gestion. Si Security Hub n'est pas activé sur le compte de gestion, vous devez l'activer manuellement. Security Hub ne peut pas être activé automatiquement pour le compte de gestion de l'organisation.

Vous devez désigner l'administrateur délégué du Security Hub à l'aide de l'une des méthodes suivantes. La désignation de l'administrateur délégué du Security Hub par Organizations APIs ne se reflète pas dans Security Hub.

Choisissez votre méthode préférée et suivez les étapes pour désigner le compte administrateur délégué du Security Hub.

Security Hub console
Pour désigner l'administrateur délégué lors de l'intégration

  1. Ouvrez la AWS Security Hub console à l'adresse https://console.aws.amazon.com/securityhub/.

  2. Choisissez Go to Security Hub. Vous êtes invité à vous connecter au compte de gestion de l'organisation.

  3. Sur la page Désigner un administrateur délégué, dans la section Compte d'administrateur délégué, spécifiez le compte d'administrateur délégué. Nous vous recommandons de choisir le même administrateur délégué que celui que vous avez défini pour les autres services AWS de sécurité et de conformité.

  4. Choisissez Définir un administrateur délégué. Vous êtes invité à vous connecter au compte d'administrateur délégué (si ce n'est pas déjà fait) pour poursuivre l'intégration grâce à la configuration centralisée. Si vous ne souhaitez pas démarrer la configuration centralisée, choisissez Annuler. Votre administrateur délégué est configuré, mais vous n'utilisez pas encore la configuration centralisée.

Pour désigner l'administrateur délégué depuis la page Paramètres

  1. Ouvrez la AWS Security Hub console à l'adresse https://console.aws.amazon.com/securityhub/.

  2. Dans le volet de navigation du Security Hub, sélectionnez Settings. Choisissez ensuite Général.

  3. Si un compte administrateur Security Hub est actuellement attribué, vous devez supprimer le compte actuel avant de pouvoir en désigner un nouveau.

    Sous Administrateur délégué, pour supprimer le compte actuel, choisissez Supprimer.

  4. Entrez l'identifiant du compte que vous souhaitez désigner comme compte administrateur du Security Hub.

    Vous devez désigner le même compte administrateur Security Hub dans toutes les régions. Si vous désignez un compte différent de celui désigné dans d'autres régions, la console renvoie un message d'erreur.

  5. Choisisssez Delegate (Déléguer).

Security Hub API, AWS CLI

Depuis le compte de gestion de l'EnableOrganizationAdminAccountorganisation, utilisez le Security HubAPI. Si vous utilisez le AWS CLI, exécutez la enable-organization-admin-accountcommande. Indiquez l' Compte AWS ID de l'administrateur délégué du Security Hub.

L'exemple suivant désigne l'administrateur délégué du Security Hub. Cet exemple est formaté pour Linux, macOS ou Unix et utilise le caractère de continuation de ligne barre oblique inverse (\) pour améliorer la lisibilité.

$ aws securityhub enable-organization-admin-account --admin-account-id 123456789012

Supprimer ou modifier l'administrateur délégué

Avertissement

Lorsque vous utilisez la configuration centralisée, vous ne pouvez pas utiliser la console Security Hub ou Security Hub APIs pour modifier ou supprimer le compte d'administrateur délégué. Si le compte de gestion de l'organisation utilise la AWS Organizations console ou AWS Organizations APIs pour modifier ou supprimer l'administrateur délégué de Security Hub, Security Hub arrête automatiquement la configuration centrale et supprime vos politiques de configuration et vos associations de politiques. Les comptes membres conservent les configurations qu'ils avaient avant le changement ou la suppression de l'administrateur délégué.

Seul le compte de gestion de l'organisation peut supprimer le compte administrateur délégué du Security Hub.

Pour modifier l'administrateur délégué du Security Hub, vous devez d'abord supprimer le compte d'administrateur délégué actuel, puis en désigner un nouveau.

Si vous utilisez la console Security Hub pour supprimer l'administrateur délégué dans une région, il est automatiquement supprimé dans toutes les régions.

Le Security Hub supprime API uniquement le compte administrateur délégué du Security Hub de la région dans laquelle l'APIappel ou la commande est émis. Vous devez répéter l'action dans les autres régions.

Si vous utilisez les Organizations API pour supprimer le compte administrateur délégué du Security Hub, celui-ci est automatiquement supprimé dans toutes les régions.

Suppression de l'administrateur délégué (OrganizationsAPI, AWS CLI)

Vous pouvez utiliser Organizations pour supprimer l'administrateur délégué du Security Hub dans toutes les régions.

Si vous utilisez la configuration centralisée pour gérer les comptes, la suppression du compte d'administrateur délégué entraîne la suppression de vos politiques de configuration et de vos associations de politiques. Les comptes membres conservent les configurations qu'ils avaient avant le changement ou la suppression de l'administrateur délégué. Toutefois, ces comptes ne peuvent plus être gérés par le compte d'administrateur délégué supprimé. Ils deviennent des comptes autogérés qui doivent être configurés séparément dans chaque région.

Choisissez votre méthode préférée et suivez les instructions pour supprimer le compte d'administrateur Security Hub délégué avec AWS Organizations.

Organizations API, AWS CLI

Pour supprimer l'administrateur délégué du Security Hub

À partir du compte de gestion de l'organisation, utilisez le DeregisterDelegatedAdministratorfonctionnement des OrganizationsAPI. Si vous utilisez le AWS CLI, exécutez la deregister-delegated-administratorcommande. Indiquez l'ID de compte de l'administrateur délégué et le principal de service pour Security Hub, à savoirsecurityhub.amazonaws.com.

L'exemple suivant supprime l'administrateur délégué du Security Hub. Cet exemple est formaté pour Linux, macOS ou Unix et utilise le caractère de continuation de ligne barre oblique inverse (\) pour améliorer la lisibilité.

$ aws organizations deregister-delegated-administrator --account-id 123456789012 --service-principal securityhub.amazonaws.com

Supprimer l'administrateur délégué (console Security Hub)

Vous pouvez utiliser la console Security Hub pour supprimer l'administrateur délégué du Security Hub dans toutes les régions.

Lorsque le compte d'administrateur délégué du Security Hub est supprimé, les comptes des membres sont dissociés du compte d'administrateur délégué du Security Hub supprimé.

Security Hub est toujours activé dans les comptes des membres. Ils deviennent des comptes autonomes jusqu'à ce qu'un nouvel administrateur du Security Hub les autorise en tant que comptes membres.

Si le compte de gestion de l'organisation n'est pas un compte activé dans Security Hub, utilisez l'option sur la page Bienvenue sur Security Hub.

Pour supprimer le compte administrateur délégué du Security Hub depuis la page Bienvenue sur Security Hub

  1. Ouvrez la AWS Security Hub console à l'adresse https://console.aws.amazon.com/securityhub/.

  2. Choisissez Go to Security Hub.

  3. Sous Administrateur délégué, choisissez Supprimer.

Si le compte de gestion de l'organisation est un compte activé dans Security Hub, utilisez l'option de l'onglet Général de la page Paramètres.

Pour supprimer le compte administrateur délégué du Security Hub depuis la page Paramètres

  1. Ouvrez la AWS Security Hub console à l'adresse https://console.aws.amazon.com/securityhub/.

  2. Dans le volet de navigation du Security Hub, sélectionnez Settings. Choisissez ensuite Général.

  3. Sous Administrateur délégué, choisissez Supprimer.

Suppression de l'administrateur délégué (Security HubAPI, AWS CLI)

Vous pouvez utiliser les opérations Security Hub API ou Security Hub pour AWS CLI supprimer l'administrateur délégué du Security Hub. Lorsque vous supprimez l'administrateur délégué à l'aide de l'une de ces méthodes, il n'est supprimé que dans la région où l'APIappel ou la commande a été émis. Security Hub ne met pas à jour les autres régions et ne supprime pas le compte d'administrateur délégué dans AWS Organizations.

Choisissez votre méthode préférée et suivez ces étapes pour supprimer le compte administrateur délégué de Security Hub auprès de Security Hub.

Security Hub API, AWS CLI

Pour supprimer l'administrateur délégué du Security Hub

Depuis le compte de gestion de l'DisableOrganizationAdminAccountorganisation, utilisez le Security HubAPI. Si vous utilisez le AWS CLI, exécutez la disable-organization-admin-accountcommande. Indiquez l'ID de compte de l'administrateur délégué du Security Hub.

L'exemple suivant supprime l'administrateur délégué du Security Hub. Cet exemple est formaté pour Linux, macOS ou Unix et utilise le caractère de continuation de ligne barre oblique inverse (\) pour améliorer la lisibilité.

$ aws securityhub disable-organization-admin-account --admin-account-id 123456789012

Désactivation de l'intégration de Security Hub avec AWS Organizations

Après l'intégration d'une AWS Organizations organisation AWS Security Hub, le compte de gestion des Organisations peut ensuite désactiver l'intégration. En tant qu'utilisateur du compte de gestion des Organizations, vous pouvez le faire en désactivant l'accès sécurisé pour Security Hub dans AWS Organizations.

Lorsque vous désactivez l'accès sécurisé pour Security Hub, les événements suivants se produisent :

  • Security Hub perd son statut de service de confiance en AWS Organizations.

  • Le compte d'administrateur délégué du Security Hub perd l'accès aux paramètres, aux données et aux ressources du Security Hub pour tous les comptes membres du Security Hub Régions AWS.

  • Si vous utilisiez la configuration centralisée, Security Hub cesse automatiquement de l'utiliser pour votre organisation. Vos politiques de configuration et vos associations de politiques sont supprimées. Les comptes conservent les configurations qu'ils avaient avant que vous ne désactiviez l'accès sécurisé.

  • Tous les comptes membres du Security Hub deviennent des comptes autonomes et conservent leurs paramètres actuels. Si Security Hub a été activé pour un compte membre dans une ou plusieurs régions, Security Hub continue d'être activé pour le compte dans ces régions. Les normes et contrôles activés restent également inchangés. Vous pouvez modifier ces paramètres séparément dans chaque compte et dans chaque région. Toutefois, le compte n'est plus associé à un administrateur délégué dans aucune région.

Pour plus d'informations sur les conséquences de la désactivation de l'accès aux services sécurisés, consultez la section Utilisation AWS Organizations avec d'autres personnes AWS services dans le Guide de l'AWS Organizations utilisateur.

Pour désactiver l'accès sécurisé, vous pouvez utiliser la AWS Organizations consoleAPI, Organizations ou le AWS CLI. Seul un utilisateur du compte de gestion des Organizations peut désactiver l'accès aux services sécurisés pour Security Hub. Pour plus de détails sur les autorisations dont vous avez besoin, consultez la section Autorisations requises pour désactiver l'accès sécurisé dans le Guide de AWS Organizations l'utilisateur.

Avant de désactiver l'accès sécurisé, nous vous recommandons de contacter l'administrateur délégué de votre organisation afin de désactiver Security Hub dans les comptes membres et de nettoyer les ressources du Security Hub dans ces comptes.

Choisissez votre méthode préférée et suivez les étapes pour désactiver l'accès sécurisé pour Security Hub.

Organizations console
Pour désactiver l'accès sécurisé pour Security Hub

  1. Connectez-vous à l' AWS Management Console aide des informations d'identification du compte AWS Organizations de gestion.

  2. Ouvrez la console Organizations à l'adresse https://console.aws.amazon.com/organizations/.

  3. Dans le panneau de navigation, choisissez Services.

  4. Sous Services intégrés, sélectionnez AWS Security Hub.

  5. Choisissez Disable trusted access (Désactiver l'accès approuvé).

  6. Confirmez que vous souhaitez désactiver l'accès sécurisé.

Organizations API

Pour désactiver l'accès sécurisé pour Security Hub

Invoquez l'opération D isableAWSService Access du AWS Organizations API. Pour le ServicePrincipal paramètre, spécifiez le principal du service Security Hub (securityhub.amazonaws.com).

AWS CLI

Pour désactiver l'accès sécurisé pour Security Hub

Exécutez la disable-aws-service-accesscommande du AWS Organizations API. Pour le service-principal paramètre, spécifiez le principal du service Security Hub (securityhub.amazonaws.com).

Exemple :

aws organizations disable-aws-service-access --service-principal securityhub.amazonaws.com