Recommandations pour la gestion de plusieurs comptes dans Security Hub CSPM

La section suivante résume certaines restrictions et recommandations à prendre en compte lors de la gestion des comptes de membres dans AWS Security Hub CSPM.

Nombre maximal de comptes membres

Si vous utilisez l'intégration avec AWS Organizations, Security Hub CSPM prend en charge jusqu'à 10 000 comptes membres par compte d'administrateur délégué dans chacun d'eux. Région AWS Si vous activez et gérez Security Hub CSPM manuellement, Security Hub CSPM prend en charge jusqu'à 1 000 invitations de compte de membre par compte administrateur dans chaque région.

Création de relations administrateur-membre

Note

Si vous utilisez l'intégration CSPM de Security Hub et que vous n'avez invité aucun compte membre manuellement, cette section ne s'applique pas à vous. AWS Organizations

Un compte ne peut pas être à la fois un compte administrateur et un compte membre.

Un compte membre ne peut être associé qu'à un seul compte administrateur. Si un compte d'organisation est activé par le compte administrateur du Security Hub CSPM, le compte ne peut pas accepter d'invitation provenant d'un autre compte. Si un compte a déjà accepté une invitation, le compte ne peut pas être activé par le compte administrateur Security Hub CSPM de l'organisation. Il ne peut pas non plus recevoir d'invitations provenant d'autres comptes.

Pour le processus d'invitation manuel, l'acceptation d'une invitation d'adhésion est facultative.

Adhésion via AWS Organizations

Si vous intégrez Security Hub CSPM à Security Hub AWS Organizations, le compte de gestion Organizations peut désigner un compte d'administrateur délégué (DA) pour Security Hub CSPM. Le compte de gestion de l'organisation ne peut pas être défini en tant que DA dans Organizations. Bien que cela soit autorisé dans Security Hub CSPM, nous recommandons que le compte de gestion des Organizations ne soit pas le DA.

Nous vous recommandons de choisir le même compte DA dans toutes les régions. Si vous utilisez la configuration centralisée, Security Hub CSPM définit le même compte DA dans toutes les régions dans lesquelles vous configurez Security Hub CSPM pour votre organisation.

Nous vous recommandons également de choisir le même compte DA pour tous les services AWS de sécurité et de conformité afin de vous aider à gérer les problèmes liés à la sécurité de manière centralisée.

Adhésion sur invitation

Pour les comptes membres créés sur invitation, l'association administrateur-compte membre est créée uniquement dans la région d'où l'invitation est envoyée. Le compte administrateur doit activer le Security Hub CSPM dans chaque région dans laquelle vous souhaitez l'utiliser. Le compte administrateur invite ensuite chaque compte à devenir un compte membre dans cette région.

Note

Nous vous recommandons d'utiliser des invitations CSPM à la AWS Organizations place du Security Hub pour gérer vos comptes de membres.

Coordination des comptes d'administrateur entre les services

Security Hub CSPM regroupe les résultats de différents AWS services, tels qu'Amazon, Amazon GuardDuty Inspector et Amazon Macie. Security Hub CSPM permet également aux utilisateurs de passer d'une GuardDuty découverte à une enquête dans Amazon Detective.

Toutefois, les relations administrateur-membre que vous configurez dans ces autres services ne s'appliquent pas automatiquement à Security Hub CSPM. Security Hub CSPM vous recommande d'utiliser le même compte que le compte administrateur pour tous ces services. Ce compte administrateur doit être un compte responsable des outils de sécurité. Le même compte doit également être le compte agrégateur pour AWS Config.

Par exemple, un utilisateur du compte GuardDuty administrateur A peut consulter les résultats relatifs aux comptes de GuardDuty membres B et C sur la GuardDuty console. Si le compte A active alors Security Hub CSPM, les utilisateurs du compte A ne voient pas automatiquement les GuardDuty résultats des comptes B et C dans Security Hub CSPM. Une relation administrateur-membre du Security Hub CSPM est également requise pour ces comptes.

Pour ce faire, définissez le compte A comme compte administrateur du Security Hub CSPM et activez les comptes B et C pour qu'ils deviennent des comptes membres du Security Hub CSPM.