Activer Security Hub pour une organisation Activer Security Hub pour l'administrateur délégué Activer Security Hub pour un compte autonome

Activation de Security Hub

Note

Security Hub est en version préliminaire et peut faire l'objet de modifications.

Vous pouvez activer Security Hub pour n'importe lequel d'entre eux Compte AWS. Les procédures décrites dans cette rubrique décrivent comment activer Security Hub à partir d'un compte de gestion d' AWS entreprise, d'un compte d'administrateur délégué et d'un compte autonome.

Note

Une fois que vous avez activé Security Hub, les expositions de votre environnement sont immédiatement analysées. Cependant, vous pouvez attendre jusqu'à 6 heures avant de recevoir un résultat d'exposition pour une ressource.

Activer Security Hub pour une organisation

La procédure décrite dans cette section décrit comment activer Security Hub pour le compte de gestion de AWS l'organisation. La procédure suppose que vous avez défini un administrateur délégué pour Security Hub CSPM et inclut une étape au cours de laquelle vous pouvez définir un administrateur délégué pour votre organisation dans Security Hub. Pour plus d'informations sur la définition d'un administrateur délégué dans Security Hub, consultez la section Configuration d'un compte d'administrateur délégué dans Security Hub.

Si vous décidez de définir un administrateur délégué pour Security Hub lors de l'activation, vous devrez créer une politique de ressources dans la AWS Organizations console permettant à l'administrateur délégué d'effectuer des actions au nom de votre organisation. Vous pouvez utiliser l'exemple de politique de ressources suivant pour le compte d'administrateur délégué.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Statement",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::delegated-administrator-account-id:root"
      },
      "Action": [
        "organizations:AttachPolicy",
        "organizations:CreatePolicy",
        "organizations:DetachPolicy",
        "organizations:DeletePolicy",
        "organizations:UpdatePolicy",
        "organizations:ListPolicies",
        "organizations:ListPoliciesForTarget",
        "organizations:ListTargetsForPolicy",
        "organizations:DescribePolicy",
        "organizations:DescribeEffectivePolicy",
        "organizations:DisablePolicyType",
        "organizations:EnablePolicyType"
      ],
      "Resource": "*"
    }
  ]
}

Si vous ne définissez pas d'administrateur délégué, vous pourrez définir un administrateur délégué ultérieurement. Pour plus d'informations, consultez la section Configuration d'un compte d'administrateur délégué dans Security Hub. Cette rubrique inclut une procédure qui décrit comment définir un administrateur délégué pour votre organisation à partir de la page Général de la console Security Hub.

La procédure suivante décrit comment définir un compte d'administrateur délégué pour votre organisation dans Security Hub.

Pour activer Security Hub pour le compte de gestion d'une AWS organisation

Connectez-vous à votre AWS compte à l'aide des informations d'identification du compte de gestion de votre AWS organisation. Ouvrez la console Security Hub sur https://console.aws.amazon.com/securityhub/v2/home.
Sur la page d'accueil de Security Hub, sélectionnez Security Hub. Choisissez Démarrer.
(Facultatif) Pour le compte administrateur délégué, définissez un administrateur délégué en fonction des options proposées. Pour garantir une gouvernance cohérente, nous recommandons d'utiliser le même administrateur délégué pour tous les services de sécurité. Pour plus d'informations sur la définition d'un compte d'administrateur délégué, consultez la section Configuration d'un compte d'administrateur délégué dans Security Hub.
(Facultatif) Pour activer le compte, cochez la case permettant d'activer Security Hub pour votre AWS compte.
Choisissez Copier et joindre pour ouvrir les paramètres de l'organisation. Dans la console Organizations, sélectionnez Déléguer sous Administrateur délégué pour AWS Organizations, puis collez la politique de ressources. Choisissez Create Policy.
Accédez à la console Security Hub. Choisissez Configurer.

Lorsque vous activez Security Hub, un rôle lié à un service appelé AWSServiceRoleForSecurityHubV2 est créé dans votre compte, et un enregistreur lié à un service est ajouté à votre compte. Un enregistreur lié à un service est un type d' AWS Config enregistreur géré par un AWS service qui peut enregistrer des données de configuration sur des ressources spécifiques au service. Avec un enregistreur lié à un service, Security Hub permet une approche basée sur les événements pour obtenir les éléments de configuration des ressources nécessaires à la couverture de l'analyse d'exposition. Un enregistreur lié au service est configuré par Compte AWS et Région AWS.

Note

Si vous définissez un administrateur délégué, celui-ci peut créer et appliquer une politique lui permettant d'activer et de désactiver les comptes membres pour Security Hub. Pour plus d'informations, voir Création d'une politique en tant qu'administrateur délégué chargé de gérer les comptes des membres.

Activer Security Hub pour l'administrateur délégué

Si le compte de gestion de AWS l'organisation définit un administrateur délégué pour son organisation, celui-ci doit activer Security Hub pour son compte. La procédure suivante doit être effectuée par l'administrateur délégué, mais uniquement s'il n'a pas activé Security Hub pour son compte. Pour plus d'informations sur la définition d'un administrateur délégué, consultez la section Configuration d'un compte d'administrateur délégué dans Security Hub.

Pour activer Security Hub pour un compte d'administrateur délégué

Connectez-vous à votre AWS compte à l'aide de vos identifiants d'administrateur délégué et ouvrez la console Security Hub sur https://console.aws.amazon.com/securityhub/v2/home.
Sur la page d'accueil de Security Hub, sélectionnez Security Hub, puis choisissez Get started.
Sélectionnez Activer.
(Facultatif) Pour les balises, déterminez s'il faut ajouter une paire clé-valeur à la configuration du compte.
Choisissez Go to Security Hub.

Note

En tant qu'administrateur délégué d'une organisation, vous pouvez créer et appliquer une politique vous permettant d'activer et de désactiver les comptes membres pour Security Hub. Pour plus d'informations, voir Création d'une politique en tant qu'administrateur délégué chargé de gérer les comptes des membres.

Activer Security Hub pour un compte autonome

La procédure suivante décrit comment activer Security Hub pour un compte autonome. Il existe deux types de comptes autonomes qui peuvent activer Security Hub : un compte Compte AWS ne faisant pas partie d'une organisation et un compte Compte AWS interne à une organisation. Au Compte AWS sein d'une AWS organisation, il peut s'agir d'un Compte AWS endroit où un administrateur délégué attache une AWS Organizations politique au Compte AWS. Pour plus d'informations, consultez les politiques de Security Hub dans le guide de AWS Organizations l'utilisateur.

Pour activer Security Hub pour un compte autonome

Connectez-vous à votre AWS compte avec vos informations d'identification et ouvrez la console Security Hub sur https://console.aws.amazon.com/securityhub/v2/home.
Sur la page d'accueil de Security Hub, sélectionnez Security Hub, puis choisissez Get started.
Sélectionnez Activer.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Premiers pas

Configuration d'un compte d'administrateur délégué dans Security Hub