Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Passaggio alla gestione AWS Organizations degli account
Quando gestisci gli account manualmenteAWS Security Hub, devi invitare gli account dei potenziali membri e configurare ogni account membro separatamente in ciascuno Regione AWS di essi.
Integrando Security Hub eAWS Organizations, puoi eliminare la necessità di inviare inviti e ottenere un maggiore controllo sul modo in cui Security Hub è configurato e personalizzato nella tua organizzazione.
È possibile utilizzare un approccio combinato in cui si utilizza l'AWS Organizationsintegrazione, ma anche invitare manualmente account esterni all'organizzazione. Tuttavia, consigliamo di utilizzare esclusivamente l'integrazione Organizations. La configurazione centrale, una funzionalità che consente di gestire Security Hub su più account e regioni, è disponibile solo in caso di integrazione con Organizations.
Questa sezione spiega come passare dalla gestione manuale degli account basata su inviti alla gestione degli account con. AWS Organizations
Integrazione del Security Hub con AWS Organizations
Innanzitutto, è necessario integrare Security Hub eAWS Organizations.
Puoi integrare questi servizi completando i seguenti passaggi:
Crea un'organizzazione inAWS Organizations. Per istruzioni, consulta Creare un'organizzazione nella Guida AWS Organizations per l'utente.
Dall'account di gestione Organizations, designare un account amministratore delegato di Security Hub.
Nota
L'account di gestione dell'organizzazione non può essere impostato come account DA.
Per istruzioni dettagliate, vedi Integrazione del Security Hub con AWS Organizations.
Completando i passaggi precedenti, concedi l'accesso affidabile per Security Hub inAWS Organizations. Ciò abilita anche Security Hub nella versione corrente Regione AWS per l'account amministratore delegato.
L'amministratore delegato può gestire l'organizzazione in Security Hub, principalmente aggiungendo gli account dell'organizzazione come account membri del Security Hub. L'amministratore può anche accedere a determinate impostazioni, dati e risorse del Security Hub per tali account.
Quando si passa alla gestione degli account utilizzando Organizations, gli account basati su invito non diventano automaticamente membri del Security Hub. Solo gli account che aggiungi alla nuova organizzazione possono diventare membri del Security Hub.
Configurazione centrale e configurazione locale
Dopo aver attivato l'integrazione, puoi gestire gli account con Organizations. Per informazioni, consulta Gestione degli account con AWS Organizations. La gestione degli account varia in base al tipo di configurazione dell'organizzazione.
Esistono due tipi di configurazione possibili per l'organizzazione, locale e centrale. Il tipo di configurazione predefinito è la configurazione locale. Per visualizzare il tipo di configurazione corrente, scegli Impostazioni nel pannello di navigazione della console Security Hub, quindi Configurazione. Puoi anche richiamare l'DescribeOrganizationConfigurationAPI per visualizzare il tipo di configurazione.
Nella configurazione locale, l'account amministratore delegato può scegliere di abilitare automaticamente Security Hub e gli standard di sicurezza predefiniti nei nuovi account quando entrano a far parte dell'organizzazione. Queste nuove impostazioni dell'account hanno effetto nella regione corrente. Le altre impostazioni del Security Hub devono essere configurate separatamente da ciascun account membro in ciascuna regione.
Si consiglia di utilizzare la configurazione centrale anziché la configurazione locale. In configurazione centrale, l'account amministratore delegato può creare politiche di configurazione del Security Hub che hanno effetto su più regioni e specificare le funzionalità del Security Hub nei vari account e unità organizzative (OU) dell'organizzazione. È possibile applicare un'unica politica di configurazione all'intera organizzazione o politiche di configurazione diverse a diversi account e unità organizzative. Ad esempio, è possibile abilitare un set di standard e controlli negli account di produzione e un set diverso di standard e controlli negli account di test. Il DA può modificare le politiche di configurazione in base alle esigenze.
Per ulteriori informazioni su come funziona la configurazione centrale, vedereCome funziona la configurazione centrale.
Per istruzioni sul passaggio dalla configurazione locale a quella centrale, vedereInizia a usare la configurazione centrale.
