Confronto tra obiettivi gestiti centralmente e autogestiti

Quando si abilita la configurazione centrale, l' AWS Security Hub amministratore delegato può designare ogni account dell'organizzazione, unità organizzativa (OU) e radice come gestiti centralmente o autogestiti. Il tipo di gestione di una destinazione determina come specificare le impostazioni del Security Hub.

Per informazioni di base sui vantaggi della configurazione centrale e su come funziona, consultaComprendere la configurazione centrale in Security Hub.

Questa sezione spiega le differenze tra una designazione gestita centralmente e una autogestita e come scegliere il tipo di gestione di un account, di un'unità organizzativa o della directory principale.

Autogestito

Il proprietario di un account, unità organizzativa o root autogestito deve configurarne le impostazioni separatamente in ciascuno di essi. Regione AWS L'amministratore delegato non può creare politiche di configurazione per obiettivi autogestiti.

Gestito centralmente

Solo l'amministratore delegato del Security Hub può configurare le impostazioni per gli account gestiti OUs centralmente o la directory principale nella regione di origine e nelle regioni collegate. Le policy di configurazione possono essere associate ad account gestiti centralmente eOUs.

L'amministratore delegato può cambiare lo stato di una destinazione tra gestione automatica e gestione centralizzata. Per impostazione predefinita, tutti gli account e l'unità organizzativa vengono gestiti automaticamente quando si avvia la configurazione centrale tramite Security HubAPI. Nella console, il tipo di gestione dipende dalla prima politica di configurazione. Gli account e OUs quelli associati alla prima policy vengono gestiti centralmente. Gli altri account OUs sono gestiti automaticamente per impostazione predefinita.

Se si associa una politica di configurazione a un account autogestito, le impostazioni dei criteri hanno la precedenza sulla designazione autogestita. L'account viene gestito centralmente e adotta le impostazioni riportate nella politica di configurazione.

Gli account figlio OUs possono ereditare il comportamento autogestito da un genitore autogestito, allo stesso modo in cui gli account figlio OUs possono ereditare le politiche di configurazione da un genitore gestito centralmente. Per ulteriori informazioni, consulta Associazione delle politiche tramite applicazione ed ereditarietà.

Un account o un'unità organizzativa autogestiti non possono ereditare una politica di configurazione da un nodo principale o dalla radice. Ad esempio, se si desidera che tutti gli account e l'organizzazione OUs ereditino una politica di configurazione dalla radice, è necessario modificare il tipo di gestione dei nodi autogestiti in gestione centralizzata.

Opzioni per configurare le impostazioni negli account autogestiti

Gli account autogestiti devono configurare le proprie impostazioni separatamente in ciascuna regione.

I proprietari di account autogestiti possono richiamare le seguenti operazioni del Security Hub API in ciascuna regione per configurare le proprie impostazioni:

• EnableSecurityHube DisableSecurityHub per abilitare o disabilitare il servizio Security Hub

• BatchEnableStandardse BatchDisableStandards per abilitare o disabilitare gli standard

• BatchUpdateStandardsControlAssociationso UpdateStandardsControl per abilitare o disabilitare i controlli

Gli account autogestiti possono inoltre essere utilizzati *Invitations e utilizzati*Members. Tuttavia, consigliamo che gli account autogestiti non utilizzino queste operazioni. Le associazioni di policy possono fallire se un account membro ha i propri membri che fanno parte di un'organizzazione diversa da quella dell'amministratore delegato.

Per le descrizioni delle API azioni del Security Hub, consulta la Guida AWS Security Hub APIdi riferimento.

Gli account autogestiti possono anche utilizzare la console Security Hub o AWS CLI configurarne le impostazioni in ciascuna regione.

Gli account autogestiti non possono richiamare alcun elemento APIs relativo ai criteri di configurazione e alle associazioni di policy di Security Hub. Solo l'amministratore delegato può richiamare la configurazione centrale APIs e utilizzare le policy di configurazione per configurare account gestiti centralmente.

Scelta del tipo di gestione di una destinazione

Scegli il tuo metodo preferito e segui i passaggi per designare un account o un'unità organizzativa come gestita centralmente o autogestita. AWS Security Hub

Security Hub console

Per scegliere il tipo di gestione di un account o di un'unità organizzativa

1. Aprire la AWS Security Hub console all'indirizzo https://console.aws.amazon.com/securityhub/.

   Accedi utilizzando le credenziali dell'account amministratore delegato di Security Hub nella regione di residenza.

2. Scegliere Configuration (Configurazione).

3. Nella scheda Organizzazione, seleziona l'account o l'unità organizzativa di destinazione. Scegli Modifica.

4. Nella pagina Definisci configurazione, per Tipo di gestione, scegli Gestito centralmente se desideri che l'amministratore delegato configuri l'account o l'unità organizzativa di destinazione. Quindi, scegli Applica una politica specifica se desideri associare una politica di configurazione esistente alla destinazione. Scegli Inherit from my organization se desideri che il target erediti la configurazione del genitore più vicino. Scegli Autogestito se desideri che l'account o l'unità organizzativa configurino le proprie impostazioni.

5. Scegli Next (Successivo). Rivedi le modifiche e scegli Salva.

Security Hub API

Per scegliere il tipo di gestione di un account o di un'unità organizzativa

1. Invoca il StartConfigurationPolicyAssociationAPIdall'account amministratore delegato di Security Hub nella regione di residenza.

2. Per il ConfigurationPolicyIdentifier campo, specifica SELF_MANAGED_SECURITY_HUB se desideri che l'account o l'unità organizzativa controllino le proprie impostazioni. Fornisci l'Amazon Resource Name (ARN) o l'ID della policy di configurazione pertinente se desideri che l'amministratore delegato controlli le impostazioni dell'account o dell'unità organizzativa.

3. Per il Target campo, fornisci l' Account AWS ID, l'ID OU o l'ID root della destinazione di cui desideri modificare il tipo di gestione. Ciò associa il comportamento autogestito o la politica di configurazione specificata alla destinazione. Gli account secondari della destinazione possono ereditare il comportamento autogestito o la politica di configurazione.

Esempio di API richiesta per designare un account autogestito:

{
    "ConfigurationPolicyIdentifier": "SELF_MANAGED_SECURITY_HUB",
    "Target": {"AccountId": "123456789012"}
}
                

AWS CLI

Per scegliere il tipo di gestione di un account o di un'unità organizzativa

1. Eseguire start-configuration-policy-associationcomando dall'account amministratore delegato di Security Hub nella regione di residenza.

2. Per configuration-policy-identifier campo, specifica SELF_MANAGED_SECURITY_HUB se desideri che l'account o l'unità organizzativa controllino le proprie impostazioni. Fornisci l'Amazon Resource Name (ARN) o l'ID della policy di configurazione pertinente se desideri che l'amministratore delegato controlli le impostazioni dell'account o dell'unità organizzativa.

3. Per il target campo, fornisci l' Account AWS ID, l'ID OU o l'ID root della destinazione di cui desideri modificare il tipo di gestione. Ciò associa il comportamento autogestito o la politica di configurazione specificata alla destinazione. Gli account secondari della destinazione possono ereditare il comportamento autogestito o la politica di configurazione.

Esempio di comando per designare un account autogestito:

aws securityhub --region us-east-1 start-configuration-policy-association \
--configuration-policy-identifier "SELF_MANAGED_SECURITY_HUB" \
--target '{"AccountId": "123456789012"}'