Creazione di un'organizzazione Consigli per la scelta dell'amministratore delegato del Security Hub Verifica le autorizzazioni per configurare l'amministratore delegato del Security Hub Designazione dell'amministratore delegato del Security Hub Rimozione dell'amministratore delegato del Security Hub

Integrazione del Security Hub con AWS Organizations

Per integrare AWS Security Hub e AWS Organizations, è necessario creare un'organizzazione in Organizations e utilizzare l'account di gestione dell'organizzazione per designare un account amministratore delegato di Security Hub. L'amministratore delegato può quindi abilitare Security Hub per gli account dei membri, visualizzare i dati negli account dei membri ed eseguire altre azioni consentite sugli account dei membri.

Se si utilizza la configurazione centrale, l'amministratore delegato può anche creare politiche di configurazione del Security Hub che specificano come configurare il servizio, gli standard e i controlli di Security Hub negli account dell'organizzazione.

Creazione di un'organizzazione

Un'organizzazione è un'entità creata per consolidare la propria Account AWS in modo da poterla amministrare come una singola unità.

Puoi creare un'organizzazione utilizzando la AWS Organizations console o utilizzando un comando proveniente da AWS CLI o da una delle API SDK. Per istruzioni dettagliate, consulta Creare un'organizzazione nella Guida per l'AWS Organizations utente.

Puoi utilizzarlo AWS Organizations per visualizzare e gestire centralmente tutti gli account all'interno della tua organizzazione. Un'organizzazione ha un account di gestione insieme a zero o più account membri. È possibile organizzare gli account in una struttura gerarchica ad albero con una radice nella parte superiore e unità organizzative (OU) annidate sotto la radice. Ogni account può trovarsi direttamente sotto la radice o collocato in una delle unità organizzative della gerarchia. Un'unità organizzativa è un contenitore per account specifici. Ad esempio, è possibile creare un'unità organizzativa finanziaria che includa tutti i conti relativi alle operazioni finanziarie.

Consigli per la scelta dell'amministratore delegato del Security Hub

Se disponi di un account amministratore dopo la procedura di invito manuale e stai passando alla gestione degli account con AWS Organizations, Security Hub consiglia di designare quell'account come amministratore delegato del Security Hub.

Non è necessario designare l'account di gestione dell'organizzazione come amministratore delegato del Security Hub. Questo perché è probabile che gli utenti che hanno accesso all'account di gestione dell'organizzazione per gestire la fatturazione siano diversi dagli utenti che devono accedere a Security Hub per la gestione della sicurezza.

Si consiglia di utilizzare lo stesso amministratore delegato in tutte le regioni. Se opti per la configurazione centralizzata, Security Hub designa automaticamente lo stesso amministratore delegato nella tua regione d'origine e in tutte le regioni collegate.

Verifica le autorizzazioni per configurare l'amministratore delegato del Security Hub

Per designare e rimuovere un account amministratore delegato di Security Hub, l'account di gestione dell'organizzazione deve disporre delle DisableOrganizationAdminAccount autorizzazioni EnableOrganizationAdminAccount e delle azioni in Security Hub. L'account di gestione Organizations deve inoltre disporre delle autorizzazioni amministrative per Organizations.

Per concedere tutte le autorizzazioni richieste, collega le seguenti politiche gestite da Security Hub al principale IAM per l'account di gestione dell'organizzazione:

Designazione dell'amministratore delegato del Security Hub

Per designare l'account amministratore delegato di Security Hub, è possibile utilizzare la console Security Hub, l'API Security Hub oppure. AWS CLISecurity Hub imposta l'amministratore delegato Regione AWS solo nell'area corrente ed è necessario ripetere l'azione in altre regioni. Se inizi a utilizzare la configurazione centrale, Security Hub imposta automaticamente lo stesso amministratore delegato nella regione di origine e nelle regioni collegate.

L'account di gestione dell'organizzazione non deve abilitare Security Hub per designare l'account amministratore delegato di Security Hub.

È consigliabile che l'account di gestione dell'organizzazione non sia l'account amministratore delegato di Security Hub. Tuttavia, se si sceglie l'account di gestione dell'organizzazione come amministratore delegato di Security Hub, l'account di gestione deve avere Security Hub abilitato. Se l'account di gestione non ha Security Hub abilitato, è necessario abilitare Security Hub manualmente. Security Hub non può essere abilitato automaticamente per l'account di gestione dell'organizzazione.

Nota

È necessario designare l'amministratore delegato del Security Hub utilizzando uno dei seguenti metodi. La designazione dell'amministratore delegato di Security Hub con le API Organizations non si riflette in Security Hub.

Scegli il tuo metodo preferito e segui i passaggi per designare l'account amministratore delegato di Security Hub.

Security Hub console

Per designare l'amministratore delegato del Security Hub durante l'onboarding

Aprire la console all'indirizzo https://console.aws.amazon.com/securityhub/ AWS Security Hub .
Scegli Vai a Security Hub. Ti viene richiesto di accedere all'account di gestione dell'organizzazione.
Nella pagina Designa amministratore delegato, nella sezione Account amministratore delegato, specifica l'account amministratore delegato. Ti consigliamo di scegliere lo stesso amministratore delegato che hai impostato per altri AWS servizi di sicurezza e conformità.
Scegli Imposta amministratore delegato. Ti viene richiesto di accedere all'account amministratore delegato (se non lo sei già) per continuare l'onboarding con la configurazione centrale. Se non desideri avviare la configurazione centralizzata, scegli Annulla. L'amministratore delegato è impostato, ma non stai ancora utilizzando la configurazione centrale.

Per designare l'amministratore delegato del Security Hub dalla pagina Impostazioni

Aprire la AWS Security Hub console all'indirizzo https://console.aws.amazon.com/securityhub/.
Nel riquadro di navigazione Security Hub, scegli Impostazioni. Quindi scegli Generale.
Se al momento è assegnato un account amministratore di Security Hub, prima di poter designare un nuovo account, è necessario rimuovere l'account corrente.

In Amministratore delegato, per rimuovere l'account corrente, scegli Rimuovi.
Inserisci l'ID dell'account che desideri designare come account amministratore del Security Hub.

È necessario designare lo stesso account amministratore del Security Hub in tutte le regioni. Se si designa un account diverso da quello designato in altre regioni, la console restituisce un errore.
Scegli Delega.

Security Hub API

Richiama l'EnableOrganizationAdminAccountAPI dall'account di gestione dell'organizzazione. Fornisci l' Account AWS ID dell'account amministratore delegato di Security Hub.

AWS CLI

Esegui il enable-organization-admin-accountcomando dall'account di gestione dell'organizzazione. Fornisci l' Account AWS ID dell'account amministratore delegato di Security Hub.

Comando di esempio:


aws securityhub enable-organization-admin-account --admin-account-id 777788889999

Rimozione dell'amministratore delegato del Security Hub

avvertimento

Quando si utilizza la configurazione centrale, non è possibile utilizzare la console di Security Hub o le API di Security Hub per modificare o rimuovere l'account amministratore delegato. Se l'account di gestione dell'organizzazione utilizza la AWS Organizations console o le AWS Organizations API per modificare o rimuovere l'amministratore delegato di Security Hub, Security Hub interrompe automaticamente la configurazione centrale ed elimina i criteri di configurazione e le associazioni di policy. Gli account dei membri mantengono le configurazioni che avevano prima della modifica o della rimozione dell'amministratore delegato.

Solo l'account di gestione dell'organizzazione può rimuovere l'account amministratore delegato di Security Hub.

Per cambiare l'amministratore delegato di Security Hub, è necessario prima rimuovere l'account amministratore delegato corrente e quindi designarne uno nuovo.

Se si utilizza la console Security Hub per rimuovere l'amministratore delegato in una regione, l'amministratore delegato viene rimosso automaticamente in tutte le regioni.

L'API Security Hub rimuove solo l'account amministratore delegato di Security Hub dalla regione in cui viene emessa la chiamata o il comando API. È necessario ripetere l'azione in altre regioni.

Se si utilizza l'API Organizations per rimuovere l'account amministratore delegato di Security Hub, questo viene rimosso automaticamente in tutte le regioni.

Rimozione dell'amministratore delegato del Security Hub (Organizations API, AWS CLI)

È possibile utilizzare Organizations per rimuovere l'amministratore delegato del Security Hub in tutte le regioni.

Se si utilizza la configurazione centrale per gestire gli account, la rimozione dell'account amministratore delegato comporta l'eliminazione delle politiche di configurazione e delle associazioni di policy. Gli account membro mantengono le configurazioni che avevano prima della modifica o della rimozione dell'amministratore delegato. Tuttavia, questi account non possono più essere gestiti dall'account amministratore delegato rimosso. Diventano account autogestiti che devono essere configurati separatamente in ciascuna regione.

Scegli il tuo metodo preferito e segui le istruzioni per rimuovere l'account amministratore delegato di Security Hub con AWS Organizations.

Rimozione dell'amministratore delegato di Security Hub (console Security Hub)

È possibile utilizzare la console Security Hub per rimuovere l'amministratore delegato del Security Hub in tutte le regioni.

Quando l'account amministratore delegato di Security Hub viene rimosso, gli account dei membri vengono dissociati dall'account amministratore delegato di Security Hub rimosso.

Security Hub è ancora abilitato negli account dei membri. Diventano account autonomi fino a quando un nuovo amministratore del Security Hub non li abilita come account membro.

Se l'account di gestione dell'organizzazione non è un account abilitato in Security Hub, utilizza l'opzione nella pagina Benvenuto in Security Hub.

Per rimuovere l'account amministratore delegato di Security Hub dalla pagina di benvenuto in Security Hub

Aprire la AWS Security Hub console all'indirizzo https://console.aws.amazon.com/securityhub/.
Scegli Vai a Security Hub.
In Amministratore delegato, scegli Rimuovi.

Se l'account di gestione dell'organizzazione è un account abilitato in Security Hub, utilizza l'opzione nella scheda Generale della pagina Impostazioni.

Per rimuovere l'account amministratore delegato di Security Hub dalla pagina Impostazioni

Aprire la AWS Security Hub console all'indirizzo https://console.aws.amazon.com/securityhub/.
Nel riquadro di navigazione Security Hub, scegli Impostazioni. Quindi scegli Generale.
In Amministratore delegato, scegli Rimuovi.

Rimozione dell'amministratore delegato di Security Hub (Security Hub API, AWS CLI)

È possibile utilizzare l'API Security Hub o le operazioni Security Hub per AWS CLI rimuovere l'amministratore delegato del Security Hub. Quando si rimuove l'amministratore delegato con uno di questi metodi, questo viene rimosso solo nella regione in cui è stata emessa la chiamata o il comando API. Security Hub non aggiorna le altre regioni e non rimuove l'account amministratore delegato in AWS Organizations.

Scegli il tuo metodo preferito e segui questi passaggi per rimuovere l'account amministratore delegato di Security Hub con Security Hub.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Gestione degli account con AWS Organizations

Attivazione automatica del Security Hub nei nuovi account