Consigli per la gestione di più account in Security Hub CSPM

La sezione seguente riassume alcune restrizioni e raccomandazioni da tenere a mente quando si gestiscono gli account dei membri in AWS Security Hub CSPM.

Numero massimo di account membri

Se si utilizza l'integrazione con AWS Organizations, Security Hub CSPM supporta fino a 10.000 account membro per account amministratore delegato in ciascuno. Regione AWS Se abiliti e gestisci Security Hub CSPM manualmente, Security Hub CSPM supporta fino a 1.000 inviti di account membro per account amministratore in ciascuna regione.

Creazione di relazioni amministratore-membro

Nota

Se utilizzi l'integrazione CSPM di Security Hub con AWS Organizations e non hai invitato manualmente alcun account membro, questa sezione non ti riguarda.

Un account non può essere contemporaneamente un account amministratore e un account membro.

Un account membro può essere associato a un solo account amministratore. Se un account dell'organizzazione è abilitato dall'account amministratore CSPM di Security Hub, l'account non può accettare un invito da un altro account. Se un account ha già accettato un invito, l'account non può essere abilitato dall'account amministratore CSPM di Security Hub per l'organizzazione. Inoltre, non può ricevere inviti da altri account.

Per la procedura di invito manuale, l'accettazione di un invito all'iscrizione è facoltativa.

Iscrizione tramite AWS Organizations

Se si integra Security Hub CSPM con AWS Organizations, l'account di gestione Organizations può designare un account amministratore delegato (DA) per Security Hub CSPM. L'account di gestione dell'organizzazione non può essere impostato come DA in Organizations. Sebbene ciò sia consentito in Security Hub CSPM, consigliamo che l'account di gestione Organizations non sia il DA.

Ti consigliamo di scegliere lo stesso account DA in tutte le regioni. Se utilizzi la configurazione centrale, Security Hub CSPM imposta lo stesso account DA in tutte le regioni in cui configuri Security Hub CSPM per la tua organizzazione.

Ti consigliamo inoltre di scegliere lo stesso account DA per tutti i servizi di AWS sicurezza e conformità per aiutarti a gestire i problemi relativi alla sicurezza in un unico pannello di controllo.

Iscrizione su invito

Per gli account membro creati su invito, l'associazione tra account amministratore e membro viene creata solo nella regione da cui viene inviato l'invito. L'account amministratore deve abilitare Security Hub CSPM in ogni regione in cui si desidera utilizzarlo. L'account amministratore invita quindi ogni account a diventare un account membro in quella regione.

Nota

Ti consigliamo di utilizzare AWS Organizations al posto degli inviti CSPM di Security Hub per gestire gli account dei membri.

Coordinamento degli account di amministratore tra i vari servizi

Security Hub CSPM aggrega i risultati di vari AWS servizi, come Amazon, Amazon GuardDuty Inspector e Amazon Macie. Security Hub CSPM consente inoltre agli utenti di passare da un GuardDuty risultato all'avvio di un'indagine in Amazon Detective.

Tuttavia, le relazioni amministratore-membro impostate in questi altri servizi non si applicano automaticamente a Security Hub CSPM. Security Hub CSPM consiglia di utilizzare lo stesso account dell'account amministratore per tutti questi servizi. Questo account amministratore deve essere un account responsabile degli strumenti di sicurezza. Lo stesso account deve essere utilizzato anche come account aggregatore per AWS Config.

Ad esempio, un utente dell'account GuardDuty amministratore A può visualizzare i risultati GuardDuty degli account membro B e C sulla GuardDuty console. Se l'account A abilita quindi Security Hub CSPM, gli utenti dell'account A non visualizzano automaticamente GuardDuty i risultati per gli account B e C nel CSPM di Security Hub. Per questi account è inoltre richiesta una relazione amministratore-membro del Security Hub CSPM.

A tale scopo, imposta l'account A come account amministratore CSPM di Security Hub e abilita gli account B e C a diventare account membri CSPM di Security Hub.