Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Gestione degli account degli amministratori e dei membri
Se il tuo AWS ambiente ha più account, puoi trattare gli account che utilizzano AWS Security Hub come account membro e associarli a un singolo account amministratore. L'amministratore può monitorare il livello di sicurezza generale dell'utente e intraprendere le azioni consentite sugli account dei membri. L'amministratore può anche eseguire varie attività di gestione e amministrazione degli account su larga scala, come il monitoraggio dei costi di utilizzo stimati e la valutazione delle quote degli account.
È possibile associare gli account dei membri a un amministratore in due modi: integrando Security Hub con AWS Organizations o inviando e accettando manualmente gli inviti di iscrizione in Security Hub.
Gestione degli account con AWS Organizations
AWS Organizationsè un servizio globale di gestione degli account che consente AWS agli amministratori di consolidare e gestire più account. Account AWS Fornisce funzionalità di gestione degli account e fatturazione consolidata progettate per supportare le esigenze di budget, sicurezza e conformità. È offerto senza costi aggiuntivi e si integra con più piattaformeAWS servizi, tra cui AWS Security Hub, Amazon Macie e Amazon. GuardDuty Per ulteriori informazioni, consulta la AWS OrganizationsGuida per l'utente.
Quando si integra Security Hub eAWS Organizations, l'account di gestione Organizations designa un amministratore delegato di Security Hub. Security Hub viene abilitato automaticamente nell'account amministratore delegato Regione AWS in cui è stato designato.
Dopo aver designato un amministratore delegato, consigliamo di gestire gli account in Security Hub con configurazione centralizzata. Questo è il modo più efficiente per personalizzare Security Hub e garantire un'adeguata copertura di sicurezza per l'organizzazione.
La configurazione centrale consente all'amministratore delegato di personalizzare Security Hub su più account e regioni dell'organizzazione anziché configurare regione per regione. È possibile creare una politica di configurazione per l'intera organizzazione o creare politiche di configurazione diverse per account e unità organizzative diversi. Le policy specificano se Security Hub è abilitato o disabilitato negli account associati e quali standard e controlli di sicurezza sono abilitati.
L'amministratore delegato può designare gli account come gestiti centralmente o autogestiti. Gli account gestiti centralmente sono configurabili solo dall'amministratore delegato. Gli account autogestiti possono specificare le proprie impostazioni.
Se non si attiva la configurazione centralizzata, l'amministratore delegato ha una capacità più limitata di configurare Security Hub, chiamata configurazione locale. Nella configurazione locale, l'amministratore delegato può abilitare automaticamente Security Hub e gli standard di sicurezza predefiniti nei nuovi account dell'organizzazione nella regione corrente. Tuttavia, gli account esistenti non utilizzano queste impostazioni, quindi è possibile che si verifichi una variazione della configurazione dopo che un account si unisce all'organizzazione.
Oltre a queste nuove impostazioni dell'account, la configurazione locale è specifica dell'account e della regione. Ogni account dell'organizzazione deve configurare il servizio, gli standard e i controlli Security Hub separatamente in ciascuna regione. Inoltre, la configurazione locale non supporta l'uso di politiche di configurazione.
Gestione manuale degli account tramite invito
È necessario gestire manualmente gli account dei membri su invito in Security Hub se si dispone di un account autonomo o se non si esegue l'integrazione con Organizations. Un account autonomo non può integrarsi con Organizations, quindi è necessario gestirlo manualmente. Ti consigliamo di integrare AWS Organizations e utilizzare la configurazione centrale se aggiungi altri account in futuro.
Quando si utilizza la gestione manuale degli account, si designa un account come amministratore del Security Hub. L'account amministratore può visualizzare i dati negli account dei membri e intraprendere determinate azioni in base ai risultati degli account dei membri. L'amministratore del Security Hub invita altri account a diventare account membro e la relazione amministratore-membro viene stabilita quando un potenziale account membro accetta l'invito.
La gestione manuale degli account non supporta l'uso di politiche di configurazione. Senza criteri di configurazione, l'amministratore non può personalizzare centralmente Security Hub configurando impostazioni variabili per account diversi. Invece, ogni account dell'organizzazione deve abilitare e configurare Security Hub separatamente in ogni regione. Ciò può rendere più difficile e dispendioso in termini di tempo garantire un'adeguata copertura di sicurezza in tutti gli account e le regioni in cui si utilizza Security Hub. Ciò può anche causare variazioni nella configurazione, in quanto gli account membri possono specificare le proprie impostazioni senza alcun intervento da parte dell'amministratore.
Per gestire gli account su invito, consultaGestione degli account tramite invito.
