Abilita Security Hub per un'organizzazione Abilita Security Hub per l'amministratore delegato Abilitare Security Hub per un account autonomo

Abilitazione del Security Hub

Nota

Security Hub è in versione di anteprima ed è soggetto a modifiche.

Puoi abilitare Security Hub per qualsiasi Account AWS. Le procedure in questo argomento descrivono come abilitare Security Hub da un account di gestione AWS dell'organizzazione, un account amministratore delegato e un account autonomo.

Nota

Dopo aver abilitato Security Hub, le esposizioni nell'ambiente vengono analizzate immediatamente. Tuttavia, puoi attendere fino a 6 ore prima di ricevere un riscontro sull'esposizione di una risorsa.

Abilita Security Hub per un'organizzazione

La procedura in questa sezione descrive come abilitare Security Hub per l'account di gestione AWS dell'organizzazione. La procedura presuppone che sia stato impostato un amministratore delegato per Security Hub CSPM e include un passaggio in cui è possibile impostare un amministratore delegato per l'organizzazione in Security Hub. Per ulteriori informazioni sull'impostazione di un amministratore delegato in Security Hub, vedere Impostazione di un account amministratore delegato in Security Hub.

Se si decide di impostare un amministratore delegato per Security Hub durante l'abilitazione, sarà necessario creare una politica delle risorse nella AWS Organizations console che consenta all'amministratore delegato di eseguire azioni per conto dell'organizzazione. È possibile utilizzare il seguente esempio di politica delle risorse per l'account amministratore delegato.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Statement",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::delegated-administrator-account-id:root"
      },
      "Action": [
        "organizations:AttachPolicy",
        "organizations:CreatePolicy",
        "organizations:DetachPolicy",
        "organizations:DeletePolicy",
        "organizations:UpdatePolicy",
        "organizations:ListPolicies",
        "organizations:ListPoliciesForTarget",
        "organizations:ListTargetsForPolicy",
        "organizations:DescribePolicy",
        "organizations:DescribeEffectivePolicy",
        "organizations:DisablePolicyType",
        "organizations:EnablePolicyType"
      ],
      "Resource": "*"
    }
  ]
}

Se non si imposta un amministratore delegato, è possibile impostare un amministratore delegato in un secondo momento. Per ulteriori informazioni, vedere Impostazione di un account amministratore delegato in Security Hub. L'argomento include una procedura che descrive come impostare un amministratore delegato per l'organizzazione dalla pagina Generale della console Security Hub.

La procedura seguente descrive come impostare un account amministratore delegato per l'organizzazione in Security Hub.

Per abilitare Security Hub per un account di gestione AWS dell'organizzazione

Accedi al tuo AWS account con le credenziali dell'account di gestione AWS dell'organizzazione. Apri la console Security Hub su https://console.aws.amazon.com/securityhub/v2/home.
Dalla home page di Security Hub, seleziona Security Hub. Scegli Avvia.
(Facoltativo) Per l'account amministratore delegato, imposta un amministratore delegato in base alle opzioni fornite. Come best practice, consigliamo di utilizzare lo stesso amministratore delegato per tutti i servizi di sicurezza per una governance coerente. Per ulteriori informazioni sull'impostazione di un account amministratore delegato, vedere Impostazione di un account amministratore delegato in Security Hub.
(Facoltativo) Per abilitare l'account, seleziona la casella per abilitare Security Hub per il tuo AWS account.
Scegli Copia e allega per aprire le impostazioni dell'organizzazione. Nella console Organizations, seleziona Delegato in Amministratore delegato per AWS Organizations e incolla la politica delle risorse. Scegli Crea politica.
Vai alla console Security Hub. Scegli Configura.

Quando abiliti Security Hub, nel tuo account viene creato un ruolo collegato al servizio chiamato AWSServiceRoleForSecurityHubV2 e al tuo account viene aggiunto un registratore collegato al servizio. Un registratore collegato al servizio è un tipo di registratore gestito da un servizio in grado di AWS Config registrare i dati di configurazione su risorse specifiche del servizio. AWS Con un registratore collegato al servizio, Security Hub consente un approccio basato sugli eventi per ottenere gli elementi di configurazione delle risorse necessari per la copertura dell'analisi dell'esposizione. Un registratore collegato al servizio è configurato singolarmente. Account AWS Regione AWS

Nota

Se si imposta un amministratore delegato, l'amministratore delegato può creare e applicare una politica che gli consente di abilitare e disabilitare gli account dei membri per Security Hub. Per ulteriori informazioni, vedere Creazione di una politica come amministratore delegato per la gestione degli account dei membri.

Abilita Security Hub per l'amministratore delegato

Se l'account di gestione AWS dell'organizzazione imposta un amministratore delegato per la propria organizzazione, l'amministratore delegato deve abilitare Security Hub per il proprio account. La procedura seguente deve essere completata dall'amministratore delegato, ma solo se l'amministratore delegato non ha abilitato Security Hub per il proprio account. Per informazioni sull'impostazione di un amministratore delegato, vedere Impostazione di un account amministratore delegato in Security Hub.

Per abilitare Security Hub per un account amministratore delegato

Accedi al tuo AWS account con le credenziali di amministratore delegato e apri la console Security Hub su https://console.aws.amazon.com/securityhub/ v2/home.
Dalla home page di Security Hub, seleziona Security Hub e scegli Inizia.
Scegli Abilita .
(Facoltativo) Per i tag, stabilisci se aggiungere una coppia chiave-valore alla configurazione dell'account.
Scegli Vai a Security Hub.

Nota

In qualità di amministratore delegato di un'organizzazione, puoi creare e applicare una politica che ti consenta di abilitare e disabilitare gli account dei membri per Security Hub. Per ulteriori informazioni, vedere Creazione di una politica come amministratore delegato per la gestione degli account dei membri.

Abilitare Security Hub per un account autonomo

La procedura seguente descrive come abilitare Security Hub per un account autonomo. Esistono due tipi di account autonomi che possono abilitare Security Hub: uno Account AWS non interno all'organizzazione e uno Account AWS interno all'organizzazione. Un Account AWS interno di un' AWS organizzazione può essere un Account AWS luogo in cui un amministratore delegato attribuisce una AWS Organizations politica a. Account AWS Per ulteriori informazioni, consulta le politiche di Security Hub nella Guida AWS Organizations per l'utente.

Per abilitare Security Hub per un account autonomo

Accedi al tuo AWS account con le tue credenziali e apri la console Security Hub su https://console.aws.amazon.com/securityhub/v2/home.
Dalla home page di Security Hub, seleziona Security Hub e scegli Inizia.
Scegli Abilita .

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Nozioni di base

Impostazione di un account amministratore delegato in Security Hub