Abilitazione della configurazione centrale in Security Hub - AWS Security Hub
Prerequisiti per la configurazione centraleIstruzioni per abilitare la configurazione centrale

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Abilitazione della configurazione centrale in Security Hub

L'account AWS Security Hub amministratore delegato può utilizzare la configurazione centrale per configurare Security Hub, gli standard e i controlli per più account e unità organizzative (OUs) in tutto Regioni AWS.

Per informazioni di base sui vantaggi della configurazione centralizzata e su come funziona, consultaComprendere la configurazione centrale in Security Hub.

Questa sezione spiega i prerequisiti per la configurazione centrale e come iniziare a utilizzarla.

Prerequisiti per la configurazione centrale

Prima di iniziare a utilizzare la configurazione centralizzata, è necessario integrare Security Hub AWS Organizations e designare una regione di residenza. Se si utilizza la console Security Hub, questi prerequisiti sono inclusi nel flusso di lavoro di attivazione per la configurazione centralizzata.

Integrazione con Organizations

È necessario integrare Security Hub and Organizations per utilizzare la configurazione centrale.

Per integrare questi servizi, è necessario innanzitutto creare un'organizzazione in Organizations. Dall'account di gestione Organizations, si designa quindi un account amministratore delegato di Security Hub. Per istruzioni, consulta Integrazione del Security Hub con AWS Organizations.

Assicurati di designare l'amministratore delegato nella regione di residenza desiderata. Quando inizi a utilizzare la configurazione centrale, lo stesso amministratore delegato viene impostato automaticamente anche in tutte le regioni collegate. L'account di gestione Organizations non può essere impostato come account amministratore delegato.

Importante

Quando si utilizza la configurazione centrale, non è possibile utilizzare la console Security Hub o Security Hub APIs per modificare o rimuovere l'account amministratore delegato. Se l'account di gestione Organizations utilizza l'account di gestione AWS Organizations APIs per modificare o rimuovere l'amministratore delegato di Security Hub, Security Hub interrompe automaticamente la configurazione centrale. Inoltre, le policy di configurazione vengono dissociate ed eliminate. Gli account dei membri mantengono la configurazione che avevano prima della modifica o della rimozione dell'amministratore delegato.

Designare una regione d'origine

È necessario designare una regione d'origine per utilizzare la configurazione centralizzata. La regione d'origine è la regione da cui l'amministratore delegato configura l'organizzazione.

Nota

La regione d'origine non può essere una regione AWS designata come regione opt-in. Per impostazione predefinita, una regione che prevede l'attivazione è disattivata. Per un elenco delle regioni che hanno aderito, consulta Considerazioni prima di abilitare e disabilitare le regioni nella Guida di riferimento per la gestione degli AWS account.

Facoltativamente, puoi specificare una o più regioni collegate configurabili dalla regione di origine.

L'amministratore delegato può creare e gestire le politiche di configurazione solo dalla regione di origine. Le politiche di configurazione hanno effetto nella regione di origine e in tutte le regioni collegate. Non è possibile creare una politica di configurazione che si applichi solo a un sottoinsieme di queste regioni e non ad altre. L'eccezione è rappresentata dai controlli che coinvolgono risorse globali. Se si utilizza la configurazione centrale, Security Hub disattiva automaticamente i controlli che coinvolgono risorse globali in tutte le regioni tranne la regione di origine. Per ulteriori informazioni, consulta Controlli che utilizzano risorse globali.

La regione di origine è anche la regione di aggregazione del Security Hub che riceve risultati, approfondimenti e altri dati dalle regioni collegate.

Se hai già impostato una regione di aggregazione per l'aggregazione tra regioni, questa è la tua regione principale predefinita per la configurazione centrale. Puoi modificare la regione di residenza prima di iniziare a utilizzare la configurazione centrale eliminando l'aggregatore di ricerca corrente e creandone uno nuovo nella regione di residenza desiderata. Un aggregatore di risultati è una risorsa del Security Hub che specifica la regione di origine e le regioni collegate.

Per designare una regione di origine, consulta i passaggi per impostare una regione di aggregazione. Se hai già una regione d'origine, puoi richiamare la GetFindingAggregatorAPI per visualizzarne i dettagli, incluse le regioni attualmente collegate.

Istruzioni per abilitare la configurazione centrale

Scegli il tuo metodo preferito e segui i passaggi per abilitare la configurazione centralizzata per la tua organizzazione.

Security Hub console
Per abilitare la configurazione centrale (console)

  1. Aprire la AWS Security Hub console all'indirizzo https://console.aws.amazon.com/securityhub/.

  2. Nel riquadro di navigazione, scegli Impostazioni e configurazione. Quindi, scegli Avvia configurazione centrale.

    Se stai effettuando l'onboarding su Security Hub, scegli Vai a Security Hub.

  3. Nella pagina Designare un amministratore delegato, seleziona il tuo account di amministratore delegato o inserisci l'ID dell'account. Se applicabile, ti consigliamo di scegliere lo stesso amministratore delegato che hai impostato per altri servizi di AWS sicurezza e conformità. Scegli Imposta amministratore delegato.

  4. Nella pagina Centralizza l'organizzazione, nella sezione Regioni, seleziona la tua regione d'origine. Devi aver effettuato l'accesso alla regione d'origine per procedere. Se hai già impostato una regione di aggregazione per l'aggregazione tra regioni, viene visualizzata come regione principale. Per modificare la regione d'origine, scegli Modifica impostazioni della regione. Puoi quindi selezionare la tua regione d'origine preferita e tornare a questo flusso di lavoro.

  5. Seleziona almeno una regione da collegare alla regione d'origine. Facoltativamente, scegli se collegare automaticamente le future regioni supportate alla regione d'origine. Le regioni selezionate qui saranno configurabili dalla regione d'origine dall'amministratore delegato. Le politiche di configurazione hanno effetto nella regione di origine e in tutte le regioni collegate.

  6. Scegli Conferma e continua.

  7. Ora puoi usare la configurazione centrale. Continua a seguire le istruzioni della console per creare la tua prima politica di configurazione. Se non sei ancora pronto per creare una politica di configurazione, scegli Non sono ancora pronto a configurare. Puoi creare una politica in un secondo momento scegliendo Impostazioni e configurazione nel riquadro di navigazione. Per istruzioni sulla creazione di una politica di configurazione, consultaCreazione e associazione di policy di configurazione.

Security Hub API
Per abilitare la configurazione centrale (API)

  1. Utilizzando le credenziali dell'account amministratore delegato, richiamate il UpdateOrganizationConfigurationAPI dalla regione di origine.

  2. Imposta il AutoEnable campo sufalse.

  3. Imposta il ConfigurationType campo nell'OrganizationConfigurationoggetto suCENTRAL. Questa azione ha il seguente impatto:

    • Designa l'account chiamante come amministratore delegato del Security Hub in tutte le regioni collegate.

    • Abilita Security Hub nell'account amministratore delegato in tutte le regioni collegate.

    • Designa l'account chiamante come amministratore delegato di Security Hub per gli account nuovi ed esistenti che utilizzano Security Hub e appartengono all'organizzazione. Ciò si verifica nella regione d'origine e in tutte le regioni collegate. L'account chiamante viene impostato come amministratore delegato per i nuovi account dell'organizzazione solo se sono associati a una politica di configurazione con Security Hub abilitato. L'account chiamante viene impostato come amministratore delegato per gli account dell'organizzazione esistenti solo se hanno già abilitato Security Hub.

    • Set AutoEnablea false in tutte le regioni collegate e set AutoEnableStandardsNONEnella regione d'origine e in tutte le regioni collegate. Questi parametri non sono rilevanti nella home page e nelle regioni collegate quando si utilizza la configurazione centrale, ma è possibile abilitare automaticamente Security Hub e gli standard di sicurezza predefiniti negli account dell'organizzazione tramite l'uso di policy di configurazione.

  4. Ora puoi usare la configurazione centrale. L'amministratore delegato può creare policy di configurazione per configurare Security Hub nell'organizzazione. Per istruzioni sulla creazione di una politica di configurazione, consultaCreazione e associazione di policy di configurazione.

Esempio di richiesta API:

{
    "AutoEnable": false,
    "OrganizationConfiguration": {
        "ConfigurationType": "CENTRAL"
    }
}
AWS CLI
Per abilitare la configurazione centrale (AWS CLI)

  1. Utilizzando le credenziali dell'account amministratore delegato, esegui update-organization-configurationcomando dalla regione di origine.

  2. Includere il parametro no-auto-enable.

  3. Imposta il ConfigurationType campo nell'organization-configurationoggetto suCENTRAL. Questa azione ha il seguente impatto:

    • Designa l'account chiamante come amministratore delegato del Security Hub in tutte le regioni collegate.

    • Abilita Security Hub nell'account amministratore delegato in tutte le regioni collegate.

    • Designa l'account chiamante come amministratore delegato di Security Hub per gli account nuovi ed esistenti che utilizzano Security Hub e appartengono all'organizzazione. Ciò si verifica nella regione d'origine e in tutte le regioni collegate. L'account chiamante viene impostato come amministratore delegato per i nuovi account dell'organizzazione solo se sono associati a una politica di configurazione con Security Hub abilitato. L'account chiamante viene impostato come amministratore delegato per gli account dell'organizzazione esistenti solo se hanno già abilitato Security Hub.

    • Imposta l'opzione di attivazione automatica su no-auto-enablein tutte le regioni collegate e set auto-enable-standardsNONEnella regione d'origine e in tutte le regioni collegate. Questi parametri non sono rilevanti nella home page e nelle regioni collegate quando si utilizza la configurazione centrale, ma è possibile abilitare automaticamente Security Hub e gli standard di sicurezza predefiniti negli account dell'organizzazione tramite l'uso di policy di configurazione.

  4. Ora puoi usare la configurazione centrale. L'amministratore delegato può creare policy di configurazione per configurare Security Hub nell'organizzazione. Per istruzioni sulla creazione di una politica di configurazione, consultaCreazione e associazione di policy di configurazione.

Comando di esempio:

aws securityhub --region us-east-1 update-organization-configuration \
--no-auto-enable \
--organization-configuration '{"ConfigurationType": "CENTRAL"}'