Abilitazione della configurazione centrale in Security Hub CSPM - AWS Security Hub
Prerequisiti per la configurazione centraleIstruzioni per abilitare la configurazione centrale

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Abilitazione della configurazione centrale in Security Hub CSPM

L'account amministratore delegato AWS di Security Hub CSPM può utilizzare la configurazione centrale per configurare CSPM, standard e controlli di Security Hub per più account e unità organizzative () in tutto. OUs Regioni AWS

Per informazioni di base sui vantaggi della configurazione centralizzata e su come funziona, consulta. Comprendere la configurazione centrale in Security Hub CSPM

Questa sezione spiega i prerequisiti per la configurazione centrale e come iniziare a utilizzarla.

Prerequisiti per la configurazione centrale

Prima di poter iniziare a utilizzare la configurazione centrale, è necessario integrare Security Hub CSPM AWS Organizations e designare una regione di residenza. Se si utilizza la console Security Hub CSPM, questi prerequisiti sono inclusi nel flusso di lavoro di attivazione per la configurazione centrale.

Integrazione con Organizations

È necessario integrare Security Hub CSPM e Organizations per utilizzare la configurazione centrale.

Per integrare questi servizi, è necessario innanzitutto creare un'organizzazione in Organizations. Dall'account di gestione Organizations, si designa quindi un account amministratore delegato CSPM di Security Hub. Per istruzioni, consultare Integrazione del Security Hub CSPM con AWS Organizations.

Assicurati di designare l'amministratore delegato nella regione di residenza desiderata. Quando inizi a utilizzare la configurazione centrale, lo stesso amministratore delegato viene impostato automaticamente anche in tutte le regioni collegate. L'account di gestione Organizations non può essere impostato come account amministratore delegato.

Importante

Quando si utilizza la configurazione centrale, non è possibile utilizzare la console CSPM di Security Hub o il CSPM di Security Hub APIs per modificare o rimuovere l'account amministratore delegato. Se l'account di gestione Organizations utilizza l'account di gestione AWS Organizations APIs per modificare o rimuovere l'amministratore delegato di Security Hub CSPM, Security Hub CSPM interrompe automaticamente la configurazione centrale. Inoltre, le policy di configurazione vengono dissociate ed eliminate. Gli account dei membri mantengono la configurazione che avevano prima della modifica o della rimozione dell'amministratore delegato.

Designare una regione d'origine

È necessario designare una regione d'origine per utilizzare la configurazione centralizzata. La regione d'origine è la regione da cui l'amministratore delegato configura l'organizzazione.

Nota

La regione d'origine non può essere una regione AWS designata come regione opt-in. Per impostazione predefinita, una regione che prevede l'attivazione è disattivata. Per un elenco delle regioni che hanno aderito, consulta Considerazioni prima di abilitare e disabilitare le regioni nella Guida di riferimento per la gestione degli AWS account.

Facoltativamente, puoi specificare una o più regioni collegate configurabili dalla regione di origine.

L'amministratore delegato può creare e gestire le politiche di configurazione solo dalla regione di origine. Le politiche di configurazione hanno effetto nella regione di origine e in tutte le regioni collegate. Non è possibile creare una politica di configurazione che si applichi solo a un sottoinsieme di queste regioni e non ad altre. L'eccezione è rappresentata dai controlli che coinvolgono risorse globali. Se si utilizza la configurazione centrale, Security Hub CSPM disattiva automaticamente i controlli che coinvolgono risorse globali in tutte le regioni tranne la regione di origine. Per ulteriori informazioni, consulta Controlli che utilizzano risorse globali.

La regione di origine è anche la regione di aggregazione CSPM del Security Hub che riceve risultati, approfondimenti e altri dati dalle regioni collegate.

Se hai già impostato una regione di aggregazione per l'aggregazione tra regioni, questa è la tua regione principale predefinita per la configurazione centrale. Puoi modificare la regione di residenza prima di iniziare a utilizzare la configurazione centrale eliminando l'aggregatore di ricerca corrente e creandone uno nuovo nella regione di residenza desiderata. Un aggregatore di risultati è una risorsa CSPM di Security Hub che specifica la regione di origine e le regioni collegate.

Per designare una regione di origine, consulta i passaggi per impostare una regione di aggregazione. Se disponi già di una regione di residenza, puoi richiamare l'GetFindingAggregatorAPI per visualizzarne i dettagli, incluse le regioni attualmente collegate.

Istruzioni per abilitare la configurazione centrale

Scegliete il metodo preferito e seguite i passaggi per abilitare la configurazione centralizzata per la vostra organizzazione.

Security Hub CSPM console
Per abilitare la configurazione centrale (console)

  1. Aprire la console CSPM AWS di Security Hub all'indirizzo. https://console.aws.amazon.com/securityhub/

  2. Nel pannello di navigazione, scegli Impostazioni e configurazione. Quindi, scegli Avvia configurazione centrale.

    Se stai effettuando l'onboarding su Security Hub CSPM, scegli Vai a Security Hub CSPM.

  3. Nella pagina Designare un amministratore delegato, seleziona il tuo account amministratore delegato o inserisci l'ID dell'account. Se applicabile, ti consigliamo di scegliere lo stesso amministratore delegato che hai impostato per altri servizi di AWS sicurezza e conformità. Scegli Imposta amministratore delegato.

  4. Nella pagina Centralizza l'organizzazione, nella sezione Regioni, seleziona la tua regione d'origine. Devi aver effettuato l'accesso alla regione d'origine per procedere. Se hai già impostato una regione di aggregazione per l'aggregazione tra regioni, viene visualizzata come regione principale. Per modificare la regione d'origine, scegli Modifica impostazioni della regione. Puoi quindi selezionare la tua regione d'origine preferita e tornare a questo flusso di lavoro.

  5. Seleziona almeno una regione da collegare alla regione d'origine. Facoltativamente, scegli se collegare automaticamente le future regioni supportate alla regione d'origine. Le regioni selezionate qui saranno configurabili dalla regione d'origine dall'amministratore delegato. Le politiche di configurazione hanno effetto nella regione di origine e in tutte le regioni collegate.

  6. Scegli Conferma e continua.

  7. Ora puoi usare la configurazione centrale. Continua a seguire le istruzioni della console per creare la tua prima politica di configurazione. Se non sei ancora pronto per creare una politica di configurazione, scegli Non sono ancora pronto per la configurazione. Puoi creare una politica in un secondo momento scegliendo Impostazioni e configurazione nel riquadro di navigazione. Per istruzioni sulla creazione di una politica di configurazione, consultaCreazione e associazione di policy di configurazione.

Security Hub CSPM API
Per abilitare la configurazione centrale (API)

  1. Utilizzando le credenziali dell'account amministratore delegato, richiama l'UpdateOrganizationConfigurationAPI dalla regione di origine.

  2. Imposta il campo su. AutoEnable false

  3. Imposta il ConfigurationType campo nell'OrganizationConfigurationoggetto suCENTRAL. Questa azione ha il seguente impatto:

    • Designa l'account chiamante come amministratore delegato CSPM di Security Hub in tutte le regioni collegate.

    • Abilita Security Hub CSPM nell'account amministratore delegato in tutte le regioni collegate.

    • Designa l'account chiamante come amministratore delegato CSPM di Security Hub per gli account nuovi ed esistenti che utilizzano Security Hub CSPM e appartengono all'organizzazione. Ciò si verifica nella regione d'origine e in tutte le regioni collegate. L'account chiamante viene impostato come amministratore delegato per i nuovi account dell'organizzazione solo se sono associati a una politica di configurazione con Security Hub CSPM abilitato. L'account chiamante viene impostato come amministratore delegato per gli account dell'organizzazione esistenti solo se hanno già abilitato Security Hub CSPM.

    • Viene AutoEnableimpostato su false in tutte le regioni collegate e viene impostato AutoEnableStandardssu NONE nella regione di origine e in tutte le regioni collegate. Questi parametri non sono rilevanti nella home page e nelle aree collegate quando si utilizza la configurazione centrale, ma è possibile abilitare automaticamente Security Hub CSPM e gli standard di sicurezza predefiniti negli account dell'organizzazione tramite l'uso di policy di configurazione.

  4. È ora possibile utilizzare la configurazione centrale. L'amministratore delegato può creare policy di configurazione per configurare Security Hub CSPM nell'organizzazione. Per istruzioni sulla creazione di una politica di configurazione, vedere. Creazione e associazione di policy di configurazione

Esempio di richiesta API:

{
    "AutoEnable": false,
    "OrganizationConfiguration": {
        "ConfigurationType": "CENTRAL"
    }
}
AWS CLI
Per abilitare la configurazione centrale (AWS CLI)

  1. Utilizzando le credenziali dell'account amministratore delegato, esegui il update-organization-configurationcomando dalla regione di origine.

  2. Includere il parametro no-auto-enable.

  3. Imposta il ConfigurationType campo nell'organization-configurationoggetto su. CENTRAL Questa azione ha il seguente impatto:

    • Designa l'account chiamante come amministratore delegato CSPM di Security Hub in tutte le regioni collegate.

    • Abilita Security Hub CSPM nell'account amministratore delegato in tutte le regioni collegate.

    • Designa l'account chiamante come amministratore delegato CSPM di Security Hub per gli account nuovi ed esistenti che utilizzano Security Hub CSPM e appartengono all'organizzazione. Ciò si verifica nella regione d'origine e in tutte le regioni collegate. L'account chiamante viene impostato come amministratore delegato per i nuovi account dell'organizzazione solo se sono associati a una politica di configurazione con Security Hub abilitato. L'account chiamante viene impostato come amministratore delegato per gli account dell'organizzazione esistenti solo se hanno già abilitato Security Hub CSPM.

    • Imposta l'opzione di attivazione automatica su tutte le regioni collegate e imposta su no-auto-enablenella regione auto-enable-standardsdi origine e NONE in tutte le regioni collegate. Questi parametri non sono rilevanti nella home page e nelle aree collegate quando si utilizza la configurazione centrale, ma è possibile abilitare automaticamente Security Hub CSPM e gli standard di sicurezza predefiniti negli account dell'organizzazione tramite l'uso di policy di configurazione.

  4. È ora possibile utilizzare la configurazione centrale. L'amministratore delegato può creare policy di configurazione per configurare Security Hub CSPM nell'organizzazione. Per istruzioni sulla creazione di una politica di configurazione, vedere. Creazione e associazione di policy di configurazione

Comando di esempio:

aws securityhub --region us-east-1 update-organization-configuration \
--no-auto-enable \
--organization-configuration '{"ConfigurationType": "CENTRAL"}'