AWS Security Hub e AWS Organizations - AWS Organizations
Funções vinculadas a serviçoEntidades de serviço primáriasHabilitar acesso confiávelDesabilitar acesso confiávelHabilitando um administrador delegado para o Security HubDesabilitando um administrador delegado para o Security Hub

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

AWS Security Hub e AWS Organizations

AWS Security Hub fornece uma visão abrangente do seu estado de segurança AWS e ajuda você a verificar seu ambiente em relação aos padrões e às melhores práticas do setor de segurança.

O Security Hub coleta dados de segurança de todos os seus serviços Contas da AWS, dos AWS serviços que você usa e dos produtos de parceiros terceirizados compatíveis. Ele ajuda você a analisar suas tendências de segurança e a identificar os problemas de segurança de maior prioridade.

Ao usar o Security Hub e AWS Organizations em conjunto, você pode habilitar automaticamente o Security Hub para todas as suas contas, incluindo novas contas à medida que elas são adicionadas. Isso aumenta a cobertura para as verificações e as detecções do Security Hub, o que fornece uma imagem mais completa e exata do seu procedimento de segurança em geral.

Para obter mais informações sobre o Security Hub, consulte o Guia do usuário do AWS Security Hub.

Use as informações a seguir para ajudá-lo a se integrar AWS Security Hub com AWS Organizations.

Funções vinculadas ao serviço, criadas quando você habilitou a integração

A função vinculada ao serviço a seguir é criada automaticamente na conta de gerenciamento de sua organização quando você habilita o acesso confiável. Essa função permite que o Security Hub realize as operações suportadas nas contas de sua organização.

Você só pode excluir ou modificar essa função se desabilitar o acesso confiável entre o Security Hub e o Organizations, ou se remover a conta-membro da organização.

  • AWSServiceRoleForSecurityHub

Entidades de serviço primárias usadas pelas funções vinculadas ao serviço

A função vinculada ao serviço na seção anterior pode ser assumida apenas pelas entidades de serviço primárias autorizadas pelas relações de confiança definidas para a função. As funções vinculadas ao serviço usadas pelo Security Hub concedem acesso às seguintes entidades de serviço primárias:

  • securityhub.amazonaws.com

Habilitar o acesso confiável no Security Hub

Para obter informações sobre as permissões necessárias para habilitar acesso confiável, consulte Permissões necessárias para habilitar o acesso confiável.

Quando você designa um administrador delegado para o Security Hub, o Security Hub habilita automaticamente o acesso confiável para o Security Hub em sua organização.

Desabilitando o acesso confiável com o Security Hub

Para obter informações sobre as permissões necessárias para desativar o acesso confiável, consulte Permissões necessárias para desativar o acesso confiável no Guia AWS Organizations do usuário.

Antes de desabilitar o acesso confiável, recomendamos trabalhar com o administrador delegado da sua organização para desabilitar o Security Hub em contas-membro e limpar os recursos do Security Hub nessas contas.

Você pode desativar o acesso confiável usando o AWS Organizations console, a API Organizations ou AWS CLI o. Somente um administrador da conta de gerenciamento do Organizations pode desativar o acesso confiável com o Security Hub.

Para obter instruções sobre como desativar o acesso confiável com o Security Hub, consulte Desabilitando a integração do Security Hub com. AWS Organizations

Habilitando um administrador delegado para o Security Hub

Quando você designa uma conta-membro como administrador delegado para a organização, os usuários e funções dessa conta podem executar ações administrativas para o Security Hub que, de outra forma, só podem ser executadas por usuários ou funções na conta de gerenciamento da organização. Isso ajuda você a separar o gerenciamento da organização do gerenciamento do Security Hub.

Para obter mais informações, consulte Designar uma conta de administrador do Security Hub no Guia do usuário do AWS Security Hub .

Para designar uma conta-membro como administrador delegado do Security Hub

  1. Faça login com a sua conta de gerenciamento do Organizations.

  2. Execute um dos seguintes:

    • Se sua conta de gerenciamento não tiver o Security Hub habilitado, no console do Security Hub, escolha Go to Security Hub (Ir para o Security Hub).

    • Se sua conta de gerenciamento tiver o Security Hub ativado, no console do Security Hub, em Geral, escolha Configurações.

  3. Em Delegated Administrator (Administrador delegado), insira o ID da conta.

Desabilitando um administrador delegado para o Security Hub

Somente a conta de gerenciamento da organização pode remover a conta delegada do administrador do Security Hub.

Para alterar o administrador delegado do Security Hub, você deve primeiro remover a conta atual do administrador delegado e depois designar uma nova.

Se você usar o console do Security Hub para remover o administrador delegado em uma região, ele será removido automaticamente em todas as regiões.

A API do Security Hub remove somente a conta delegada do administrador do Security Hub da região em que a chamada ou o comando da API é emitido. Você deve repetir a ação em outras regiões.

Se você usar a API Organizations para remover a conta delegada do administrador do Security Hub, ela será removida automaticamente em todas as regiões.

Para obter instruções sobre como desativar o administrador delegado do Security Hub, consulte Removendo ou alterando o administrador delegado.