Comparando metas gerenciadas centralmente e autogerenciadas

Quando você ativa a configuração central, o delegado AWS Security Hub o administrador pode designar cada conta da organização, unidade organizacional (OU) e raiz como gerenciadas centralmente ou autogerenciadas. O tipo de gerenciamento de um alvo determina como você pode especificar suas configurações do Security Hub.

Para obter informações básicas sobre os benefícios da configuração central e como ela funciona, consulteEntendendo a configuração central no Security Hub.

Esta seção explica as diferenças entre uma designação gerenciada centralmente e uma autogerenciada e como escolher o tipo de gerenciamento de uma conta, UO ou raiz.

Autogerenciado

O proprietário de uma conta autogerenciada, OU ou raiz deve definir suas configurações separadamente em cada Região da AWS. O administrador delegado não pode criar políticas de configuração para destinos autogerenciados.

Gerenciada centralmente

Somente o administrador delegado do Security Hub pode definir as configurações das contas gerenciadas centralmente ou da raiz na região de origem e nas regiões vinculadas. OUs As políticas de configuração podem ser associadas a contas gerenciadas centralmente e. OUs

O administrador delegado pode alternar o status de um alvo entre autogerenciado e gerenciado centralmente. Por padrão, todas as contas e UO são autogerenciadas quando você inicia a configuração central por meio do Security HubAPI. No console, o tipo de gerenciamento dependerá da sua primeira política de configuração. As contas OUs que você associa à sua primeira política são gerenciadas centralmente. Outras contas e OUs são autogerenciadas por padrão.

Se você associar uma política de configuração a uma conta autogerenciada, as configurações da política substituirão a designação autogerenciada. A conta é gerenciada centralmente e adota as configurações refletidas na política de configuração.

A criança conta e OUs pode herdar o comportamento autogerenciado de um pai autogerenciado, da mesma forma que contas secundárias e OUs pode herdar políticas de configuração de um pai gerenciado centralmente. Para obter mais informações, consulte Associação de políticas por meio de aplicação e herança.

Uma conta autogerenciada ou OU não pode herdar uma política de configuração de um nó pai ou da raiz. Por exemplo, se você quiser que todas as contas e OUs em sua organização herdem uma política de configuração da raiz, você deve alterar o tipo de gerenciamento dos nós autogerenciados para gerenciados centralmente.

Opções para definir configurações em contas autogerenciadas

As contas autogerenciadas devem definir suas próprias configurações separadamente em cada região.

Os proprietários de contas autogerenciadas podem invocar as seguintes operações do Security Hub API em cada região para definir suas configurações:

• EnableSecurityHub e DisableSecurityHub para habilitar ou desabilitar o serviço Security Hub

• BatchEnableStandards e BatchDisableStandards para habilitar ou desabilitar padrões

• BatchUpdateStandardsControlAssociations ou UpdateStandardsControl para habilitar ou desabilitar

Contas autogerenciadas também podem ser usadas *Invitations e *Members operadas. No entanto, recomendamos que as contas autogerenciadas não usem essas operações. As associações de políticas podem falhar se a conta de um membro tiver seus próprios membros que fazem parte de uma organização diferente da do administrador delegado.

Para obter descrições das API ações do Security Hub, consulte o AWS Security Hub APIReferência .

As contas autogerenciadas também podem usar o console do Security Hub ou AWS CLI para definir suas configurações em cada região.

As contas autogerenciadas não podem invocar nenhuma APIs relacionada às políticas de configuração e associações de políticas do Security Hub. Somente o administrador delegado pode invocar a configuração central APIs e usar políticas de configuração para configurar contas gerenciadas centralmente.