Opções para definir configurações em contas autogerenciadas Escolher o tipo de gerenciamento

Comparar metas gerenciadas centralmente e autogerenciadas

Quando você usa a configuração central, o administrador delegado do AWS Security Hub pode designar cada conta da organização, da unidade organizacional (UO) e da raiz como gerenciada centralmente ou autogerenciada. O tipo de gerenciamento de um alvo determina como você pode especificar suas configurações do Security Hub.

Para obter informações contextuais sobre os benefícios da configuração central e como ela funciona, consulte Entender a configuração central no Security Hub.

Esta seção explica as diferenças entre uma designação gerenciada centralmente e autogerenciada, e como escolher o tipo de gerenciamento de uma conta, de uma UO ou da raiz.

Autogerenciado: O proprietário de uma conta autogerenciada, de uma UO ou da raiz deve definir suas configurações em cada Região da AWS separadamente. O administrador delegado não pode criar políticas de configuração para alvos autogerenciados.
Gerenciada centralmente: Apenas o administrador delegado do Security Hub pode definir configurações para as contas, as UOs e a raiz gerenciadas centralmente na região inicial e nas regiões vinculadas. As políticas de configuração podem ser associadas a contas e OUs gerenciadas centralmente.

O administrador delegado pode alternar o status de um alvo entre autogerenciado e gerenciado centralmente. Por padrão, todas as contas e OUs são autogerenciadas quando você inicia a configuração central por meio da API do Security Hub. No console, o tipo de gerenciamento dependerá da sua primeira política de configuração. As contas e OUs que você associa à sua primeira política são gerenciadas centralmente. Outras contas e OUs são autogerenciadas por padrão.

Se você associar uma política de configuração a uma conta autogerenciada, as configurações da política substituirão a designação autogerenciada. A conta passará a ser gerenciada centralmente e adotará as configurações refletidas na política de configuração.

Contas filhas e OUs podem herdar o comportamento autogerenciado de uma conta pai autogerenciada, da mesma forma que contas filhas e OUs podem herdar políticas de configuração de uma conta pai gerenciada centralmente. Para obter mais informações, consulte Associação de políticas por meio de aplicação e herança.

Uma conta autogerenciada ou UO não pode herdar uma política de configuração de um nó superior ou da raiz. Por exemplo, se você quiser que todas as contas e UOs da sua organização herdem uma política de configuração da raiz, você deve alterar o tipo de gerenciamento dos nós autogerenciados para gerenciados centralmente.

Opções para definir configurações em contas autogerenciadas

As contas autogerenciadas devem definir suas próprias configurações separadamente em cada região.

Os proprietários de contas autogerenciadas podem invocar as seguintes operações da APIs do Security Hub em cada região para definir suas configurações:

EnableSecurityHub e DisableSecurityHub para habilitar ou desabilitar o serviço do Security Hub (se uma conta autogerenciada tiver um administrador delegado do Security Hub, o administrador deverá desassociar a conta antes que o proprietário da conta possa desabilitar o Security Hub).
BatchEnableStandards e BatchDisableStandards para habilitar ou desabilitar padrões
BatchUpdateStandardsControlAssociations ou UpdateStandardsControl para habilitar ou desabilitar

As contas autogerenciadas também podem usar as operações *Invitations e *Members. Porém, recomendamos que as contas autogerenciadas não usem essas operações. As associações de políticas podem não funcionar uma conta-membro tiver seus os próprios membros e eles fizerem parte de uma organização diferente da organização do administrador delegado.

Para obter descrições das ações da API do Security Hub, consulte a Referência da API do AWS Security Hub.

As contas autogerenciadas também podem usar o console do Security Hub ou a AWS CLI para definir suas configurações em cada região.

As contas autogerenciadas não podem invocar nenhuma API relacionada às políticas de configuração e associações de políticas do Security Hub. Somente o administrador delegado pode invocar APIs de configuração central e usar políticas de configuração para configurar contas gerenciadas centralmente.

Escolher o tipo de gerenciamento de um alvo

Escolha seu método preferido e siga as etapas para designar uma conta ou UO como gerenciada centralmente ou autogerenciada no AWS Security Hub.

Security Hub console

Para escolher o tipo de gerenciamento de uma conta ou OU

Abra o console do AWS Security Hub em https://console.aws.amazon.com/securityhub/.

Faça login usando as credenciais da conta do administrador delegado do Security Hub na região inicial.
Escolher configuração.
Na guia Organização, selecione a conta ou OU de destino. Selecione a opção Editar.
Na página Definir configuração, em Tipo de gerenciamento, escolha Gerenciada centralmente se quiser que o administrador delegado configure a conta ou OU de destino. Em seguida, escolha Aplicar uma política específica se quiser associar uma política de configuração existente ao destino. Escolha Herdar da minha organização se desejar que o destino herde a configuração do pai mais próximo. Escolha Autogerenciado se desejar que a conta ou OU defina suas próprias configurações.
Escolha Próximo. Revise suas alterações e escolha Salvar.

Security Hub API

Para escolher o tipo de gerenciamento de uma conta ou OU

Invoque a API StartConfigurationPolicyAssociation a partir da conta de administrador delegado do Security Hub na região inicial.
No campo ConfigurationPolicyIdentifier, forneça SELF_MANAGED_SECURITY_HUB se você deseja que a conta ou OU controle suas próprias configurações. Forneça o nome do recurso da Amazon (ARN) ou o ID da política de configuração relevante se quiser que o administrador delegado controle as configurações da conta ou da OU.
No campo Target, forneça o ID da Conta da AWS, ID da OU ou ID da raiz do destino cujo tipo de gerenciamento você deseja alterar. Isso associará o comportamento autogerenciado ou a política de configuração especificada ao destino. As contas filhas do destino podem herdar o comportamento autogerenciado ou a política de configuração.

Exemplo de solicitação de API para designar uma conta autogerenciada:


{
    "ConfigurationPolicyIdentifier": "SELF_MANAGED_SECURITY_HUB",
    "Target": {"AccountId": "123456789012"}
}

AWS CLI

Para escolher o tipo de gerenciamento de uma conta ou OU

Execute o comando start-configuration-policy-association a partir da conta de administrador delegado do Security Hub na região inicial.
No campo configuration-policy-identifier, forneça SELF_MANAGED_SECURITY_HUB se você deseja que a conta ou OU controle suas próprias configurações. Forneça o nome do recurso da Amazon (ARN) ou o ID da política de configuração relevante se quiser que o administrador delegado controle as configurações da conta ou da OU.
No campo target, forneça o ID da Conta da AWS, ID da OU ou ID da raiz do destino cujo tipo de gerenciamento você deseja alterar. Isso associará o comportamento autogerenciado ou a política de configuração especificada ao destino. As contas filhas do destino podem herdar o comportamento autogerenciado ou a política de configuração.

Exemplo de comando para designar uma conta autogerenciada:


aws securityhub --region us-east-1 start-configuration-policy-association \
--configuration-policy-identifier "SELF_MANAGED_SECURITY_HUB" \
--target '{"AccountId": "123456789012"}'

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Habilitar a configuração central

Como as políticas de configuração funcionam