As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Integrando o Security Hub com AWS Organizations
Para integrar AWS Security Hub e AWS Organizations, você cria uma organização no Organizations e usa a conta de gerenciamento da organização para designar uma conta delegada de administrador do Security Hub. Isso habilita o Security Hub como um serviço confiável em Organizations. Ele também ativa o Security Hub na atual Região da AWS para a conta de administrador delegado e permite que o administrador delegado habilite o Security Hub para contas de membros, visualize dados em contas de membros e execute outras ações permitidas em contas de membros.
Se você usar a configuração central, o administrador delegado também poderá criar políticas de configuração do Security Hub que especifiquem como o serviço, os padrões e os controles do Security Hub devem ser configurados nas contas da organização.
Criar uma organização
Uma organização é uma entidade que você cria para consolidar a sua Contas da AWS , de forma que você possa administrá-la como uma única unidade.
Você pode criar uma organização usando o AWS Organizations console ou usando um comando das APIs do SDK AWS CLI ou de uma delas. Para obter instruções detalhadas, consulte Criação de uma organização no Guia do usuário do AWS Organizations .
Você pode usar AWS Organizations para visualizar e gerenciar centralmente todas as contas em sua organização. Uma organização tem uma conta de gerenciamento primária com zero ou mais contas-membro. É possível organizar as contas em uma estrutura de árvore hierárquica, com uma raiz na parte superior e unidades organizacionais (OUs) aninhadas sob a raiz. Cada conta pode estar diretamente sob raiz ou posicionada em uma das OUs na hierarquia. Uma OU é um contêiner para contas específicas. Por exemplo, é possível criar uma OU de finanças que inclua todas as contas relacionadas a operações financeiras.
Recomendações para escolher o administrador delegado do Security Hub
Se você tiver uma conta de administrador criada a partir do processo de convite manual e estiver fazendo a transição para o gerenciamento de contas com AWS Organizations, recomendamos designar essa conta como administrador delegado do Security Hub.
Embora as APIs e o console do Security Hub permitam que a conta de gerenciamento da organização seja o administrador delegado do Security Hub, recomendamos escolher duas contas diferentes. Isso ocorre porque os usuários que têm acesso à conta de gerenciamento da organização para gerenciar o faturamento provavelmente são diferentes dos usuários que precisam acessar o Security Hub para gerenciamento de segurança.
Recomendamos o uso da mesma conta de administrador delegado nas regiões. Se você optar pela configuração central, o Security Hub designará automaticamente o mesmo administrador delegado em sua região inicial e em qualquer região vinculada.
Verifique as permissões para configurar o administrador delegado
Para designar e remover uma conta delegada de administrador do Security Hub, a conta de gerenciamento da organização deve ter permissões para as DisableOrganizationAdminAccount ações EnableOrganizationAdminAccount e no Security Hub. A conta de gerenciamento do Organizations também deve ter permissões administrativas para o Organizations.
Para conceder todas as permissões necessárias, anexe as seguintes políticas gerenciadas do Security Hub ao diretor do IAM da conta de gerenciamento da organização:
Designando o administrador delegado
Para designar a conta delegada de administrador do Security Hub, você pode usar o console do Security Hub, a API do Security Hub ou. AWS CLI O Security Hub define o administrador delegado Região da AWS somente no atual, e você deve repetir a ação em outras regiões. Se você começar a usar a configuração central, o Security Hub definirá automaticamente o mesmo administrador delegado na região inicial e nas regiões vinculadas.
A conta de gerenciamento da organização não precisa habilitar o Security Hub para designar a conta delegada de administrador do Security Hub.
Recomendamos que a conta de gerenciamento da organização não seja a conta delegada do administrador do Security Hub. No entanto, se você escolher a conta de gerenciamento da organização como administrador delegado do Security Hub, a conta de gerenciamento deverá ter o Security Hub ativado. Se a conta de gerenciamento não tiver o Security Hub habilitado, você deverá habilitar o Security Hub para ela manualmente. O Security Hub não pode ser ativado automaticamente para a conta de gerenciamento da organização.
nota
Você deve designar o administrador delegado do Security Hub usando um dos métodos a seguir. A designação do administrador delegado do Security Hub com as APIs do Organizations não se reflete no Security Hub.
Escolha seu método preferido e siga as etapas para designar a conta de administrador delegada do Security Hub.
Removendo ou alterando o administrador delegado
Atenção
Ao usar a configuração central, você não pode usar o console do Security Hub ou as APIs do Security Hub para alterar ou remover a conta do administrador delegado. Se a conta de gerenciamento da organização usar o AWS Organizations console ou as AWS Organizations APIs para alterar ou remover o administrador delegado do Security Hub, o Security Hub interromperá automaticamente a configuração central e excluirá suas políticas de configuração e associações de políticas. As contas-membro retêm as configurações que tinham antes de o administrador delegado ser alterado ou removido.
Somente a conta de gerenciamento da organização pode remover a conta delegada do administrador do Security Hub.
Para alterar o administrador delegado do Security Hub, você deve primeiro remover a conta atual do administrador delegado e depois designar uma nova.
Se você usar o console do Security Hub para remover o administrador delegado em uma região, ele será removido automaticamente em todas as regiões.
A API do Security Hub remove somente a conta delegada do administrador do Security Hub da região em que a chamada ou o comando da API é emitido. Você deve repetir a ação em outras regiões.
Se você usar a API Organizations para remover a conta delegada do administrador do Security Hub, ela será removida automaticamente em todas as regiões.
Removendo o administrador delegado (Organizations API, AWS CLI)
Você pode usar Organizations para remover o administrador delegado do Security Hub em todas as regiões.
Se você usar a configuração central para gerenciar contas, a remoção da conta de administrador delegado resultará na exclusão de suas políticas de configuração e associações de políticas. As contas-membro retêm as configurações que tinham antes de o administrador delegado ser alterado ou removido. Entretanto, essas contas não poderão mais ser gerenciadas pela conta de administrador delegado removida. Elas se tornam contas autogerenciadas que devem ser configuradas separadamente em cada região.
Escolha seu método preferido e siga as instruções para remover a conta delegada do administrador do Security Hub com AWS Organizations.
Removendo o administrador delegado (console do Security Hub)
Você pode usar o console do Security Hub para remover o administrador delegado do Security Hub em todas as regiões.
Quando a conta delegada do administrador do Security Hub é removida, as contas dos membros são desassociadas da conta de administrador delegada do Security Hub removida.
O Security Hub ainda está habilitado nas contas-membro. Elas se tornam contas independentes até que um novo administrador do Security Hub as habilite como contas-membro.
Se a conta de gerenciamento da organização não for uma conta habilitada no Security Hub, use a opção na página Bem-vindo ao Security Hub.
Para remover a conta de administrador delegada do Security Hub da página Bem-vindo ao Security Hub
Abra o AWS Security Hub console em https://console.aws.amazon.com/securityhub/
. -
Escolha Ir para o Security Hub.
-
Em Administrador delegado, escolha Remover.
Se a conta de gerenciamento da organização for uma conta habilitada no Security Hub, use a opção na guia Geral da página Configurações.
Para remover a conta de administrador delegada do Security Hub da página Configurações
Abra o AWS Security Hub console em https://console.aws.amazon.com/securityhub/
. -
No painel de navegação do Security Hub, escolha Configurações. Em seguida, escolha Geral.
-
Em Administrador delegado, escolha Remover.
Removendo o administrador delegado (API do Security Hub) AWS CLI
Você pode usar a API do Security Hub ou as operações do Security Hub AWS CLI para remover o administrador delegado do Security Hub. Quando você remove o administrador delegado com um desses métodos, ele só é removido na região onde o comando ou a chamada de API foram emitidos. O Security Hub não atualiza outras regiões e não remove a conta de administrador delegado em AWS Organizations.
Escolha seu método preferido e siga estas etapas para remover a conta delegada de administrador do Security Hub com o Security Hub.
Desativando a integração do Security Hub com AWS Organizations
Depois que uma AWS Organizations organização é integrada AWS Security Hub, a conta de gerenciamento da Organizations pode posteriormente desativar a integração. Como um usuário da conta de gerenciamento do Organizations, é possível fazer isso desabilitando o acesso confiável para o Security Hub no AWS Organizations.
Quando você desabilita o acesso confiável para o Security Hub, ocorre o seguinte:
-
O Security Hub perde seu status de serviço confiável em AWS Organizations.
-
A conta de administrador delegado do Security Hub perde o acesso às configurações, dados e recursos do Security Hub para todas as contas-membro do Security Hub em todas as Regiões da AWS.
-
Se você estava usando a configuração central, o Security Hub automaticamente deixará de usá-la em sua organização. Suas políticas de configuração e associações de políticas são excluídas. As contas retêm as configurações que tinham antes de você desabilitar o acesso confiável.
-
Todas as contas-membro do Security Hub se tornam contas independentes e retêm suas configurações atuais. Se o Security Hub tiver sido habilitado para uma conta-membro em uma ou mais regiões, o Security Hub continuará habilitado para a conta nessas regiões. Os padrões e controles habilitados também permanecem inalterados. É possível alterar essas configurações separadamente em cada conta e região. Contudo, a conta não estará mais associada a um administrador delegado em nenhuma região.
Para obter informações adicionais sobre os resultados da desativação do acesso a serviços confiáveis, consulte Usando AWS Organizations com outros Serviços da AWS no Guia do AWS Organizations Usuário.
Para desativar o acesso confiável, você pode usar o AWS Organizations console, a API Organizations ou AWS CLI o. Somente um usuário da conta de gerenciamento do Organizations pode desabilitar o acesso confiável a serviços para o Security Hub. Para obter detalhes sobre as permissões necessárias, consulte Permissões necessárias para desativar o acesso confiável no Guia do AWS Organizations usuário.
Antes de desabilitar o acesso confiável, recomendamos trabalhar com o administrador delegado da sua organização para desabilitar o Security Hub em contas-membro e limpar os recursos do Security Hub nessas contas.
Escolha seu método preferido e siga as etapas para desabilitar o acesso confiável para o Security Hub.
