As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Restrições e recomendações sobre o gerenciamento de contas
A seção a seguir resume algumas restrições e recomendações que você deve ter em mente ao gerenciar contas-membro no AWS Security Hub.
Número máximo de contas-membro
Se você usar a integração com AWS Organizations, o Security Hub suporta até 10.000 contas de membros por conta de administrador delegado em cada uma Região da AWS. Se você habilitar e gerenciar o Security Hub manualmente, o Security Hub suportará até 1.000 convites de conta de membro por conta de administrador em cada região.
Contas e regiões
Associação por organização
Se você integrar o Security Hub com AWS Organizations, a conta de gerenciamento do Organizations pode designar uma conta de administrador delegado (DA) para o Security Hub. A conta de gerenciamento da organização não pode ser definida como o DA no Organizations. Embora isso seja permitido no Security Hub, recomendamos que a conta de gerenciamento do Organizations não seja a do DA.
Recomendamos que você escolha a mesma conta de DA em todas as regiões. Se você usar a configuração central, o Security Hub definirá a mesma conta de DA em todas as regiões nas quais você configurar o Security Hub para sua organização.
Também recomendamos que você escolha a mesma conta DA em todos os serviços de AWS segurança e conformidade para ajudá-lo a gerenciar problemas relacionados à segurança em um único painel.
Associação por convite
Para contas-membro criadas por convite, a associação entre as contas de administrador e membro é criada somente na região de onde o convite é enviado. A conta de administrador deve habilitar o Security Hub em cada região em que você deseja usá-la. A conta de administrador convidará então cada conta a se ternar uma conta-membro nessa região.
Restrições nas relações administrador-membro
nota
Se você usa a integração do Security Hub com AWS Organizations, e não convidou manualmente nenhuma conta de membro, esta seção não se aplica a você.
Uma conta não pode ser uma conta de administrador e uma conta-membro ao mesmo tempo.
Uma conta-membro só pode ser associada a uma conta de administrador. Se uma conta da organização for habilitada pela conta de administrador do Security Hub, a conta não poderá aceitar um convite de outra conta. Se uma conta já tiver aceitado um convite, ela não poderá ser habilitada pela conta de administrador do Security Hub para a organização. Ela também não pode receber convites de outras contas.
Para o processo de convite manual, aceitar um convite de associação é opcional.
Coordenar contas de administrador entre serviços
O Security Hub agrega descobertas de vários AWS serviços, como Amazon GuardDuty, Amazon Inspector e Amazon Macie. O Security Hub também permite que os usuários partam de uma GuardDuty descoberta para iniciar uma investigação no Amazon Detective.
Entretanto, as relações administrador-membro configuradas nesses outros serviços não se aplicam automaticamente ao Security Hub. O Security Hub recomenda que você use a mesma conta da conta de administrador para todos esses serviços. Essa conta de administrador deve ser uma conta responsável pelas ferramentas de segurança. A mesma conta também deve ser a conta agregadora do AWS Config.
Por exemplo, um usuário da conta de GuardDuty administrador A pode ver as descobertas das contas de GuardDuty membros B e C no GuardDuty console. Se a conta A ativar o Security Hub, os usuários da conta A não verão automaticamente GuardDuty as descobertas das contas B e C no Security Hub. Uma relação administrador-membro do Security Hub também é necessária para essas contas.
Para fazer isso, torne a conta A a conta de administrador do Security Hub e habilite as contas B e C para se tornarem contas-membro do Security Hub.
