Pré-requisitos para a configuração central Instruções para habilitar a configuração central

Habilitando a configuração central no Security Hub CSPM

A conta delegada do administrador do AWS Security Hub CSPM pode usar a configuração central para configurar o CSPM, os padrões e os controles do Security Hub para várias contas e unidades organizacionais () em todas. OUs Regiões da AWS

Para obter informações contextuais sobre os benefícios da configuração central e como ela funciona, consulte Entendendo a configuração central no Security Hub CSPM.

Esta seção explica os pré-requisitos da configuração central e como começar a usá-la.

Pré-requisitos para a configuração central

Antes de começar a usar a configuração central, você deve integrar o Security Hub CSPM AWS Organizations e designar uma região de origem. Se você usa o console CSPM do Security Hub, esses pré-requisitos são incluídos no fluxo de trabalho opcional para configuração central.

Integrar ao Organizations

Você deve integrar o Security Hub CSPM e o Organizations para usar a configuração central.

Para integrar esses serviços, você começa criando uma organização no Organizations. Na conta de gerenciamento do Organizations, você designa uma conta de administrador delegado CSPM do Security Hub. Para instruções, consulte Integrando o Security Hub CSPM com AWS Organizations.

Certifique-se de designar seu administrador delegado na sua região inicial pretendida. Quando você começa a usar a configuração central, o mesmo administrador delegado também é definido automaticamente em todas as regiões vinculadas. A conta de gerenciamento do Organizations não pode ser definida como uma conta de administrador delegado.

Importante

Ao usar a configuração central, você não pode usar o console CSPM do Security Hub ou o CSPM do Security Hub APIs para alterar ou remover a conta do administrador delegado. Se a conta de gerenciamento do Organizations for usada AWS Organizations APIs para alterar ou remover o administrador delegado do CSPM do Security Hub, o CSPM do Security Hub interromperá automaticamente a configuração central. Suas políticas de configuração também serão desassociadas e excluídas. As contas-membro retêm as configurações que tinham antes de o administrador delegado ser alterado ou removido.

Designar uma região inicial

Você deve designar uma região inicial para usar a configuração central. A região inicial é aquela a partir da qual o administrador delegado configura a organização.

nota

A região de origem não pode ser uma região designada como uma região opcional. AWS Uma região de adesão é desabilitada por padrão. Para obter uma lista de regiões de adesão, consulte Considerações antes de habilitar e desabilitar regiões no Guia de referência de gerenciamento de contas da AWS .

Outra opção é especificar uma ou mais regiões vinculadas configuráveis em uma região inicial.

O administrador delegado pode criar e gerenciar políticas de configuração somente a partir da região inicial. As políticas de configuração entram em vigor na região inicial e em todas as regiões vinculadas. Você não pode criar uma política de configuração que seja aplicada somente a um subconjunto dessas regiões, e não a outras. A exceção a isso são os controles que envolvem recursos globais. Se você usar a configuração central, o Security Hub CSPM desativará automaticamente os controles que envolvem recursos globais em todas as regiões, exceto na região de origem. Para obter mais informações, consulte Controles que usam recursos globais.

A região de origem também é sua região de agregação de CSPM do Security Hub, que recebe descobertas, insights e outros dados de regiões vinculadas.

Se você já definiu uma região de agregação para a agregação entre regiões, essa é sua região inicial padrão para a configuração central. É possível alterar a região inicial antes de começar a usar a configuração central excluindo seu agregador de descobertas atual e criando um novo na região inicial desejada. Um agregador de descoberta é um recurso CSPM do Security Hub que especifica a região de origem e as regiões vinculadas.

Para designar uma região inicial, siga as etapas para definir uma região de agregação. Se você já tem uma região inicial, pode invocar a API GetFindingAggregator para ver detalhes sobre ela, incluindo quais regiões estão atualmente vinculadas a ela.

Instruções para habilitar a configuração central

Escolha seu método preferido e siga as etapas para habilitar a configuração central para a sua organização.

Security Hub CSPM console

Para habilitar a configuração central (console)

Abra o console CSPM do AWS Security Hub em. https://console.aws.amazon.com/securityhub/
No painel de navegação, escolha Configurações e Configuração. Em seguida, escolha Iniciar configuração central.

Se você estiver se integrando ao CSPM do Security Hub, escolha Ir para o CSPM do Security Hub.
Na página Designar administrador delegado, selecione sua conta de administrador delegado ou insira o ID da conta. Se aplicável, recomendamos escolher o mesmo administrador delegado que você definiu para outros serviços de segurança e conformidade da AWS . Escolha Definir administrador delegado.
Na página Centralizar organização, na seção Regiões, selecione sua região inicial. Você precisa fazer login na região inicial para prosseguir. Se você já definiu uma região de agregação para a agregação entre regiões, ela será exibida como a região inicial. Para alterar a região inicial, escolha Editar configurações da região. Em seguida, será possível selecionar sua região inicial preferida e retornar a esse fluxo de trabalho.
Selecione ao menos uma região para vincular à região inicial. Opcionalmente, escolha se você deseja vincular automaticamente as futuras regiões com suporte à região inicial. As regiões que você selecionar aqui poderão ser configuradas a partir da região inicial pelo administrador delegado. As políticas de configuração entram em vigor na sua região inicial e em todas as regiões vinculadas.
Escolha Confirmar e continuar.
Agora é possível usar a configuração central. Continue seguindo as instruções do console para criar sua primeira política de configuração. Se você ainda não estiver pronto para criar uma política de configuração, escolha Ainda não estou pronto para configurar. É possível criar uma política posteriormente escolhendo Configurações e Configuração no painel de navegação. Para obter instruções sobre como criar uma política de configuração, consulte Criação e associação de políticas de configuração.

Security Hub CSPM API

Para habilitação a configuração central (API)

Usando as credenciais da conta do administrador delegado, invoque a API UpdateOrganizationConfiguration a partir da região inicial.
Defina o campo AutoEnable como false.
Defina o campo ConfigurationType no objeto OrganizationConfiguration como CENTRAL. Essa ação:
- Designa a conta de chamada como administradora delegada do CSPM do Security Hub em todas as regiões vinculadas.
- Ativa o CSPM do Security Hub na conta de administrador delegado em todas as regiões vinculadas.
- Designa a conta chamadora como administradora delegada do CSPM do Security Hub para contas novas e existentes que usam o CSPM do Security Hub e pertencem à organização. Isso ocorre na região inicial e em todas as regiões vinculadas. A conta de chamada é definida como administradora delegada para novas contas da organização somente se elas estiverem associadas a uma política de configuração que tenha o Security Hub CSPM ativado. A conta de chamada é definida como administradora delegada para contas existentes da organização somente se elas já tiverem o Security Hub CSPM ativado.
- Define AutoEnable como false em todas as regiões vinculadas e define AutoEnableStandards como NONE na região inicial e em todas as regiões vinculadas. Esses parâmetros não são relevantes nas regiões inicial e vinculadas quando você usa a configuração central, mas você pode habilitar automaticamente o CSPM do Security Hub e os padrões de segurança padrão nas contas da organização por meio do uso de políticas de configuração.
Agora é possível usar a configuração central. O administrador delegado pode criar políticas de configuração para configurar o CSPM do Security Hub em sua organização. Para obter instruções sobre como criar uma política de configuração, consulte Criação e associação de políticas de configuração.

Exemplo de solicitação de API:


{
    "AutoEnable": false,
    "OrganizationConfiguration": {
        "ConfigurationType": "CENTRAL"
    }
}

AWS CLI

Para habilitação a configuração central (AWS CLI)

Usando as credenciais da conta do administrador delegado, execute o comando update-organization-configuration a partir da região inicial.
Inclua o parâmetro no-auto-enable.
Defina o campo ConfigurationType no objeto organization-configuration como CENTRAL. Essa ação:
- Designa a conta de chamada como administradora delegada do CSPM do Security Hub em todas as regiões vinculadas.
- Ativa o CSPM do Security Hub na conta de administrador delegado em todas as regiões vinculadas.
- Designa a conta chamadora como administradora delegada do CSPM do Security Hub para contas novas e existentes que usam o CSPM do Security Hub e pertencem à organização. Isso ocorre na região inicial e em todas as regiões vinculadas. A conta de chamada será definida como o administrador delegado para novas contas da organização somente se elas estiverem associadas a uma política de configuração que tenha o Security Hub habilitado. A conta de chamada é definida como administradora delegada para contas existentes da organização somente se elas já tiverem o Security Hub CSPM ativado.
- Define a opção de habilitação automática como no-auto-enable em todas as regiões vinculadas e define auto-enable-standards como NONE na região inicial e em todas as regiões vinculadas. Esses parâmetros não são relevantes nas regiões inicial e vinculadas quando você usa a configuração central, mas você pode habilitar automaticamente o CSPM do Security Hub e os padrões de segurança padrão nas contas da organização por meio do uso de políticas de configuração.
Agora é possível usar a configuração central. O administrador delegado pode criar políticas de configuração para configurar o CSPM do Security Hub em sua organização. Para obter instruções sobre como criar uma política de configuração, consulte Criação e associação de políticas de configuração.

Exemplo de comando:


aws securityhub --region us-east-1 update-organization-configuration \
--no-auto-enable \
--organization-configuration '{"ConfigurationType": "CENTRAL"}'

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Configuração central

Gerenciado centralmente versus autogerenciado