Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Activation de Security Hub

Vous pouvez activer AWS Security Hub de deux manières : en l'intégrant AWS Organizations ou manuellement.

Nous recommandons vivement l'intégration avec Organizations pour les environnements multicomptes et multirégionaux. Si vous possédez un compte autonome, il est nécessaire de configurer Security Hub manuellement.

Vérification des autorisations nécessaires

Une fois inscrit à Amazon Web Services (AWS), vous devez activer Security Hub pour utiliser ses fonctionnalités. Pour activer Security Hub, vous devez d'abord configurer des autorisations vous permettant d'accéder à la console et aux API opérations du Security Hub. Vous ou votre AWS administrateur pouvez le faire en utilisant AWS Identity and Access Management (IAM) pour associer la politique AWS gérée appelée AWSSecurityHubFullAccess à votre IAM identité.

Pour activer et gérer Security Hub via l'intégration Organizations, vous devez également joindre la politique AWS gérée appeléeAWSSecurityHubOrganizationsAccess.

Pour de plus amples informations, veuillez consulter AWS politiques gérées pour AWS Security Hub.

Activation de l'intégration entre Security Hub et Organizations

Pour commencer à utiliser Security Hub avec AWS Organizations, le compte AWS Organizations de gestion de l'organisation désigne un compte en tant que compte administrateur délégué du Security Hub pour l'organisation. Security Hub est automatiquement activé dans le compte d'administrateur délégué de la région actuelle.

Choisissez votre méthode préférée et suivez les étapes pour désigner l'administrateur délégué.

Security Hub console

Pour désigner l'administrateur délégué du Security Hub lors de l'intégration

1. Ouvrez la console AWS Security Hub à l'adresse https://console.aws.amazon.com/securityhub/.

2. Choisissez Go to Security Hub. Vous êtes invité à vous connecter au compte de gestion des Organizations.

3. Sur la page Désigner un administrateur délégué, dans la section Compte d'administrateur délégué, spécifiez le compte d'administrateur délégué. Nous vous recommandons de choisir le même administrateur délégué que celui que vous avez défini pour les autres services AWS de sécurité et de conformité.

4. Choisissez Définir un administrateur délégué.

Security Hub API

Appelez le EnableOrganizationAdminAccountAPIdepuis le compte de gestion des Organizations. Indiquez l' Compte AWS ID du compte d'administrateur délégué du Security Hub.

AWS CLI

Exécutez la enable-organization-admin-accountcommande depuis le compte de gestion des Organizations. Indiquez l' Compte AWS ID du compte d'administrateur délégué du Security Hub.

Exemple de commande :

aws securityhub enable-organization-admin-account --admin-account-id 777788889999

Pour plus d'informations sur l'intégration avec Organizations, consultezIntégration de Security Hub à AWS Organizations.

Configuration centrale

Lorsque vous intégrez Security Hub et Organizations, vous avez la possibilité d'utiliser une fonctionnalité appelée configuration centrale pour configurer et gérer Security Hub pour votre organisation. Nous recommandons vivement d'utiliser la configuration centralisée, car elle permet à l'administrateur de personnaliser la couverture de sécurité pour l'organisation. Le cas échéant, l'administrateur délégué peut autoriser un compte membre à configurer ses propres paramètres de couverture de sécurité.

La configuration centrale permet à l'administrateur délégué de configurer Security Hub sur l'ensemble des comptesOUs,, et Régions AWS. L'administrateur délégué configure Security Hub en créant des politiques de configuration. Dans une politique de configuration, vous pouvez définir les paramètres suivants :

En tant qu'administrateur délégué, vous pouvez créer une politique de configuration unique pour l'ensemble de votre organisation ou différentes politiques de configuration pour vos différents comptes etOUs. Par exemple, les comptes de test et les comptes de production peuvent utiliser des politiques de configuration différentes.

Les comptes membres et OUs ceux qui utilisent une politique de configuration sont gérés de manière centralisée et ne peuvent être configurés que par l'administrateur délégué. L'administrateur délégué peut désigner des comptes de membre spécifiques et les désigner OUs comme étant autogérés afin de donner au membre la possibilité de configurer ses propres paramètres sur une Region-by-Region base donnée.

Si vous n'utilisez pas la configuration centralisée, vous devez configurer Security Hub séparément pour chaque compte et chaque région. C'est ce qu'on appelle la configuration locale. Dans le cadre de la configuration locale, l'administrateur délégué peut activer automatiquement Security Hub et un ensemble limité de normes de sécurité dans les nouveaux comptes d'organisation de la région actuelle. La configuration locale ne s'applique pas aux comptes d'organisation existants ni aux régions autres que la région actuelle. La configuration locale ne prend pas non plus en charge l'utilisation de politiques de configuration.

Activation manuelle de Security Hub

Vous devez activer Security Hub manuellement si vous possédez un compte autonome ou si vous ne l'intégrez pas à AWS Organizations. Les comptes autonomes ne peuvent pas s'intégrer à l' AWS Organizations activation manuelle et doivent l'utiliser.

Lorsque vous activez Security Hub manuellement, vous désignez un compte administrateur Security Hub et vous invitez d'autres comptes à devenir des comptes membres. La relation administrateur-membre est établie lorsqu'un compte de membre potentiel accepte l'invitation.

Choisissez votre méthode préférée et suivez les étapes pour activer Security Hub. Lorsque vous activez Security Hub depuis la console, vous avez également la possibilité d'activer les normes de sécurité prises en charge.

Security Hub console

1. Ouvrez la console AWS Security Hub à l'adresse https://console.aws.amazon.com/securityhub/.

2. Lorsque vous ouvrez la console Security Hub pour la première fois, choisissez Go to Security Hub.

3. Sur la page d'accueil, la section Normes de sécurité répertorie les normes de sécurité prises en charge par Security Hub.

   Cochez la case correspondant à une norme pour l'activer, puis décochez-la pour la désactiver.

   Vous pouvez activer ou désactiver une norme ou ses contrôles individuels à tout moment. Pour plus d'informations sur la gestion des normes de sécurité, consultezComprendre les normes de sécurité dans Security Hub.

4. Choisissez Enable Security Hub (Activer le hub de sécurité).

Security Hub API

Invoquez le EnableSecurityHubAPI. Lorsque vous activez Security Hub depuis leAPI, les normes de sécurité par défaut suivantes sont automatiquement activées :

• AWS Bonnes pratiques de sécurité fondamentales

• Center for Internet Security (CIS) AWS Foundations Benchmark v1.2.0

Si vous ne souhaitez pas activer ces normes, définissez EnableDefaultStandards sur false.

Vous pouvez également utiliser le Tags paramètre pour attribuer des valeurs de balise à la ressource du hub.

AWS CLI

Exécutez la commande enable-security-hub. Pour activer les normes par défaut, incluez--enable-default-standards. Pour ne pas activer les normes par défaut, incluez--no-enable-default-standards. Les normes de sécurité par défaut sont les suivantes :

• AWS Bonnes pratiques de sécurité fondamentales

• Center for Internet Security (CIS) AWS Foundations Benchmark v1.2.0

aws securityhub enable-security-hub [--tags <tag values>] [--enable-default-standards | --no-enable-default-standards]

Exemple

aws securityhub enable-security-hub --enable-default-standards --tags '{"Department": "Security"}'

Script d'activation multi-comptes

Le script d'activation multi-comptes Security Hub vous GitHub permet d'activer Security Hub sur plusieurs comptes et régions. Le script automatise également le processus d'envoi d'invitations aux comptes des membres et d'activation AWS Config.

Le script active automatiquement l'enregistrement AWS Config des ressources pour toutes les ressources, y compris les ressources globales, dans toutes les régions. Il ne limite pas l'enregistrement des ressources mondiales à une seule région. Pour réduire les coûts, nous recommandons d'enregistrer les ressources mondiales dans une seule région uniquement. Si vous utilisez la configuration centrale ou l'agrégation entre régions, il doit s'agir de votre région d'origine. Pour de plus amples informations, veuillez consulter Enregistrer des ressources dans AWS Config.

Il existe un script correspondant pour désactiver Security Hub entre les comptes et les régions.

Prochaines étapes : gestion de la posture et intégrations

Après avoir activé Security Hub, nous vous recommandons d'activer les normes et les contrôles de sécurité pour surveiller votre niveau de sécurité. Une fois les contrôles activés, Security Hub commence à exécuter des contrôles de sécurité et à générer des résultats de contrôle qui vous aident à détecter les erreurs de configuration dans votre AWS environnement. Pour recevoir les résultats des contrôles, vous devez activer et configurer AWS Config Security Hub. Pour de plus amples informations, veuillez consulter Activation et configuration AWS Config pour Security Hub.

Après avoir activé Security Hub, vous pouvez également tirer parti des intégrations entre Security Hub Services AWS et d'autres solutions tierces pour consulter leurs conclusions dans Security Hub. Security Hub regroupe les résultats provenant de différentes sources et les intègre dans un format cohérent. Pour de plus amples informations, veuillez consulter Comprendre les intégrations dans Security Hub.