As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Habilitação da configuração central no CSPM do Security Hub
<a name="start-central-configuration"></a>

A conta delegada do administrador do AWS Security Hub CSPM pode usar a configuração central para configurar o CSPM, os padrões e os controles do Security Hub para várias contas e unidades organizacionais () em todas. OUs Regiões da AWS

Para obter informações contextuais sobre os benefícios da configuração central e como ela funciona, consulte [Noções básicas sobre a configuração central no CSPM do Security Hub](central-configuration-intro.md).

Esta seção explica os pré-requisitos da configuração central e como começar a usá-la.

## Pré-requisitos para a configuração central
<a name="prerequisites-central-configuration"></a>

Antes de começar a usar a configuração central, você deve integrar o Security Hub CSPM AWS Organizations e designar uma região de origem. Se você usa o console do CSPM do Security Hub, esses pré-requisitos são incluídos no fluxo de trabalho de adesão para configuração central.

### Integrar ao Organizations
<a name="orgs-integration-prereq"></a>

Você precisa integrar o CSPM do Security Hub e o Organizations para usar a configuração central.

Para integrar esses serviços, você começa criando uma organização no Organizations. A partir da conta gerencial do Organizations, você designa uma conta de administrador delegado do CSPM do Security Hub. Para instruções, consulte [Integrando o Security Hub CSPM com AWS Organizations](designate-orgs-admin-account.md).

Certifique-se de designar seu administrador delegado na sua **região inicial pretendida**. Quando você começa a usar a configuração central, o mesmo administrador delegado também é definido automaticamente em todas as regiões vinculadas. A conta gerencial do Organizations *não pode* ser definida como uma conta de administrador delegado.

**Importante**  
Ao usar a configuração central, você não pode usar o console CSPM do Security Hub ou o CSPM do Security Hub APIs para alterar ou remover a conta do administrador delegado. Se a conta de gerenciamento do Organizations for usada AWS Organizations APIs para alterar ou remover o administrador delegado do CSPM do Security Hub, o CSPM do Security Hub interromperá automaticamente a configuração central. Suas políticas de configuração também serão desassociadas e excluídas. As contas de membro retêm as configurações que tinham antes de o administrador delegado ser alterado ou removido.

### Designar uma região inicial
<a name="home-region-prereq"></a>

É necessário designar uma região inicial para usar a configuração central. A região inicial é aquela a partir da qual o administrador delegado configura a organização.

**nota**  
A região de origem não pode ser uma região designada como uma região opcional. AWS Uma região de adesão é desabilitada por padrão. Para obter uma lista de regiões de adesão, consulte [Considerações antes de habilitar e desabilitar regiões](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#manage-acct-regions-considerations) no *Guia de referência de gerenciamento de contas da AWS *.

Outra opção é especificar uma ou mais regiões vinculadas configuráveis em uma região inicial.

O administrador delegado pode criar e gerenciar políticas de configuração somente a partir da região inicial. As políticas de configuração entram em vigor na região inicial e em todas as regiões vinculadas. Você não pode criar uma política de configuração que seja aplicada somente a um subconjunto dessas regiões, e não a outras. A exceção a isso são os controles que envolvem recursos globais. Se você usar a configuração central, o CSPM do Security Hub desabilitará automaticamente os controles que envolvem recursos globais em todas as regiões, exceto na região inicial. Para obter mais informações, consulte [Controles que usam recursos globais](controls-to-disable.md#controls-to-disable-global-resources).

A região inicial também é a sua região de agregação do CSPM do Security Hub, que recebe descobertas, insights e outros dados das regiões vinculadas.

Se você já definiu uma região de agregação para a agregação entre regiões, essa é sua região inicial padrão para a configuração central. É possível alterar a região inicial antes de começar a usar a configuração central excluindo seu agregador de descobertas atual e criando um novo na região inicial desejada. Um agregador de descobertas é um recurso do CSPM do Security Hub que especifica a região inicial e as regiões vinculadas.

Para designar uma região inicial, siga [as etapas para definir uma região de agregação](finding-aggregation-enable.md). Se você já tem uma região inicial, pode invocar a API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindingAggregator.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindingAggregator.html) para ver detalhes sobre ela, incluindo quais regiões estão atualmente vinculadas a ela.

## Instruções para habilitar a configuração central
<a name="central-configuration-get-started"></a>

Escolha seu método preferido e siga as etapas para habilitar a configuração central para a sua organização.

------
#### [ Security Hub CSPM console ]

**Para habilitar a configuração central (console)**

1. Abra o console CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. No painel de navegação, escolha **Configurações** e **Configuração**. Em seguida, escolha **Iniciar configuração central**.

   Se você estiver se integrando ao CSPM do Security Hub, escolha **Ir para o CSPM do Security Hub**.

1. Na página **Designar administrador delegado**, selecione sua conta de administrador delegado ou insira o ID da conta. Se aplicável, recomendamos escolher o mesmo administrador delegado que você definiu para outros serviços de segurança e conformidade da AWS . Escolha **Definir administrador delegado**.

1. Na página **Centralizar organização**, na seção **Regiões**, selecione sua região inicial. Você precisa fazer login na região inicial para prosseguir. Se você já definiu uma região de agregação para a agregação entre regiões, ela será exibida como a região inicial. Para alterar a região inicial, escolha **Editar configurações da região**. Em seguida, será possível selecionar sua região inicial preferida e retornar a esse fluxo de trabalho.

1. Selecione ao menos uma região para vincular à região inicial. Opcionalmente, escolha se você deseja vincular automaticamente as futuras regiões com suporte à região inicial. As regiões que você selecionar aqui poderão ser configuradas a partir da região inicial pelo administrador delegado. As políticas de configuração entram em vigor na sua região inicial e em todas as regiões vinculadas.

1. Escolha **Confirmar e continuar**.

1.  Agora é possível usar a configuração central. Continue seguindo as instruções do console para criar sua primeira política de configuração. Se você ainda não estiver pronto para criar uma política de configuração, escolha **Ainda não estou pronto para configurar**. É possível criar uma política posteriormente escolhendo **Configurações** e **Configuração** no painel de navegação. Para obter instruções sobre como criar uma política de configuração, consulte [Criação e associação de políticas de configuração](create-associate-policy.md).

------
#### [ Security Hub CSPM API ]

**Para habilitação a configuração central (API)**

1. Usando as credenciais da conta do administrador delegado, invoque a API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html) a partir da região inicial.

1. Defina o campo `AutoEnable` como `false`.

1. Defina o campo `ConfigurationType` no objeto `OrganizationConfiguration` como `CENTRAL`. Essa ação:
   + Designa a conta de chamada como o administrador delegado do CSPM do Security Hub em todas as regiões vinculadas.
   + Habilita o CSPM do Security Hub na conta do administrador delegado em todas as regiões vinculadas.
   + Designa a conta de chamada como o administrador delegado do CSPM do Security Hub para contas novas e existentes que usem o CSPM do Security Hub e pertençam à organização. Isso ocorre na região inicial e em todas as regiões vinculadas. A conta de chamada será definida como o administrador delegado para novas contas da organização somente se elas estiverem associadas a uma política de configuração que tenha o CSPM do Security Hub habilitado. A conta de chamada será definida como o administrador delegado das contas existentes da organização somente se elas já tiverem o CSPM do Security Hub habilitado.
   + Define [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html#securityhub-UpdateOrganizationConfiguration-request-AutoEnable](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html#securityhub-UpdateOrganizationConfiguration-request-AutoEnable) como `false` em todas as regiões vinculadas e define [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html#securityhub-UpdateOrganizationConfiguration-request-AutoEnableStandards](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html#securityhub-UpdateOrganizationConfiguration-request-AutoEnableStandards) como `NONE` na região inicial e em todas as regiões vinculadas. Esses parâmetros não são relevantes nas regiões inicial e vinculadas quando você usa a configuração central, mas é possível habilitar automaticamente o CSPM do Security Hub e os padrões de segurança padrão nas contas da organização por meio do uso de políticas de configuração.

1. Agora é possível usar a configuração central. O administrador delegado pode criar políticas de configuração para configurar o CSPM do Security Hub na sua organização. Para obter instruções sobre como criar uma política de configuração, consulte [Criação e associação de políticas de configuração](create-associate-policy.md).

**Exemplo de solicitação de API**:

```
{
    "AutoEnable": false,
    "OrganizationConfiguration": {
        "ConfigurationType": "CENTRAL"
    }
}
```

------
#### [ AWS CLI ]

**Para habilitação a configuração central (AWS CLI)**

1. Usando as credenciais da conta do administrador delegado, execute o comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html) a partir da região inicial.

1. Inclua o parâmetro `no-auto-enable`.

1. Defina o campo `ConfigurationType` no objeto `organization-configuration` como `CENTRAL`. Essa ação:
   + Designa a conta de chamada como o administrador delegado do CSPM do Security Hub em todas as regiões vinculadas.
   + Habilita o CSPM do Security Hub na conta do administrador delegado em todas as regiões vinculadas.
   + Designa a conta de chamada como o administrador delegado do CSPM do Security Hub para contas novas e existentes que usem o CSPM do Security Hub e pertençam à organização. Isso ocorre na região inicial e em todas as regiões vinculadas. A conta de chamada será definida como o administrador delegado para novas contas da organização somente se elas estiverem associadas a uma política de configuração que tenha o Security Hub habilitado. A conta de chamada será definida como o administrador delegado das contas existentes da organização somente se elas já tiverem o CSPM do Security Hub habilitado.
   + Define a opção de habilitação automática como [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html#options](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html#options) em todas as regiões vinculadas e define [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html#options](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html#options) como `NONE` na região inicial e em todas as regiões vinculadas. Esses parâmetros não são relevantes nas regiões inicial e vinculadas quando você usa a configuração central, mas é possível habilitar automaticamente o CSPM do Security Hub e os padrões de segurança padrão nas contas da organização por meio do uso de políticas de configuração.

1. Agora é possível usar a configuração central. O administrador delegado pode criar políticas de configuração para configurar o CSPM do Security Hub na sua organização. Para obter instruções sobre como criar uma política de configuração, consulte [Criação e associação de políticas de configuração](create-associate-policy.md).

**Exemplo de comando:**

```
aws securityhub --region us-east-1 update-organization-configuration \
--no-auto-enable \
--organization-configuration '{"ConfigurationType": "CENTRAL"}'
```

------