Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Status und Details der Konfigurationsrichtlinien überprüfen
Der delegierte AWS Security Hub Administrator kann die Konfigurationsrichtlinien für eine Organisation und deren Details einsehen. Dazu gehört, mit welchen Konten und Organisationseinheiten (OUs) eine Richtlinie verknüpft ist.
Hintergrundinformationen zu den Vorteilen der zentralen Konfiguration und ihrer Funktionsweise finden Sie unterGrundlegendes zur zentralen Konfiguration in Security Hub.
Wählen Sie Ihre bevorzugte Methode und folgen Sie den Schritten, um Ihre Konfigurationsrichtlinien einzusehen.
Überprüfen Sie den Zuordnungsstatus einer Konfigurationsrichtlinie
Die folgenden zentralen API Konfigurationsvorgänge geben ein Feld mit dem Namen zurückAssociationStatus
:
BatchGetConfigurationPolicyAssociations
GetConfigurationPolicyAssociation
ListConfigurationPolicyAssociations
StartConfigurationPolicyAssociation
Dieses Feld wird sowohl zurückgegeben, wenn es sich bei der zugrunde liegenden Konfiguration um eine Konfigurationsrichtlinie handelt, als auch wenn es sich um ein selbstverwaltetes Verhalten handelt.
Der Wert von AssociationStatus
gibt an, ob eine Richtlinienzuweisung für ein bestimmtes Konto noch aussteht oder ob sie erfolgreich oder nicht erfolgreich ist. Es kann bis zu 24 Stunden dauern, bis sich der Status von PENDING
zu SUCCESS
oder ändertFAILED
. Ein Status von SUCCESS
bedeutet, dass alle in der Konfigurationsrichtlinie angegebenen Einstellungen dem Konto zugeordnet sind. Ein Status von FAILED
bedeutet, dass eine oder mehrere in der Konfigurationsrichtlinie angegebene Einstellungen dem Konto nicht zugeordnet werden konnten. Trotz eines FAILED
Status konnte das Konto gemäß der Richtlinie teilweise konfiguriert werden. Sie könnten beispielsweise versuchen, ein Konto mit einer Konfigurationsrichtlinie zu verknüpfen, die Security Hub aktiviert, AWS Foundational Security Best Practices v1.0.0 aktiviert und .1 deaktiviert. CloudTrail Die ersten beiden Einstellungen könnten erfolgreich sein, aber die Einstellung CloudTrail .1 könnte fehlschlagen. In diesem Beispiel lautet der Zuordnungsstatus, FAILED
obwohl einige Einstellungen korrekt konfiguriert wurden.
Der Zuordnungsstatus einer übergeordneten Organisationseinheit oder der Stammorganisation hängt vom Status ihrer untergeordneten Organisationseinheiten ab. Wenn der Assoziationsstatus aller Kinder lautetSUCCESS
, ist der Assoziationsstatus des ElternteilsSUCCESS
. Wenn der Assoziationsstatus eines oder mehrerer Kinder lautetFAILED
, ist der Assoziationsstatus des ElternteilsFAILED
.
Der Wert von AssociationStatus
hängt vom Assoziationsstatus der Police in allen relevanten Regionen ab. Wenn die Assoziation in der Heimatregion und allen verbundenen Regionen erfolgreich ist, AssociationStatus
ist SUCCESS
der Wert von. Wenn die Zuordnung in einer oder mehreren dieser Regionen fehlschlägt, AssociationStatus
ist FAILED
der Wert von.
Das folgende Verhalten wirkt sich auch auf den Wert von ausAssociationStatus
:
Handelt es sich bei dem Ziel um eine übergeordnete Organisationseinheit oder um die Stammorganisation, hat sie nur dann den
AssociationStatus
Wert „Ein“SUCCESS
oder „FAILED
nur“, wenn alle untergeordneten Organisationseinheiten denFAILED
Status „SUCCESS
Oder“ haben. Wenn sich der Zuordnungsstatus eines untergeordneten Kontos oder einer Organisationseinheit ändert (z. B. wenn eine verknüpfte Region hinzugefügt oder entfernt wird), nachdem Sie das übergeordnete Konto mit einer Konfiguration verknüpft haben, wird durch die Änderung der Zuordnungsstatus der übergeordneten Einheit nicht aktualisiert, es sei denn, Sie rufen den VorgangStartConfigurationPolicyAssociation
API erneut auf.Handelt es sich bei dem Ziel um ein Konto, hat es den
AssociationStatus
Wert „Von“SUCCESS
oderFAILED
nur, wenn die Zuordnung ein Ergebnis vonSUCCESS
oderFAILED
in der Heimatregion und allen verknüpften Regionen hat. Wenn sich der Zuordnungsstatus eines Zielkontos ändert (z. B. wenn eine verknüpfte Region hinzugefügt oder entfernt wird), nachdem Sie es zum ersten Mal mit einer Konfiguration verknüpft haben, wird sein Zuordnungsstatus aktualisiert. Durch die Änderung wird der Zuordnungsstatus des übergeordneten Elements jedoch nicht aktualisiert, es sei denn, Sie rufen das SystemStartConfigurationPolicyAssociation
API erneut auf.
Wenn Sie eine neue verknüpfte Region hinzufügen, repliziert Security Hub Ihre vorhandenen Verknüpfungen, die sich in einem PENDING
SUCCESS
, oder FAILED
Bundesstaat der neuen Region befinden.
Behebung eines Zuordnungsfehlers
In AWS Security Hub kann eine Zuordnung einer Konfigurationsrichtlinie aus den folgenden häufigen Gründen fehlschlagen.
Das Organisationsverwaltungskonto ist kein Mitglied — Wenn Sie dem Organisationsverwaltungskonto eine Konfigurationsrichtlinie zuordnen möchten, muss dieses Konto bereits AWS Security Hub aktiviert sein. Dadurch wird das Verwaltungskonto zu einem Mitgliedskonto in der Organisation.
AWS Config ist nicht aktiviert oder nicht richtig konfiguriert — Um Standards in einer Konfigurationsrichtlinie zu aktivieren, AWS Config muss sie aktiviert und konfiguriert sein, um relevante Ressourcen aufzuzeichnen.
Die Verknüpfung muss über ein delegiertes Administratorkonto erfolgen — Sie können eine Richtlinie nur Zielkonten zuordnen, OUs wenn Sie mit dem delegierten Security Hub-Administratorkonto angemeldet sind.
Verbindung muss von der Heimatregion aus erfolgen — Sie können eine Richtlinie nur Zielkonten zuordnen und nurOUs, wenn Sie in Ihrer Heimatregion angemeldet sind.
Opt-in-Region nicht aktiviert — Die Richtlinienverknüpfung schlägt für ein Mitgliedskonto oder eine Organisationseinheit in einer verknüpften Region fehl, wenn es sich um eine Opt-in-Region handelt, die der delegierte Administrator nicht aktiviert hat. Sie können es erneut versuchen, nachdem Sie die Region über das delegierte Administratorkonto aktiviert haben.
Mitgliedskonto gesperrt — Die Richtlinienverknüpfung schlägt fehl, wenn Sie versuchen, eine Richtlinie mit einem gesperrten Mitgliedskonto zu verknüpfen.