Status und Details der Konfigurationsrichtlinie anzeigen - AWS Security Hub
Überprüfen Sie den Zuordnungsstatus einer KonfigurationsrichtlinieBehebung eines Zuordnungsfehlers

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Status und Details der Konfigurationsrichtlinie anzeigen

Der delegierte AWS Security Hub Administrator kann die Konfigurationsrichtlinien für eine Organisation und deren Details einsehen. Dazu gehört, welchen Konten und Organisationseinheiten (OUs) eine Richtlinie zugeordnet ist.

Hintergrundinformationen zu den Vorteilen der zentralen Konfiguration und ihrer Funktionsweise finden Sie unterGrundlegendes zur zentralen Konfiguration in Security Hub.

Wählen Sie Ihre bevorzugte Methode und folgen Sie den Schritten, um Ihre Konfigurationsrichtlinien einzusehen.

Console
Um die Konfigurationsrichtlinien einzusehen

  1. Öffnen Sie die AWS Security Hub Konsole unter https://console.aws.amazon.com/securityhub/.

    Melden Sie sich mit den Anmeldeinformationen des delegierten Security Hub-Administratorkontos in der Heimatregion an.

  2. Wählen Sie im Navigationsbereich Einstellungen und Konfiguration aus.

  3. Wählen Sie die Registerkarte Richtlinien, um einen Überblick über Ihre Konfigurationsrichtlinien zu erhalten.

  4. Wählen Sie eine Konfigurationsrichtlinie aus und klicken Sie auf Details anzeigen, um weitere Informationen zu dieser Richtlinie anzuzeigen, einschließlich der Konten, mit denen OUs sie verknüpft ist.

API

Um die Konfigurationsrichtlinien anzuzeigen

Rufen Sie das vom Security Hub ListConfigurationPoliciesAPIaus delegierte Administratorkonto in Ihrer Heimatregion auf, um eine zusammenfassende Liste all Ihrer Konfigurationsrichtlinien anzuzeigen. Sie können optionale Paginierungsparameter angeben

Beispiel für eine API Anfrage:

{
    "MaxResults": 5,
    "NextToken": "U2FsdGVkX19nUI2zoh+Pou9YyutlYJHWpn9xnG4hqSOhvw3o2JqjI23QDxdf"
}

Um Details zu einer bestimmten Konfigurationsrichtlinie anzuzeigen, rufen Sie das GetConfigurationPolicyAPIvom Security Hub aus delegierte Administratorkonto in Ihrer Heimatregion auf. Geben Sie den Amazon-Ressourcennamen (ARN) oder die ID der Konfigurationsrichtlinie ein, deren Details Sie sehen möchten.

Beispiel für API eine Anfrage:

{
    "Identifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
}

Rufen Sie das vom Security Hub ListConfigurationPolicyAssociationsAPIaus delegierte Administratorkonto in Ihrer Heimatregion auf, um eine zusammenfassende Liste all Ihrer Konfigurationsrichtlinien und ihrer Verknüpfungen anzuzeigen. Optional können Sie Paginierungsparameter angeben oder die Ergebnisse nach einer bestimmten Richtlinien-ID, einem Zuordnungstyp oder einem Zuordnungsstatus filtern.

Beispiel für eine API Anfrage:

{
    "AssociationType": "APPLIED"
}

Um Zuordnungen für ein bestimmtes Konto, eine bestimmte Organisationseinheit oder das Stammkonto anzuzeigen, rufen Sie das GetConfigurationPolicyAssociationoder BatchGetConfigurationPolicyAssociationsAPIvom delegierten Security Hub-Administratorkonto in Ihrer Heimatregion auf. Geben Sie für Target die Kontonummer, OU-ID oder Root-ID an.

{
    "Target": {"AccountId": "123456789012"}
}
AWS CLI

Um Konfigurationsrichtlinien anzuzeigen

Um eine zusammenfassende Liste all Ihrer Konfigurationsrichtlinien anzuzeigen, führen Sie den list-configuration-policiesBefehl über das delegierte Security Hub-Administratorkonto in Ihrer Heimatregion aus.

Beispielbefehl:

aws securityhub --region us-east-1 list-configuration-policies \
--max-items 5 \
--starting-token U2FsdGVkX19nUI2zoh+Pou9YyutlYJHWpn9xnG4hqSOhvw3o2JqjI23QDxdf

Um Details zu einer bestimmten Konfigurationsrichtlinie anzuzeigen, führen Sie den get-configuration-policyBefehl über das delegierte Security Hub-Administratorkonto in Ihrer Heimatregion aus. Geben Sie den Amazon-Ressourcennamen (ARN) oder die ID der Konfigurationsrichtlinie ein, deren Details Sie sehen möchten.

aws securityhub --region us-east-1 get-configuration-policy \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"

Um eine zusammenfassende Liste all Ihrer Konfigurationsrichtlinien und ihrer Kontozuordnungen anzuzeigen, führen Sie den list-configuration-policy-associationsBefehl über das delegierte Security Hub-Administratorkonto in Ihrer Heimatregion aus. Optional können Sie Paginierungsparameter angeben oder die Ergebnisse nach einer bestimmten Richtlinien-ID, einem Zuordnungstyp oder einem Zuordnungsstatus filtern.

aws securityhub --region us-east-1 list-configuration-policy-associations \
--association-type "APPLIED"

Um Verknüpfungen für ein bestimmtes Konto anzuzeigen, führen Sie den batch-get-configuration-policy-associationsBefehl get-configuration-policy-associationoder vom delegierten Security Hub-Administratorkonto in Ihrer Heimatregion aus. Geben Sie für target die Kontonummer, OU-ID oder Root-ID an.

aws securityhub --region us-east-1 get-configuration-policy-association \
--target '{"AccountId": "123456789012"}'

Überprüfen Sie den Zuordnungsstatus einer Konfigurationsrichtlinie

Die folgenden zentralen API Konfigurationsvorgänge geben ein Feld mit dem Namen zurückAssociationStatus:

  • BatchGetConfigurationPolicyAssociations

  • GetConfigurationPolicyAssociation

  • ListConfigurationPolicyAssociations

  • StartConfigurationPolicyAssociation

Dieses Feld wird sowohl zurückgegeben, wenn es sich bei der zugrunde liegenden Konfiguration um eine Konfigurationsrichtlinie handelt, als auch wenn es sich um ein selbstverwaltetes Verhalten handelt.

Der Wert von AssociationStatus gibt an, ob eine Richtlinienzuweisung noch aussteht oder ob sie erfolgreich oder nicht erfolgreich ist. Es kann bis zu 24 Stunden dauern, bis sich der Status von PENDING zu SUCCESS oder ändertFAILURE. Der Zuordnungsstatus einer übergeordneten Organisationseinheit oder der Stammorganisation hängt vom Status der untergeordneten Organisationseinheiten ab. Wenn der Assoziationsstatus aller Kinder lautetSUCCESS, ist der Assoziationsstatus des ElternteilsSUCCESS. Wenn der Assoziationsstatus eines oder mehrerer Kinder lautetFAILED, ist der Assoziationsstatus des ElternteilsFAILED.

Der Wert von hängt AssociationStatus auch von allen Regionen ab. Wenn die Zuordnung in der Heimatregion und allen verknüpften Regionen erfolgreich ist, AssociationStatus ist SUCCESS der Wert von. Wenn die Zuordnung in einer oder mehreren dieser Regionen fehlschlägt, AssociationStatus ist FAILED der Wert von.

Das folgende Verhalten wirkt sich auch auf den Wert von ausAssociationStatus:

  • Handelt es sich bei dem Ziel um eine übergeordnete Organisationseinheit oder um die Stammorganisation, hat sie nur dann den AssociationStatus Wert „Ein“ SUCCESS oder „FAILEDnur“, wenn alle untergeordneten Organisationseinheiten den FAILED Status „SUCCESSOder“ haben. Wenn sich der Zuordnungsstatus eines untergeordneten Kontos oder einer untergeordneten Organisationseinheit ändert (z. B. wenn eine verknüpfte Region hinzugefügt oder entfernt wird), nachdem Sie das übergeordnete Konto mit einer Konfiguration verknüpft haben, wird durch die Änderung der Zuordnungsstatus des übergeordneten Kontos nicht aktualisiert, es sei denn, Sie rufen den Vorgang StartConfigurationPolicyAssociation API erneut auf.

  • Handelt es sich bei dem Ziel um ein Konto, hat es den AssociationStatus Wert „Von“ SUCCESS oder FAILED nur, wenn die Zuordnung ein Ergebnis von SUCCESS oder FAILED in der Heimatregion und allen verknüpften Regionen hat. Wenn sich der Zuordnungsstatus eines Zielkontos ändert (z. B. wenn eine verknüpfte Region hinzugefügt oder entfernt wird), nachdem Sie es zum ersten Mal mit einer Konfiguration verknüpft haben, wird sein Zuordnungsstatus aktualisiert. Durch die Änderung wird der Zuordnungsstatus des übergeordneten Elements jedoch nicht aktualisiert, es sei denn, Sie rufen das System StartConfigurationPolicyAssociation API erneut auf.

Wenn Sie eine neue verknüpfte Region hinzufügen, repliziert Security Hub Ihre vorhandenen Verknüpfungen, die sich in einem PENDINGSUCCESS, oder FAILED Bundesstaat der neuen Region befinden.

Behebung eines Zuordnungsfehlers

Eine Zuordnung von Konfigurationsrichtlinien kann aus den folgenden häufigen Gründen fehlschlagen:

  • Das Organisationsverwaltungskonto ist kein Mitglied — Wenn Sie dem Organisationsverwaltungskonto eine Konfigurationsrichtlinie zuordnen möchten, muss Security Hub für dieses Konto bereits aktiviert sein. Dadurch wird das Verwaltungskonto zu einem Mitgliedskonto in der Organisation.

  • AWS Config ist nicht aktiviert oder nicht richtig konfiguriert — Um Standards in einer Konfigurationsrichtlinie zu aktivieren, AWS Config muss sie aktiviert und konfiguriert sein, um relevante Ressourcen aufzuzeichnen.

  • Die Verknüpfung muss über ein delegiertes Administratorkonto erfolgen — Sie können eine Richtlinie nur Zielkonten zuordnen, und zwar nurOUs, wenn Sie mit dem delegierten Administratorkonto angemeldet sind.

  • Die Verbindung muss von der Heimatregion aus erfolgen — Sie können eine Richtlinie nur Zielkonten zuordnen und nurOUs, wenn Sie in der Heimatregion angemeldet sind.

  • Opt-in-Region nicht aktiviert — Die Richtlinienverknüpfung schlägt für ein Mitgliedskonto oder eine Organisationseinheit in einer verknüpften Region fehl, wenn es sich um eine Opt-in-Region handelt, die der delegierte Administrator nicht aktiviert hat. Sie können es erneut versuchen, nachdem Sie die Region über das delegierte Administratorkonto aktiviert haben.

  • Mitgliedskonto gesperrt — Die Richtlinienverknüpfung schlägt fehl, wenn Sie versuchen, eine Richtlinie mit einem gesperrten Mitgliedskonto zu verknüpfen.