Status und Details der Konfigurationsrichtlinien überprüfen - AWS Security Hub
Überprüfen Sie den Zuordnungsstatus einer KonfigurationsrichtlinieBehebung eines Zuordnungsfehlers

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Status und Details der Konfigurationsrichtlinien überprüfen

Der delegierte AWS Security Hub Administrator kann die Konfigurationsrichtlinien für eine Organisation und deren Details einsehen. Dazu gehört, mit welchen Konten und Organisationseinheiten (OUs) eine Richtlinie verknüpft ist.

Hintergrundinformationen zu den Vorteilen der zentralen Konfiguration und ihrer Funktionsweise finden Sie unterGrundlegendes zur zentralen Konfiguration in Security Hub.

Wählen Sie Ihre bevorzugte Methode und folgen Sie den Schritten, um Ihre Konfigurationsrichtlinien einzusehen.

Security Hub console
So zeigen Sie die Konfigurationsrichtlinien an (Konsole)

  1. Öffnen Sie die AWS Security Hub Konsole unter https://console.aws.amazon.com/securityhub/.

    Melden Sie sich mit den Anmeldeinformationen des delegierten Security Hub-Administratorkontos in der Heimatregion an.

  2. Wählen Sie im Navigationsbereich Einstellungen und Konfiguration aus.

  3. Wählen Sie die Registerkarte Richtlinien, um einen Überblick über Ihre Konfigurationsrichtlinien zu erhalten.

  4. Wählen Sie eine Konfigurationsrichtlinie aus und klicken Sie auf Details anzeigen, um weitere Informationen zu dieser Richtlinie anzuzeigen, einschließlich der Konten, mit denen OUs sie verknüpft ist.

Security Hub API

Um eine zusammenfassende Liste all Ihrer Konfigurationsrichtlinien einzusehen, verwenden Sie ListConfigurationPoliciesBetrieb des Security HubAPI. Wenn Sie den verwenden AWS CLI, führen Sie den list-configuration-policiesBefehl. Das delegierte Security Hub-Administratorkonto sollte den Vorgang in der Heimatregion aufrufen.

$ aws securityhub list-configuration-policies \
--max-items 5 \
--starting-token U2FsdGVkX19nUI2zoh+Pou9YyutlYJHWpn9xnG4hqSOhvw3o2JqjI23QDxdf

Um Details zu einer bestimmten Konfigurationsrichtlinie einzusehen, verwenden Sie den GetConfigurationPolicyOperation. Wenn Sie das verwenden AWS CLI, führen Sie das aus get-configuration-policy. Das delegierte Administratorkonto sollte den Vorgang in der Heimatregion aufrufen. Geben Sie den Amazon-Ressourcennamen (ARN) oder die ID der Konfigurationsrichtlinie ein, deren Details Sie sehen möchten.

$ aws securityhub get-configuration-policy \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"

Um eine zusammenfassende Liste all Ihrer Konfigurationsrichtlinien und ihrer Kontozuordnungen einzusehen, verwenden Sie die ListConfigurationPolicyAssociationsBetrieb. Wenn Sie das verwenden AWS CLI, führen Sie das aus list-configuration-policy-associationsBefehl. Das delegierte Administratorkonto sollte den Vorgang in der Heimatregion aufrufen. Optional können Sie Paginierungsparameter angeben oder die Ergebnisse nach einer bestimmten Richtlinien-ID, einem Zuordnungstyp oder einem Zuordnungsstatus filtern.

$ aws securityhub list-configuration-policy-associations \
--filters '{"AssociationType": "APPLIED"}'

Um Zuordnungen für ein bestimmtes Konto anzuzeigen, verwenden Sie den GetConfigurationPolicyAssociationOperation. Wenn Sie das verwenden AWS CLI, führen Sie das aus get-configuration-policy-associationBefehl. Das delegierte Administratorkonto sollte den Vorgang in der Heimatregion aufrufen. Geben Sie für target die Kontonummer, OU-ID oder Root-ID an.

$ aws securityhub get-configuration-policy-association \
--target '{"AccountId": "123456789012"}'

Überprüfen Sie den Zuordnungsstatus einer Konfigurationsrichtlinie

Die folgenden zentralen API Konfigurationsvorgänge geben ein Feld mit dem Namen zurückAssociationStatus:

  • BatchGetConfigurationPolicyAssociations

  • GetConfigurationPolicyAssociation

  • ListConfigurationPolicyAssociations

  • StartConfigurationPolicyAssociation

Dieses Feld wird sowohl zurückgegeben, wenn es sich bei der zugrunde liegenden Konfiguration um eine Konfigurationsrichtlinie handelt, als auch wenn es sich um ein selbstverwaltetes Verhalten handelt.

Der Wert von AssociationStatus gibt an, ob eine Richtlinienzuweisung für ein bestimmtes Konto noch aussteht oder ob sie erfolgreich oder nicht erfolgreich ist. Es kann bis zu 24 Stunden dauern, bis sich der Status von PENDING zu SUCCESS oder ändertFAILED. Ein Status von SUCCESS bedeutet, dass alle in der Konfigurationsrichtlinie angegebenen Einstellungen dem Konto zugeordnet sind. Ein Status von FAILED bedeutet, dass eine oder mehrere in der Konfigurationsrichtlinie angegebene Einstellungen dem Konto nicht zugeordnet werden konnten. Trotz eines FAILED Status konnte das Konto gemäß der Richtlinie teilweise konfiguriert werden. Sie könnten beispielsweise versuchen, ein Konto mit einer Konfigurationsrichtlinie zu verknüpfen, die Security Hub aktiviert, AWS Foundational Security Best Practices v1.0.0 aktiviert und .1 deaktiviert. CloudTrail Die ersten beiden Einstellungen könnten erfolgreich sein, aber die Einstellung CloudTrail .1 könnte fehlschlagen. In diesem Beispiel lautet der Zuordnungsstatus, FAILED obwohl einige Einstellungen korrekt konfiguriert wurden.

Der Zuordnungsstatus einer übergeordneten Organisationseinheit oder der Stammorganisation hängt vom Status ihrer untergeordneten Organisationseinheiten ab. Wenn der Assoziationsstatus aller Kinder lautetSUCCESS, ist der Assoziationsstatus des ElternteilsSUCCESS. Wenn der Assoziationsstatus eines oder mehrerer Kinder lautetFAILED, ist der Assoziationsstatus des ElternteilsFAILED.

Der Wert von AssociationStatus hängt vom Assoziationsstatus der Police in allen relevanten Regionen ab. Wenn die Assoziation in der Heimatregion und allen verbundenen Regionen erfolgreich ist, AssociationStatus ist SUCCESS der Wert von. Wenn die Zuordnung in einer oder mehreren dieser Regionen fehlschlägt, AssociationStatus ist FAILED der Wert von.

Das folgende Verhalten wirkt sich auch auf den Wert von ausAssociationStatus:

  • Handelt es sich bei dem Ziel um eine übergeordnete Organisationseinheit oder um die Stammorganisation, hat sie nur dann den AssociationStatus Wert „Ein“ SUCCESS oder „FAILEDnur“, wenn alle untergeordneten Organisationseinheiten den FAILED Status „SUCCESSOder“ haben. Wenn sich der Zuordnungsstatus eines untergeordneten Kontos oder einer Organisationseinheit ändert (z. B. wenn eine verknüpfte Region hinzugefügt oder entfernt wird), nachdem Sie das übergeordnete Konto mit einer Konfiguration verknüpft haben, wird durch die Änderung der Zuordnungsstatus der übergeordneten Einheit nicht aktualisiert, es sei denn, Sie rufen den Vorgang StartConfigurationPolicyAssociation API erneut auf.

  • Handelt es sich bei dem Ziel um ein Konto, hat es den AssociationStatus Wert „Von“ SUCCESS oder FAILED nur, wenn die Zuordnung ein Ergebnis von SUCCESS oder FAILED in der Heimatregion und allen verknüpften Regionen hat. Wenn sich der Zuordnungsstatus eines Zielkontos ändert (z. B. wenn eine verknüpfte Region hinzugefügt oder entfernt wird), nachdem Sie es zum ersten Mal mit einer Konfiguration verknüpft haben, wird sein Zuordnungsstatus aktualisiert. Durch die Änderung wird der Zuordnungsstatus des übergeordneten Elements jedoch nicht aktualisiert, es sei denn, Sie rufen das System StartConfigurationPolicyAssociation API erneut auf.

Wenn Sie eine neue verknüpfte Region hinzufügen, repliziert Security Hub Ihre vorhandenen Verknüpfungen, die sich in einem PENDINGSUCCESS, oder FAILED Bundesstaat der neuen Region befinden.

Behebung eines Zuordnungsfehlers

In AWS Security Hub kann eine Zuordnung einer Konfigurationsrichtlinie aus den folgenden häufigen Gründen fehlschlagen.

  • Das Organisationsverwaltungskonto ist kein Mitglied — Wenn Sie dem Organisationsverwaltungskonto eine Konfigurationsrichtlinie zuordnen möchten, muss dieses Konto bereits AWS Security Hub aktiviert sein. Dadurch wird das Verwaltungskonto zu einem Mitgliedskonto in der Organisation.

  • AWS Config ist nicht aktiviert oder nicht richtig konfiguriert — Um Standards in einer Konfigurationsrichtlinie zu aktivieren, AWS Config muss sie aktiviert und konfiguriert sein, um relevante Ressourcen aufzuzeichnen.

  • Die Verknüpfung muss über ein delegiertes Administratorkonto erfolgen — Sie können eine Richtlinie nur Zielkonten zuordnen, OUs wenn Sie mit dem delegierten Security Hub-Administratorkonto angemeldet sind.

  • Verbindung muss von der Heimatregion aus erfolgen — Sie können eine Richtlinie nur Zielkonten zuordnen und nurOUs, wenn Sie in Ihrer Heimatregion angemeldet sind.

  • Opt-in-Region nicht aktiviert — Die Richtlinienverknüpfung schlägt für ein Mitgliedskonto oder eine Organisationseinheit in einer verknüpften Region fehl, wenn es sich um eine Opt-in-Region handelt, die der delegierte Administrator nicht aktiviert hat. Sie können es erneut versuchen, nachdem Sie die Region über das delegierte Administratorkonto aktiviert haben.

  • Mitgliedskonto gesperrt — Die Richtlinienverknüpfung schlägt fehl, wenn Sie versuchen, eine Richtlinie mit einem gesperrten Mitgliedskonto zu verknüpfen.