Affichage de l'état et des détails de la politique de configuration - AWS Security Hub
Révision du statut d'association d'une politique de configurationRésolution des problèmes d'association

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Affichage de l'état et des détails de la politique de configuration

L' AWS Security Hub administrateur délégué peut consulter les politiques de configuration d'une organisation et leurs détails. Cela inclut les comptes et les unités organisationnelles (OUs) auxquels une politique est associée.

Pour obtenir des informations générales sur les avantages de la configuration centralisée et son fonctionnement, consultezComprendre la configuration centrale dans Security Hub.

Choisissez votre méthode préférée et suivez les étapes pour consulter vos politiques de configuration.

Console
Pour consulter les politiques de configuration

  1. Ouvrez la AWS Security Hub console à l'adresse https://console.aws.amazon.com/securityhub/.

    Connectez-vous à l'aide des informations d'identification du compte administrateur délégué du Security Hub dans la région d'origine.

  2. Dans le volet de navigation, sélectionnez Paramètres et configuration.

  3. Choisissez l'onglet Politiques pour obtenir un aperçu de vos politiques de configuration.

  4. Sélectionnez une politique de configuration, puis choisissez Afficher les détails pour obtenir des informations supplémentaires à son sujet, notamment les comptes auxquels OUs elle est associée.

API

Pour consulter les politiques de configuration

Pour afficher une liste récapitulative de toutes vos politiques de configuration, appelez le compte d'administrateur délégué ListConfigurationPoliciesAPIdepuis le Security Hub de votre région d'origine. Vous pouvez fournir des paramètres de pagination facultatifs

Exemple de API demande :

{
    "MaxResults": 5,
    "NextToken": "U2FsdGVkX19nUI2zoh+Pou9YyutlYJHWpn9xnG4hqSOhvw3o2JqjI23QDxdf"
}

Pour consulter les détails d'une politique de configuration spécifique, appelez le compte d'administrateur délégué GetConfigurationPolicyAPIdepuis le Security Hub de votre région d'origine. Indiquez le nom de la ressource Amazon (ARN) ou l'ID de la politique de configuration dont vous souhaitez consulter les détails.

Exemple de API demande :

{
    "Identifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
}

Pour consulter une liste récapitulative de toutes vos politiques de configuration et de leurs associations, appelez le compte d'administrateur délégué ListConfigurationPolicyAssociationsAPIdepuis le Security Hub de votre région d'origine. Vous pouvez éventuellement fournir des paramètres de pagination ou filtrer les résultats en fonction d'un ID de politique, d'un type d'association ou d'un statut d'association spécifique.

Exemple de API demande :

{
    "AssociationType": "APPLIED"
}

Pour afficher les associations associées à un compte, à une unité d'organisation ou à un compte root en particulier, appelez le GetConfigurationPolicyAssociationcompte administrateur délégué Security Hub dans votre région d'origine. BatchGetConfigurationPolicyAssociationsAPI PourTarget, indiquez le numéro de compte, l'ID de l'UO ou l'ID root.

{
    "Target": {"AccountId": "123456789012"}
}
AWS CLI

Pour consulter les politiques de configuration

Pour afficher une liste récapitulative de toutes vos politiques de configuration, exécutez la list-configuration-policiescommande depuis le compte d'administrateur délégué Security Hub de votre région d'origine.

Exemple de commande :

aws securityhub --region us-east-1 list-configuration-policies \
--max-items 5 \
--starting-token U2FsdGVkX19nUI2zoh+Pou9YyutlYJHWpn9xnG4hqSOhvw3o2JqjI23QDxdf

Pour consulter les détails d'une politique de configuration spécifique, exécutez la get-configuration-policycommande depuis le compte d'administrateur délégué Security Hub de votre région d'origine. Indiquez le nom de la ressource Amazon (ARN) ou l'ID de la politique de configuration dont vous souhaitez consulter les détails.

aws securityhub --region us-east-1 get-configuration-policy \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"

Pour afficher une liste récapitulative de toutes vos politiques de configuration et de leurs associations de comptes, exécutez la list-configuration-policy-associationscommande depuis le compte d'administrateur délégué Security Hub de votre région d'origine. Vous pouvez éventuellement fournir des paramètres de pagination ou filtrer les résultats en fonction d'un ID de politique, d'un type d'association ou d'un statut d'association spécifique.

aws securityhub --region us-east-1 list-configuration-policy-associations \
--association-type "APPLIED"

Pour afficher les associations associées à un compte spécifique, exécutez la batch-get-configuration-policy-associationscommande get-configuration-policy-associationor depuis le compte d'administrateur délégué Security Hub de votre région d'origine. Pourtarget, indiquez le numéro de compte, l'ID de l'UO ou l'ID root.

aws securityhub --region us-east-1 get-configuration-policy-association \
--target '{"AccountId": "123456789012"}'

Révision du statut d'association d'une politique de configuration

Les API opérations de configuration centrale suivantes renvoient un champ appelé AssociationStatus :

  • BatchGetConfigurationPolicyAssociations

  • GetConfigurationPolicyAssociation

  • ListConfigurationPolicyAssociations

  • StartConfigurationPolicyAssociation

Ce champ est renvoyé à la fois lorsque la configuration sous-jacente est une politique de configuration et lorsqu'il s'agit d'un comportement autogéré.

La valeur de AssociationStatus indique si une association de politiques est en attente ou en état de réussite ou d'échec. Le passage du statut à SUCCESS ou peut prendre jusqu'à 24 heuresFAILURE. PENDING Le statut d'association d'une unité d'organisation parent ou de la racine dépend du statut de ses enfants. Si le statut d'association de tous les enfants est le SUCCESS même, le statut d'association du parent l'estSUCCESS. Si le statut d'association d'un ou de plusieurs enfants est le mêmeFAILED, le statut d'association du parent l'estFAILED.

La valeur de dépend AssociationStatus également de toutes les régions. Si l'association réussit dans la région d'origine et dans toutes les régions associées, la valeur de AssociationStatus estSUCCESS. Si l'association échoue dans une ou plusieurs de ces régions, la valeur de AssociationStatus estFAILED.

Le comportement suivant a également un impact sur la valeur de AssociationStatus :

  • Si la cible est une unité d'organisation parent ou la racine, elle possède un statut AssociationStatus de SUCCESS ou FAILED uniquement lorsque tous les enfants ont le FAILED statut SUCCESS ou. Si le statut d'association d'un compte enfant ou d'une unité d'organisation change (par exemple, lorsqu'une région associée est ajoutée ou supprimée) après avoir associé le parent pour la première fois à une configuration, la modification ne met pas à jour le statut d'association du parent à moins que vous ne l'invoquiez StartConfigurationPolicyAssociation API à nouveau.

  • Si la cible est un compte, elle possède un AssociationStatus compte SUCCESS ou FAILED uniquement si l'association a un résultat FAILED dans SUCCESS ou dans la région d'origine et toutes les régions associées. Si le statut d'association d'un compte cible change (par exemple, lorsqu'une région associée est ajoutée ou supprimée) une fois que vous l'avez associée pour la première fois à une configuration, son statut d'association est mis à jour. Cependant, la modification ne met pas à jour le statut de l'association du parent, sauf si vous l'invoquez StartConfigurationPolicyAssociation API à nouveau.

Si vous ajoutez une nouvelle région liée, Security Hub reproduit vos associations existantes qui se trouvent dans une PENDINGSUCCESS, ou un FAILED état de la nouvelle région.

Résolution des problèmes d'association

Une association de règles de configuration peut échouer pour les raisons courantes suivantes :

  • Le compte de gestion des Organizations n'est pas membre : si vous souhaitez associer une politique de configuration au compte de gestion Organizations, Security Hub doit déjà être activé sur ce compte. Le compte de gestion devient ainsi un compte membre de l'organisation.

  • AWS Config n'est pas activé ou correctement configuré : pour activer les normes dans une politique de configuration, AWS Config il doit être activé et configuré pour enregistrer les ressources pertinentes.

  • L'association doit être effectuée à partir d'un compte d'administrateur délégué : vous ne pouvez associer une politique qu'à des comptes cibles et OUs lorsque vous êtes connecté au compte d'administrateur délégué.

  • Vous devez vous associer depuis votre région d'origine : vous ne pouvez associer une politique qu'à des comptes cibles et OUs lorsque vous êtes connecté à la région d'origine.

  • Région optionnelle non activée : l'association de politiques échoue pour un compte membre ou une unité d'organisation dans une région associée s'il s'agit d'une région optionnelle que l'administrateur délégué n'a pas activée. Vous pouvez réessayer après avoir activé la région à partir du compte d'administrateur délégué.

  • Compte de membre suspendu : l'association de règles échoue si vous essayez d'associer une politique à un compte de membre suspendu.