Affichage de l'état et des détails de la politique de configuration - AWS Security Hub
Révision du statut d'association d'une politique de configurationRésolution des problèmes d'association

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Affichage de l'état et des détails de la politique de configuration

L' AWS Security Hub administrateur délégué peut consulter les politiques de configuration d'une organisation et leurs détails. Cela inclut les comptes et les unités organisationnelles (OUs) auxquels une politique est associée.

Pour obtenir des informations générales sur les avantages de la configuration centralisée et son fonctionnement, consultezComprendre la configuration centrale dans Security Hub.

Choisissez votre méthode préférée et suivez les étapes pour consulter vos politiques de configuration.

Security Hub console
Pour consulter les politiques de configuration (console)

  1. Ouvrez la AWS Security Hub console à l'adresse https://console.aws.amazon.com/securityhub/.

    Connectez-vous à l'aide des informations d'identification du compte administrateur délégué du Security Hub dans la région d'origine.

  2. Dans le volet de navigation, sélectionnez Paramètres et configuration.

  3. Choisissez l'onglet Politiques pour obtenir un aperçu de vos politiques de configuration.

  4. Sélectionnez une politique de configuration, puis choisissez Afficher les détails pour obtenir des informations supplémentaires à son sujet, notamment les comptes auxquels OUs elle est associée.

Security Hub API

Pour afficher une liste récapitulative de toutes vos politiques de configuration, utilisez ListConfigurationPoliciesfonctionnement du Security HubAPI. Si vous utilisez le AWS CLI, exécutez le list-configuration-policiescommande. Le compte administrateur délégué du Security Hub doit appeler l'opération dans la région d'origine.

$ aws securityhub list-configuration-policies \
--max-items 5 \
--starting-token U2FsdGVkX19nUI2zoh+Pou9YyutlYJHWpn9xnG4hqSOhvw3o2JqjI23QDxdf

Pour afficher les détails d'une politique de configuration spécifique, utilisez GetConfigurationPolicyopération. Si vous utilisez le AWS CLI, exécutez le get-configuration-policy. Le compte d'administrateur délégué doit invoquer l'opération dans la région d'origine. Indiquez le nom de la ressource Amazon (ARN) ou l'ID de la politique de configuration dont vous souhaitez consulter les détails.

$ aws securityhub get-configuration-policy \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"

Pour afficher une liste récapitulative de toutes vos politiques de configuration et de leurs associations de comptes, utilisez le ListConfigurationPolicyAssociationsopération. Si vous utilisez le AWS CLI, exécutez le list-configuration-policy-associationscommande. Le compte d'administrateur délégué doit invoquer l'opération dans la région d'origine. Vous pouvez éventuellement fournir des paramètres de pagination ou filtrer les résultats en fonction d'un ID de politique, d'un type d'association ou d'un statut d'association spécifique.

$ aws securityhub list-configuration-policy-associations \
--filters '{"AssociationType": "APPLIED"}'

Pour afficher les associations associées à un compte spécifique, utilisez le GetConfigurationPolicyAssociationopération. Si vous utilisez le AWS CLI, exécutez le get-configuration-policy-associationcommande. Le compte d'administrateur délégué doit invoquer l'opération dans la région d'origine. Pourtarget, indiquez le numéro de compte, l'ID de l'unité d'organisation ou l'identifiant root.

$ aws securityhub get-configuration-policy-association \
--target '{"AccountId": "123456789012"}'

Révision du statut d'association d'une politique de configuration

Les API opérations de configuration centrale suivantes renvoient un champ appelé AssociationStatus :

  • BatchGetConfigurationPolicyAssociations

  • GetConfigurationPolicyAssociation

  • ListConfigurationPolicyAssociations

  • StartConfigurationPolicyAssociation

Ce champ est renvoyé à la fois lorsque la configuration sous-jacente est une politique de configuration et lorsqu'il s'agit d'un comportement autogéré.

La valeur de AssociationStatus indique si une association de politiques est en attente ou en état de réussite ou d'échec. Le passage du statut à SUCCESS ou peut prendre jusqu'à 24 heuresFAILURE. PENDING Le statut d'association d'une unité d'organisation parent ou de la racine dépend du statut de ses enfants. Si le statut d'association de tous les enfants est le SUCCESS même, le statut d'association du parent l'estSUCCESS. Si le statut d'association d'un ou de plusieurs enfants est le mêmeFAILED, le statut d'association du parent l'estFAILED.

La valeur de dépend AssociationStatus également de toutes les régions. Si l'association réussit dans la région d'origine et dans toutes les régions associées, la valeur de AssociationStatus estSUCCESS. Si l'association échoue dans une ou plusieurs de ces régions, la valeur de AssociationStatus estFAILED.

Le comportement suivant a également un impact sur la valeur de AssociationStatus :

  • Si la cible est une unité d'organisation parent ou la racine, elle possède un statut AssociationStatus de SUCCESS ou FAILED uniquement lorsque tous les enfants ont le FAILED statut SUCCESS ou. Si le statut d'association d'un compte enfant ou d'une unité d'organisation change (par exemple, lorsqu'une région associée est ajoutée ou supprimée) après avoir associé le parent pour la première fois à une configuration, la modification ne met pas à jour le statut d'association du parent à moins que vous ne l'invoquiez StartConfigurationPolicyAssociation API à nouveau.

  • Si la cible est un compte, elle possède un AssociationStatus compte SUCCESS ou FAILED uniquement si l'association a un résultat FAILED dans SUCCESS ou dans la région d'origine et toutes les régions associées. Si le statut d'association d'un compte cible change (par exemple, lorsqu'une région associée est ajoutée ou supprimée) une fois que vous l'avez associée pour la première fois à une configuration, son statut d'association est mis à jour. Cependant, la modification ne met pas à jour le statut de l'association du parent, sauf si vous l'invoquez StartConfigurationPolicyAssociation API à nouveau.

Si vous ajoutez une nouvelle région liée, Security Hub reproduit vos associations existantes qui se trouvent dans une PENDINGSUCCESS, ou un FAILED état de la nouvelle région.

Résolution des problèmes d'association

Dans AWS Security Hub, une association de règles de configuration peut échouer pour les raisons courantes suivantes.

  • Le compte de gestion des organisations n'est pas membre : si vous souhaitez associer une politique de configuration au compte de gestion des organisations, ce compte doit déjà être AWS Security Hub activé. Le compte de gestion devient ainsi un compte membre de l'organisation.

  • AWS Config n'est pas activé ou correctement configuré : pour activer les normes dans une politique de configuration, AWS Config il doit être activé et configuré pour enregistrer les ressources pertinentes.

  • L'association doit être effectuée à partir d'un compte d'administrateur délégué : vous ne pouvez associer une politique qu'à des comptes cibles et OUs lorsque vous êtes connecté au compte administrateur délégué du Security Hub.

  • Vous devez vous associer depuis votre région d'origine : vous ne pouvez associer une politique qu'à des comptes cibles et OUs lorsque vous êtes connecté à votre région d'origine.

  • Région optionnelle non activée : l'association de politiques échoue pour un compte membre ou une unité d'organisation dans une région associée s'il s'agit d'une région optionnelle que l'administrateur délégué n'a pas activée. Vous pouvez réessayer après avoir activé la région à partir du compte d'administrateur délégué.

  • Compte de membre suspendu : l'association de règles échoue si vous essayez d'associer une politique à un compte de membre suspendu.