Melihat status dan detail kebijakan konfigurasi - AWS Security Hub
Meninjau status asosiasi kebijakan konfigurasiMemecahkan masalah kegagalan asosiasi

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Melihat status dan detail kebijakan konfigurasi

AWS Security Hub Administrator yang didelegasikan dapat melihat kebijakan konfigurasi untuk organisasi dan detailnya. Ini termasuk akun dan unit organisasi (OUs) mana yang terkait dengan kebijakan.

Untuk informasi latar belakang tentang manfaat konfigurasi pusat dan cara kerjanya, lihatMemahami konfigurasi pusat di Security Hub.

Pilih metode pilihan Anda, dan ikuti langkah-langkah untuk melihat kebijakan konfigurasi Anda.

Console
Untuk melihat kebijakan konfigurasi

  1. Buka AWS Security Hub konsol di https://console.aws.amazon.com/securityhub/.

    Masuk menggunakan kredensional akun administrator yang didelegasikan Security Hub di Wilayah beranda.

  2. Di panel navigasi, pilih Pengaturan dan Konfigurasi.

  3. Pilih tab Kebijakan untuk ikhtisar kebijakan konfigurasi Anda.

  4. Pilih kebijakan konfigurasi, dan pilih Lihat detail untuk melihat detail tambahan tentangnya, termasuk akun mana dan OUs yang terkait dengannya.

API

Untuk melihat kebijakan konfigurasi

Untuk melihat daftar ringkasan semua kebijakan konfigurasi Anda, panggil akun administrator yang didelegasikan ListConfigurationPoliciesAPIdari Security Hub yang didelegasikan di Wilayah rumah Anda. Anda dapat memberikan parameter pagination opsional

Contoh API permintaan:

{
    "MaxResults": 5,
    "NextToken": "U2FsdGVkX19nUI2zoh+Pou9YyutlYJHWpn9xnG4hqSOhvw3o2JqjI23QDxdf"
}

Untuk melihat detail tentang kebijakan konfigurasi tertentu, panggil GetConfigurationPolicyAPIdari akun administrator yang didelegasikan Security Hub di Wilayah rumah Anda. Berikan Amazon Resource Name (ARN) atau ID kebijakan konfigurasi yang detailnya ingin Anda lihat.

Contoh API permintaan:

{
    "Identifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
}

Untuk melihat daftar ringkasan semua kebijakan konfigurasi Anda dan asosiasinya, panggil akun administrator yang didelegasikan ListConfigurationPolicyAssociationsAPIdari Security Hub yang didelegasikan di Wilayah asal Anda. Secara opsional, Anda dapat memberikan parameter pagination atau memfilter hasil berdasarkan ID kebijakan tertentu, jenis asosiasi, atau status asosiasi.

Contoh API permintaan:

{
    "AssociationType": "APPLIED"
}

Untuk melihat asosiasi untuk akun tertentu, OU, atau root, panggil GetConfigurationPolicyAssociationatau BatchGetConfigurationPolicyAssociationsAPIdari akun administrator yang didelegasikan Security Hub di Wilayah asal Anda. UntukTarget, berikan nomor akun, ID OU, atau ID root.

{
    "Target": {"AccountId": "123456789012"}
}
AWS CLI

Untuk melihat kebijakan konfigurasi

Untuk melihat daftar ringkasan semua kebijakan konfigurasi Anda, jalankan list-configuration-policiesperintah dari akun administrator yang didelegasikan Security Hub di Wilayah rumah Anda.

Contoh perintah:

aws securityhub --region us-east-1 list-configuration-policies \
--max-items 5 \
--starting-token U2FsdGVkX19nUI2zoh+Pou9YyutlYJHWpn9xnG4hqSOhvw3o2JqjI23QDxdf

Untuk melihat detail tentang kebijakan konfigurasi tertentu, jalankan get-configuration-policyperintah dari akun administrator yang didelegasikan Security Hub di Wilayah rumah Anda. Berikan Amazon Resource Name (ARN) atau ID kebijakan konfigurasi yang detailnya ingin Anda lihat.

aws securityhub --region us-east-1 get-configuration-policy \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"

Untuk melihat daftar ringkasan semua kebijakan konfigurasi Anda dan asosiasi akunnya, jalankan list-configuration-policy-associationsperintah dari akun administrator yang didelegasikan Security Hub di Wilayah rumah Anda. Secara opsional, Anda dapat memberikan parameter pagination atau memfilter hasil berdasarkan ID kebijakan tertentu, jenis asosiasi, atau status asosiasi.

aws securityhub --region us-east-1 list-configuration-policy-associations \
--association-type "APPLIED"

Untuk melihat asosiasi untuk akun tertentu, jalankan batch-get-configuration-policy-associationsperintah get-configuration-policy-associationatau dari akun administrator yang didelegasikan Security Hub di Wilayah rumah Anda. Untuktarget, berikan nomor akun, ID OU, atau ID root.

aws securityhub --region us-east-1 get-configuration-policy-association \
--target '{"AccountId": "123456789012"}'

Meninjau status asosiasi kebijakan konfigurasi

APIOperasi konfigurasi pusat berikut mengembalikan bidang yang disebutAssociationStatus:

  • BatchGetConfigurationPolicyAssociations

  • GetConfigurationPolicyAssociation

  • ListConfigurationPolicyAssociations

  • StartConfigurationPolicyAssociation

Bidang ini dikembalikan baik ketika konfigurasi yang mendasarinya adalah kebijakan konfigurasi dan ketika itu adalah perilaku yang dikelola sendiri.

Nilai AssociationStatus memberi tahu Anda apakah asosiasi kebijakan tertunda atau dalam keadaan sukses atau gagal. Diperlukan waktu hingga 24 jam agar status berubah dari PENDING ke SUCCESS atauFAILURE. Status asosiasi OU orang tua atau root tergantung pada status anak-anaknya. Jika status asosiasi semua anak adalahSUCCESS, status asosiasi orang tua adalahSUCCESS. Jika status asosiasi satu atau lebih anak adalahFAILED, status asosiasi orang tua adalahFAILED.

Nilai AssociationStatus juga tergantung pada semua Wilayah. Jika asosiasi berhasil di Wilayah asal dan semua Daerah terkait, nilainya AssociationStatus adalahSUCCESS. Jika asosiasi gagal di satu atau lebih Wilayah ini, nilainya AssociationStatus adalahFAILED.

Perilaku berikut juga berdampak pada nilaiAssociationStatus:

  • Jika targetnya adalah OU orang tua atau root, ia memiliki AssociationStatus dari SUCCESS atau FAILED hanya ketika semua anak memiliki FAILED status SUCCESS atau. Jika status asosiasi akun anak atau OU berubah (misalnya, saat Wilayah tertaut ditambahkan atau dihapus) setelah Anda pertama kali mengaitkan induk dengan konfigurasi, perubahan tersebut tidak akan memperbarui status asosiasi induk kecuali Anda memanggilnya StartConfigurationPolicyAssociation API lagi.

  • Jika targetnya adalah akun, ia memiliki AssociationStatus dari SUCCESS atau FAILED hanya jika asosiasi memiliki hasil dari SUCCESS atau FAILED di Wilayah asal dan semua Wilayah yang ditautkan. Jika status asosiasi akun target berubah (misalnya, saat Wilayah tertaut ditambahkan atau dihapus) setelah Anda pertama kali mengaitkannya dengan konfigurasi, status asosiasinya akan diperbarui. Namun, perubahan tidak memperbarui status asosiasi induk kecuali Anda memanggilnya StartConfigurationPolicyAssociation API lagi.

Jika Anda menambahkan Wilayah tertaut baru, Security Hub akan mereplikasi asosiasi Anda yang ada di PENDINGSUCCESS,, atau FAILED status di Wilayah baru.

Memecahkan masalah kegagalan asosiasi

Asosiasi kebijakan konfigurasi mungkin gagal karena alasan umum berikut:

  • Akun manajemen Organisasi bukan anggota — Jika Anda ingin mengaitkan kebijakan konfigurasi dengan akun manajemen Organisasi, akun tersebut harus sudah mengaktifkan Security Hub. Ini membuat akun manajemen menjadi akun anggota dalam organisasi.

  • AWS Config tidak diaktifkan atau dikonfigurasi dengan benar — Untuk mengaktifkan standar dalam kebijakan konfigurasi, AWS Config harus diaktifkan dan dikonfigurasi untuk merekam sumber daya yang relevan.

  • Harus dikaitkan dari akun administrator yang didelegasikan — Anda hanya dapat mengaitkan kebijakan dengan akun target dan OUs saat Anda masuk ke akun administrator yang didelegasikan.

  • Harus dikaitkan dari wilayah asal — Anda hanya dapat mengaitkan kebijakan dengan akun target dan OUs saat Anda masuk ke Wilayah asal.

  • Keikutsertaan Wilayah tidak diaktifkan — Asosiasi kebijakan gagal untuk akun anggota atau OU di Wilayah tertaut jika itu adalah Wilayah keikutsertaan yang belum diaktifkan oleh administrator yang didelegasikan. Anda dapat mencoba lagi setelah mengaktifkan Region dari akun administrator yang didelegasikan.

  • Akun anggota ditangguhkan — Asosiasi kebijakan gagal jika Anda mencoba mengaitkan kebijakan dengan akun anggota yang ditangguhkan.