Melihat status dan detail kebijakan konfigurasi - AWS Security Hub
Meninjau status asosiasi kebijakan konfigurasiMemecahkan masalah kegagalan asosiasi

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Melihat status dan detail kebijakan konfigurasi

AWS Security Hub Administrator yang didelegasikan dapat melihat kebijakan konfigurasi untuk organisasi dan detailnya. Ini termasuk akun dan unit organisasi (OUs) mana yang terkait dengan kebijakan.

Untuk informasi latar belakang tentang manfaat konfigurasi pusat dan cara kerjanya, lihatMemahami konfigurasi pusat di Security Hub.

Pilih metode pilihan Anda, dan ikuti langkah-langkah untuk melihat kebijakan konfigurasi Anda.

Security Hub console
Untuk melihat kebijakan konfigurasi (konsol)

  1. Buka AWS Security Hub konsol di https://console.aws.amazon.com/securityhub/.

    Masuk menggunakan kredensional akun administrator Security Hub yang didelegasikan di Wilayah beranda.

  2. Di panel navigasi, pilih Pengaturan dan Konfigurasi.

  3. Pilih tab Kebijakan untuk ikhtisar kebijakan konfigurasi Anda.

  4. Pilih kebijakan konfigurasi, dan pilih Lihat detail untuk melihat detail tambahan tentangnya, termasuk akun mana dan OUs yang terkait dengannya.

Security Hub API

Untuk melihat daftar ringkasan semua kebijakan konfigurasi Anda, gunakan ListConfigurationPoliciespengoperasian Security HubAPI. Jika Anda menggunakan AWS CLI, jalankan list-configuration-policiesperintah. Akun administrator Security Hub yang didelegasikan harus menjalankan operasi di Wilayah asal.

$ aws securityhub list-configuration-policies \
--max-items 5 \
--starting-token U2FsdGVkX19nUI2zoh+Pou9YyutlYJHWpn9xnG4hqSOhvw3o2JqjI23QDxdf

Untuk melihat detail tentang kebijakan konfigurasi tertentu, gunakan GetConfigurationPolicyoperasi. Jika Anda menggunakan AWS CLI, jalankan get-configuration-policy. Akun administrator yang didelegasikan harus menjalankan operasi di Wilayah asal. Berikan Amazon Resource Name (ARN) atau ID kebijakan konfigurasi yang detailnya ingin Anda lihat.

$ aws securityhub get-configuration-policy \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"

Untuk melihat daftar ringkasan semua kebijakan konfigurasi dan asosiasi akunnya, gunakan ListConfigurationPolicyAssociationsoperasi. Jika Anda menggunakan AWS CLI, jalankan list-configuration-policy-associationsperintah. Akun administrator yang didelegasikan harus menjalankan operasi di Wilayah asal. Secara opsional, Anda dapat memberikan parameter pagination atau memfilter hasil berdasarkan ID kebijakan tertentu, jenis asosiasi, atau status asosiasi.

$ aws securityhub list-configuration-policy-associations \
--filters '{"AssociationType": "APPLIED"}'

Untuk melihat asosiasi untuk akun tertentu, gunakan GetConfigurationPolicyAssociationoperasi. Jika Anda menggunakan AWS CLI, jalankan get-configuration-policy-associationperintah. Akun administrator yang didelegasikan harus menjalankan operasi di Wilayah asal. Untuktarget, berikan nomor akun, ID OU, atau ID root.

$ aws securityhub get-configuration-policy-association \
--target '{"AccountId": "123456789012"}'

Meninjau status asosiasi kebijakan konfigurasi

APIOperasi konfigurasi pusat berikut mengembalikan bidang yang disebutAssociationStatus:

  • BatchGetConfigurationPolicyAssociations

  • GetConfigurationPolicyAssociation

  • ListConfigurationPolicyAssociations

  • StartConfigurationPolicyAssociation

Bidang ini dikembalikan baik ketika konfigurasi yang mendasarinya adalah kebijakan konfigurasi dan ketika itu adalah perilaku yang dikelola sendiri.

Nilai AssociationStatus memberi tahu Anda apakah asosiasi kebijakan sedang tertunda atau dalam keadaan sukses atau gagal. Diperlukan waktu hingga 24 jam agar status berubah dari PENDING ke SUCCESS atauFAILURE. Status asosiasi OU orang tua atau root tergantung pada status anak-anaknya. Jika status asosiasi semua anak adalahSUCCESS, status asosiasi orang tua adalahSUCCESS. Jika status asosiasi satu atau lebih anak adalahFAILED, status asosiasi orang tua adalahFAILED.

Nilai AssociationStatus juga tergantung pada semua Wilayah. Jika asosiasi berhasil di Wilayah asal dan semua Daerah terkait, nilainya AssociationStatus adalahSUCCESS. Jika asosiasi gagal di satu atau lebih Wilayah ini, nilainya AssociationStatus adalahFAILED.

Perilaku berikut juga berdampak pada nilaiAssociationStatus:

  • Jika targetnya adalah OU orang tua atau root, ia memiliki AssociationStatus dari SUCCESS atau FAILED hanya ketika semua anak memiliki FAILED status SUCCESS atau. Jika status asosiasi akun anak atau OU berubah (misalnya, saat Wilayah tertaut ditambahkan atau dihapus) setelah Anda pertama kali mengaitkan induk dengan konfigurasi, perubahan tersebut tidak akan memperbarui status asosiasi induk kecuali Anda memanggilnya StartConfigurationPolicyAssociation API lagi.

  • Jika targetnya adalah akun, ia memiliki AssociationStatus dari SUCCESS atau FAILED hanya jika asosiasi memiliki hasil dari SUCCESS atau FAILED di Wilayah asal dan semua Wilayah yang ditautkan. Jika status asosiasi akun target berubah (misalnya, saat Wilayah tertaut ditambahkan atau dihapus) setelah Anda pertama kali mengaitkannya dengan konfigurasi, status asosiasinya akan diperbarui. Namun, perubahan tidak memperbarui status asosiasi induk kecuali Anda memanggilnya StartConfigurationPolicyAssociation API lagi.

Jika Anda menambahkan Wilayah tertaut baru, Security Hub akan mereplikasi asosiasi Anda yang ada di PENDINGSUCCESS,, atau FAILED status di Wilayah baru.

Memecahkan masalah kegagalan asosiasi

Pada tahun AWS Security Hub, asosiasi kebijakan konfigurasi mungkin gagal karena alasan umum berikut.

  • Akun manajemen Organisasi bukan anggota — Jika Anda ingin mengaitkan kebijakan konfigurasi dengan akun manajemen Organizations, akun tersebut harus sudah AWS Security Hub diaktifkan. Ini membuat akun manajemen menjadi akun anggota dalam organisasi.

  • AWS Config tidak diaktifkan atau dikonfigurasi dengan benar — Untuk mengaktifkan standar dalam kebijakan konfigurasi, AWS Config harus diaktifkan dan dikonfigurasi untuk merekam sumber daya yang relevan.

  • Harus dikaitkan dari akun administrator yang didelegasikan — Anda hanya dapat mengaitkan kebijakan dengan akun target dan OUs saat Anda masuk ke akun administrator Security Hub yang didelegasikan.

  • Harus dikaitkan dari wilayah asal — Anda hanya dapat mengaitkan kebijakan dengan akun target dan OUs saat Anda masuk ke Wilayah asal Anda.

  • Keikutsertaan Wilayah tidak diaktifkan — Asosiasi kebijakan gagal untuk akun anggota atau OU di Wilayah tertaut jika itu adalah Wilayah keikutsertaan yang belum diaktifkan oleh administrator yang didelegasikan. Anda dapat mencoba lagi setelah mengaktifkan Region dari akun administrator yang didelegasikan.

  • Akun anggota ditangguhkan — Asosiasi kebijakan gagal jika Anda mencoba mengaitkan kebijakan dengan akun anggota yang ditangguhkan.