Visualizzazione dello stato e dei dettagli dei criteri di configurazione - AWS Security Hub
Revisione dello stato di associazione di una politica di configurazioneRisoluzione dei problemi di associazione

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Visualizzazione dello stato e dei dettagli dei criteri di configurazione

L' AWS Security Hub amministratore delegato può visualizzare le politiche di configurazione di un'organizzazione e i relativi dettagli. Ciò include gli account e le unità organizzative (OUs) a cui è associata una politica.

Per informazioni di base sui vantaggi della configurazione centralizzata e su come funziona, consultaComprendere la configurazione centrale in Security Hub.

Scegliete il metodo preferito e seguite i passaggi per visualizzare le vostre politiche di configurazione.

Security Hub console
Per visualizzare le politiche di configurazione (console)

  1. Apri la AWS Security Hub console all'indirizzo https://console.aws.amazon.com/securityhub/.

    Accedi utilizzando le credenziali dell'account amministratore delegato di Security Hub nella regione di residenza.

  2. Nel riquadro di navigazione, scegli Impostazioni e configurazione.

  3. Scegli la scheda Politiche per una panoramica delle tue politiche di configurazione.

  4. Seleziona una politica di configurazione e scegli Visualizza dettagli per visualizzare ulteriori dettagli al riguardo, inclusi gli account a cui OUs è associata.

Security Hub API

Per visualizzare un elenco riepilogativo di tutte le politiche di configurazione, utilizza il ListConfigurationPoliciesfunzionamento del Security HubAPI. Se usi il AWS CLI, esegui il list-configuration-policiescomando. L'account amministratore delegato di Security Hub deve richiamare l'operazione nella regione di origine.

$ aws securityhub list-configuration-policies \
--max-items 5 \
--starting-token U2FsdGVkX19nUI2zoh+Pou9YyutlYJHWpn9xnG4hqSOhvw3o2JqjI23QDxdf

Per visualizzare i dettagli su una politica di configurazione specifica, usa il GetConfigurationPolicyoperazione. Se usi il AWS CLI, esegui il get-configuration-policy. L'account amministratore delegato deve richiamare l'operazione nella regione di origine. Fornisci l'Amazon Resource Name (ARN) o l'ID della policy di configurazione di cui desideri visualizzare i dettagli.

$ aws securityhub get-configuration-policy \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"

Per visualizzare un elenco riepilogativo di tutte le tue politiche di configurazione e delle relative associazioni di account, utilizza il ListConfigurationPolicyAssociationsoperazione. Se usi il AWS CLI, esegui il list-configuration-policy-associationscomando. L'account amministratore delegato deve richiamare l'operazione nella regione di origine. Facoltativamente, è possibile fornire parametri di impaginazione o filtrare i risultati in base a un ID di policy specifico, al tipo di associazione o allo stato dell'associazione.

$ aws securityhub list-configuration-policy-associations \
--filters '{"AssociationType": "APPLIED"}'

Per visualizzare le associazioni per un account specifico, utilizza il GetConfigurationPolicyAssociationoperazione. Se usi il AWS CLI, esegui il get-configuration-policy-associationcomando. L'account amministratore delegato deve richiamare l'operazione nella regione di origine. Pertarget, fornisci il numero di account, l'ID dell'unità organizzativa o l'ID root.

$ aws securityhub get-configuration-policy-association \
--target '{"AccountId": "123456789012"}'

Revisione dello stato di associazione di una politica di configurazione

Le seguenti API operazioni di configurazione centrale restituiscono un campo chiamatoAssociationStatus:

  • BatchGetConfigurationPolicyAssociations

  • GetConfigurationPolicyAssociation

  • ListConfigurationPolicyAssociations

  • StartConfigurationPolicyAssociation

Questo campo viene restituito sia quando la configurazione sottostante è una politica di configurazione sia quando si tratta di un comportamento autogestito.

Il valore di AssociationStatus indica se un'associazione di policy è in sospeso o in uno stato di successo o di fallimento. La modifica dello stato da a SUCCESS o FAILURE può richiedere fino a 24 ore. PENDING Lo stato di associazione di un'unità organizzativa principale o dell'unità principale dipende dallo stato dei relativi elementi secondari. Se lo status di associazione di tutti i figli èSUCCESS, lo stato dell'associazione del genitore èSUCCESS. Se lo status dell'associazione di uno o più figli èFAILED, lo stato dell'associazione del genitore èFAILED.

Il valore di dipende AssociationStatus anche da tutte le regioni. Se l'associazione ha successo nella regione d'origine e in tutte le regioni collegate, il valore di AssociationStatus èSUCCESS. Se l'associazione fallisce in una o più di queste regioni, il valore di AssociationStatus èFAILED.

Il seguente comportamento influisce anche sul valore diAssociationStatus:

  • Se la destinazione è un'unità organizzativa principale o la radice, ha uno stato AssociationStatus of SUCCESS o FAILED solo quando tutti i figli hanno uno FAILED stato SUCCESS or. Se lo stato di associazione di un account figlio o di un'unità organizzativa cambia (ad esempio, quando viene aggiunta o rimossa una regione collegata) dopo aver associato per la prima volta il genitore a una configurazione, la modifica non aggiorna lo stato di associazione del padre a meno che non venga richiamato StartConfigurationPolicyAssociation API nuovamente.

  • Se l'obiettivo è un account, ha un AssociationStatus SUCCESS o o FAILED solo se l'associazione ha un risultato nella regione d'SUCCESSorigine e FAILED in tutte le regioni collegate. Se lo stato dell'associazione di un account di destinazione cambia (ad esempio, quando viene aggiunta o rimossa una regione collegata) dopo averlo associato per la prima volta a una configurazione, lo stato dell'associazione viene aggiornato. Tuttavia, la modifica non aggiorna lo stato dell'associazione del genitore a meno che non venga richiamato StartConfigurationPolicyAssociation API nuovamente.

Se aggiungi una nuova regione collegata, Security Hub replica le associazioni esistenti che si trovano in una PENDING o in FAILED uno stato della nuova regione. SUCCESS

Risoluzione dei problemi di associazione

In AWS Security Hub, un'associazione ai criteri di configurazione potrebbe fallire per i seguenti motivi comuni.

  • L'account di gestione Organizations non è un membro: se desideri associare una policy di configurazione all'account di gestione Organizations, tale account deve essere già AWS Security Hub abilitato. In questo modo l'account di gestione diventa un account membro dell'organizzazione.

  • AWS Config non è abilitato o configurato correttamente: per abilitare gli standard in una politica di configurazione, AWS Config deve essere abilitato e configurato per registrare le risorse pertinenti.

  • Deve essere associata da un account amministratore delegato: puoi associare una policy solo agli account di destinazione e OUs quando hai effettuato l'accesso all'account amministratore delegato di Security Hub.

  • È necessario associare una politica dalla propria regione di origine: puoi associare una politica solo agli account target e OUs quando hai effettuato l'accesso alla tua regione d'origine.

  • Regione di attivazione non abilitata: l'associazione delle politiche non riesce per un account membro o un'unità organizzativa in una regione collegata se si tratta di una regione opt-in che l'amministratore delegato non ha abilitato. È possibile riprovare dopo aver abilitato la regione dall'account amministratore delegato.

  • Account membro sospeso: l'associazione delle politiche fallisce se si tenta di associare una politica a un account membro sospeso.