設定ポリシーのステータスと詳細の確認 - AWS Security Hub
設定ポリシーの関連付けステータスの確認関連付けの失敗のトラブルシューティング

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

設定ポリシーのステータスと詳細の確認

委任 AWS Security Hub 管理者は、組織の設定ポリシーとその詳細を表示できます。これには、ポリシーが関連付けられているアカウントと組織単位 (OUs) が含まれます。

中央設定の利点とその仕組みについては、「Security Hub の中央設定について」を参照してください。

任意の方法を選択し、その手順に従って設定ポリシーを表示します。

Security Hub console
設定ポリシーを表示するには (コンソール)

  1. で AWS Security Hub コンソールを開きますhttps://console.aws.amazon.com/securityhub/

    ホームリージョンの委任 Security Hub 管理者アカウントの認証情報を使用してサインインします。

  2. ナビゲーションペインで、[設定][設定] の順に選択します。

  3. 設定ポリシーの概要については、[ポリシー] タブを選択します。

  4. 設定ポリシーを選択し、詳細を表示を選択して、関連付けOUsられているアカウントやアカウントなど、詳細を表示します。

Security Hub API

すべての設定ポリシーの概要リストを表示するには、 ListConfigurationPolicies Security Hub の オペレーションAPI。を使用する場合は AWS CLI、 list-configuration-policies コマンド。委任 Security Hub 管理者アカウントは、ホームリージョンでオペレーションを呼び出す必要があります。

$ aws securityhub list-configuration-policies \
--max-items 5 \
--starting-token U2FsdGVkX19nUI2zoh+Pou9YyutlYJHWpn9xnG4hqSOhvw3o2JqjI23QDxdf

特定の設定ポリシーの詳細を表示するには、 GetConfigurationPolicy オペレーション。を使用する場合は AWS CLI、 get-configuration-policy。 委任管理者アカウントは、ホームリージョンで オペレーションを呼び出す必要があります。詳細を表示する設定ポリシーの Amazon リソースネーム (ARN) または ID を指定します。

$ aws securityhub get-configuration-policy \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"

すべての設定ポリシーとそのアカウントの関連付けの概要リストを表示するには、 を使用します。 ListConfigurationPolicyAssociations オペレーション。を使用する場合は AWS CLI、 list-configuration-policy-associations コマンド。委任管理者アカウントは、ホームリージョンでオペレーションを呼び出す必要があります。オプションで、ページ分割パラメータを指定したり、特定のポリシー ID、関連付けタイプ、または関連付けステータスで結果をフィルタリングしたりできます。

$ aws securityhub list-configuration-policy-associations \
--filters '{"AssociationType": "APPLIED"}'

特定のアカウントの関連付けを表示するには、 GetConfigurationPolicyAssociation オペレーション。を使用する場合は AWS CLI、 get-configuration-policy-association コマンド。委任管理者アカウントは、ホームリージョンでオペレーションを呼び出す必要があります。target の場合、アカウント番号、OU ID、またはルート ID を指定します。

$ aws securityhub get-configuration-policy-association \
--target '{"AccountId": "123456789012"}'

設定ポリシーの関連付けステータスの確認

次の中央設定APIオペレーションは、 というフィールドを返しますAssociationStatus

  • BatchGetConfigurationPolicyAssociations

  • GetConfigurationPolicyAssociation

  • ListConfigurationPolicyAssociations

  • StartConfigurationPolicyAssociation

このフィールドは、基礎となる設定が設定ポリシーの場合とセルフマネージド型の動作の場合の両方で返されます。

の値は、ポリシーの関連付けが保留中か、特定のアカウントの成功または失敗の状態かAssociationStatusを示します。ステータスが PENDING から SUCCESS または FAILED に変わるまで、最大 24 時間かかることがあります。ステータスが の場合、設定ポリシーで指定されたすべての設定がアカウントに関連付けられているSUCCESSことを意味します。ステータスが の場合、設定ポリシーで指定された 1 つ以上の設定がアカウントと関連付けられなかったFAILEDことを意味します。FAILED ステータスにかかわらず、アカウントはポリシーに従って部分的に設定できます。例えば、Security Hub を有効にし、 AWS Foundational Security Best Practices v1.0.0 を有効にし、disables.1 を設定するポリシーにアカウントを関連付けようとするとします CloudTrail。最初の 2 つの設定は成功しますが、 CloudTrail.1 設定は失敗する可能性があります。この例では、一部の設定が正しく設定されていてFAILEDも、関連付けステータスは です。

親 OU またはルートの関連付けステータスは、子のステータスによって異なります。すべての子の関連付けステータスが SUCCESS の場合、親の関連付けステータスは SUCCESS です。1 人以上の子の関連付けステータスが FAILED の場合、親の関連付けステータスは FAILED です。

の値は、関連するすべてのリージョンのポリシーの関連付けステータスAssociationStatusによって異なります。ホームリージョンとリンクされているすべてのリージョンで関連付けが成功すると、AssociationStatus の値は SUCCESS になります。これらの 1 つ以上のリージョンで関連付けに失敗すると、AssociationStatus の値は FAILED になります。

以下の動作は、AssociationStatus の値にも影響します。

  • ターゲットが親 OU またはルートの場合、すべての子が SUCCESS または FAILED ステータスの場合にのみ SUCCESS または FAILEDAssociationStatus が含まれます。最初に親を設定に関連付けた後に、子アカウントまたは OU の関連付けステータスが変更された場合 (リンクされたリージョンが追加または削除された場合など)、 StartConfigurationPolicyAssociation API を再度呼び出さない限り、変更は親の関連付けステータスを更新しません。

  • ターゲットがアカウントの場合、関連付けにホームリージョンとすべてのリンクされたリージョンの SUCCESS または FAILED の結果がある場合に限り、そのアカウントには SUCCESS または FAILEDAssociationStatus があります。ターゲットアカウントを初めて設定に関連付けた後に、ターゲットアカウントの関連付けステータスが変更された場合 (リンクされたリージョンが追加または削除された場合など)、その関連付けステータスは更新されます。ただし、 StartConfigurationPolicyAssociation API を再度呼び出しない限り、この変更は親の関連付けステータスを更新しません。

リンクされた新しいリージョンを追加すると、Security Hub は、新しいリージョンの PENDINGSUCCESSFAILED ステータスにある既存の関連付けをレプリケートします。

関連付けの失敗のトラブルシューティング

では AWS Security Hub、設定ポリシーの関連付けが失敗することがあります。一般的な理由は次のとおりです。

  • Organizations 管理アカウントがメンバーではない – 設定ポリシーを Organizations 管理アカウントに関連付ける場合は、そのアカウントがすでに AWS Security Hub 有効になっている必要があります。これにより、管理アカウントが組織内のメンバーアカウントになります。

  • AWS Config が有効になっていないか、正しく設定されていない – 設定ポリシーで標準を有効にするには、関連リソースを記録するように有効化および設定 AWS Config する必要があります。

  • 委任管理者アカウントから関連付ける必要がある – ポリシーをターゲットアカウントに関連付けることができるのは、委任 Security Hub 管理者アカウントにサインインOUsしている場合のみです。

  • ホームリージョンから関連付ける必要がある – ポリシーをターゲットアカウントに関連付けることができるのは、ホームリージョンにサインインOUsしている場合のみです。

  • オプトイン地域が有効化されていない — 委任管理者が有効化していないオプトインリージョンの場合、リンクされたリージョンのメンバーアカウントまたは OU に対するポリシーの関連付けが失敗します。委任管理者アカウントからリージョンを有効化した後で再試行できます。

  • メンバーアカウントが一時停止している — 一時停止されたメンバーアカウントにポリシーを関連付けようとすると、ポリシーの関連付けが失敗します。