구성 정책 상태 및 세부 정보 보기 - AWS 보안 허브
구성 정책의 연결 상태 검토연결 실패 문제 해결

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

구성 정책 상태 및 세부 정보 보기

위임된 AWS Security Hub 관리자는 조직의 구성 정책 및 세부 정보를 볼 수 있습니다. 여기에는 정책이 연결된 계정 및 조직 단위(OUs)가 포함됩니다.

중앙 구성의 이점과 작동 방식에 대한 배경 정보는 섹션을 참조하세요Security Hub의 중앙 구성에 대한 이해.

원하는 방법을 선택하고 다음 단계에 따라 정책 구성을 확인하세요.

Security Hub console
구성 정책을 보려면(콘솔)

  1. 에서 AWS Security Hub 콘솔을 엽니다https://console.aws.amazon.com/securityhub/.

    홈 리전에서 위임된 Security Hub 관리자 계정의 보안 인증 정보를 사용하여 로그인합니다.

  2. 탐색 창에서 설정구성을 선택합니다.

  3. 구성 정책의 개요를 보려면 정책 탭을 선택합니다.

  4. 구성 정책을 선택하고 세부 정보 보기를 선택하여 OUs 연결된 계정 및 계정을 포함하여 세부 정보에 대한 추가 세부 정보를 확인합니다.

Security Hub API

모든 구성 정책의 요약 목록을 보려면 ListConfigurationPolicies Security Hub 의 작업입니다API. 를 사용하는 경우 AWS CLI를 실행합니다. list-configuration-policies 명령. 위임된 Security Hub 관리자 계정은 홈 리전에서 작업을 호출해야 합니다.

$ aws securityhub list-configuration-policies \
--max-items 5 \
--starting-token U2FsdGVkX19nUI2zoh+Pou9YyutlYJHWpn9xnG4hqSOhvw3o2JqjI23QDxdf

특정 구성 정책에 대한 세부 정보를 보려면 GetConfigurationPolicy 작업. 를 사용하는 경우 를 AWS CLI실행합니다. get-configuration-policy. 위임된 관리자 계정은 홈 리전에서 작업을 호출해야 합니다. 세부 정보를 보려는 구성 정책의 Amazon 리소스 이름(ARN) 또는 ID를 입력합니다.

$ aws securityhub get-configuration-policy \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"

모든 구성 정책 및 해당 계정 연결의 요약 목록을 보려면 ListConfigurationPolicyAssociations 작업. 를 사용하는 경우 AWS CLI를 실행합니다. list-configuration-policy-associations 명령. 위임된 관리자 계정은 홈 리전에서 작업을 호출해야 합니다. 필요에 따라 페이지 매김 파라미터를 제공하거나 특정 정책 ID, 연결 유형 또는 연결 상태를 기준으로 결과를 필터링할 수 있습니다.

$ aws securityhub list-configuration-policy-associations \
--filters '{"AssociationType": "APPLIED"}'

특정 계정의 연결을 보려면 GetConfigurationPolicyAssociation 작업. 를 사용하는 경우 AWS CLI를 실행합니다. get-configuration-policy-association 명령. 위임된 관리자 계정은 홈 리전에서 작업을 호출해야 합니다. target에서 계정 번호, OU ID 또는 루트 ID를 입력합니다.

$ aws securityhub get-configuration-policy-association \
--target '{"AccountId": "123456789012"}'

구성 정책의 연결 상태 검토

다음 중앙 구성 API 작업은 라는 필드를 반환합니다AssociationStatus.

  • BatchGetConfigurationPolicyAssociations

  • GetConfigurationPolicyAssociation

  • ListConfigurationPolicyAssociations

  • StartConfigurationPolicyAssociation

이 필드는 기본 구성이 구성 정책인 경우와 자체 관리형 동작인 경우 모두 반환됩니다.

AssociationStatus의 값은 정책 연결이 보류 중인지 또는 성공 또는 실패 상태인지를 알려줍니다. PENDING에서 SUCCESS 또는 FAILURE로 상태가 변경되려면 최대 24시간이 걸릴 수 있습니다. 상위 OU 또는 루트의 연결 상태는 해당 하위 항목의 상태에 따라 달라집니다. 모든 하위 항목의 연결 상태가 SUCCESS인 경우 상위 항목의 연결 상태는 SUCCESS입니다. 하위 항목 하나 이상의 연결 상태가 FAILED인 경우 상위 항목의 연결 상태는 FAILED입니다.

AssociationStatus의 값 또한 모든 리전에 따라 다릅니다. 홈 리전 및 연결된 모든 리전에서 연결이 성공하면 AssociationStatus의 값은 SUCCESS입니다. 이러한 리전 중 하나 이상에서 연결이 실패할 경우 AssociationStatus의 값은 FAILED입니다.

다음과 같은 동작은 AssociationStatus의 값에도 영향을 미칩니다.

  • 대상이 상위 OU이거나 루트인 경우 모든 하위 항목이 SUCCESS 또는 FAILED 상태일 때만 AssociationStatusSUCCESS 또는 FAILED입니다. 상위 계정을 구성에 처음 연결한 후 하위 계정 또는 OU의 연결 상태가 변경되는 경우(예: 연결된 리전이 추가 또는 제거되는 경우) StartConfigurationPolicyAssociation API 다시 호출하지 않는 한 변경 사항이 상위 계정의 연결 상태를 업데이트하지 않습니다.

  • 대상이 계정이면, 홈 리전 및 연결된 모든 리전에서 연결 결과가 SUCCESS 또는 FAILED인 경우에만 AssociationStatusSUCCESS 또는 FAILED입니다. 대상 계정을 구성과 처음 연결한 후 대상 계정의 연결 상태가 변경되면(예: 연결된 리전이 추가 또는 제거되는 경우), 해당 연결 상태가 업데이트됩니다. 그러나 를 StartConfigurationPolicyAssociation API 다시 호출하지 않는 한 변경 사항은 상위 의 연결 상태를 업데이트하지 않습니다.

새 연결된 리전을 추가하는 경우 Security Hub는 새 리전의 PENDING, SUCCESS 또는 FAILED 상태에 있는 기존 연결을 복제합니다.

연결 실패 문제 해결

에서는 다음과 같은 일반적인 이유로 AWS Security Hub구성 정책 연결이 실패할 수 있습니다.

  • 조직 관리 계정은 멤버가 아닙니다. 구성 정책을 조직 관리 계정과 연결하려면 해당 계정이 이미 AWS Security Hub 활성화되어 있어야 합니다. 여기에는 관리 계정과 조직의 모든 구성원 계정이 포함됩니다.

  • AWS Config 가 활성화되지 않았거나 제대로 구성되지 않음 - 구성 정책에서 표준을 활성화하려면 관련 리소스를 기록하도록 활성화되고 구성되어야 AWS Config 합니다.

  • 위임된 관리자 계정에서 연결해야 함 - 위임된 Security Hub 관리자 계정에 로그인한 OUs 경우에만 대상 계정과 정책을 연결할 수 있습니다.

  • 홈 리전에서 연결해야 함 - 정책을 대상 계정 및 홈 리전에 로그인할 OUs 때에만 연결할 수 있습니다.

  • 옵트인 영역이 활성화되지 않음 – 위임된 관리자가 활성화하지 않은 옵트인 리전인 경우 연결된 리전의 구성원 계정 또는 OU에 대한 정책 연결이 실패합니다. 위임된 관리자 계정에서 리전을 활성화한 후 다시 시도할 수 있습니다.

  • 구성원 계정 일시 중단됨 – 정책을 일시 중지된 구성원 계정과 연결하려고 하면 정책 연결이 실패합니다.