기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# 구성 정책의 상태 및 세부 정보 검토
<a name="view-policy"></a>

위임된 AWS Security Hub CSPM 관리자는 조직의 구성 정책과 세부 정보를 볼 수 있습니다. 여기에는 정책이 연결된 계정 및 조직 단위(OU)가 포함됩니다.

중앙 구성의 이점과 작동 방식에 대한 배경 정보는 [Security Hub CSPM의 중앙 구성 이해](central-configuration-intro.md) 섹션을 참조하세요.

원하는 방법을 선택하고 다음 단계에 따라 정책 구성을 확인하세요.

------
#### [ Security Hub CSPM console ]

**구성 정책(콘솔)을 보려면**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) AWS Security Hub CSPM 콘솔을 엽니다.

   홈 리전에서 위임된 Security Hub CSPM 관리자 계정의 자격 증명을 사용하여 로그인합니다.

1. 탐색 창에서 **설정** 및 **구성**을 선택합니다.

1. **정책** 탭을 선택하여 구성 정책의 개요를 확인합니다.

1. 구성 정책과 **세부 정보 보기**를 차례로 선택하여 어느 계정 및 OU가 연결되었는지를 포함한 추가 세부 정보를 확인합니다.

------
#### [ Security Hub CSPM API ]

모든 구성 정책의 요약 목록을 보려면 Security Hub CSPM API의 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListConfigurationPolicies.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListConfigurationPolicies.html) 작업을 사용합니다. 를 사용하는 경우 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-configuration-policies.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-configuration-policies.html) 명령을 AWS CLI실행합니다. 위임된 Security Hub CSPM 관리자 계정은 홈 리전의 작업을 간접적으로 호출합니다.

```
$ aws securityhub list-configuration-policies \
--max-items 5 \
--starting-token U2FsdGVkX19nUI2zoh+Pou9YyutlYJHWpn9xnG4hqSOhvw3o2JqjI23QDxdf
```

특정 구성 정책에 대한 세부 정보를 보려면 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetConfigurationPolicy.html) 작업을 사용합니다. 를 사용하는 경우를 AWS CLI실행합니다[https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-configuration-policy.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-configuration-policy.html). 위임된 관리자 계정은 홈 리전의 작업을 호출합니다. 세부 정보를 확인할 구성 정책의 Amazon 리소스 이름(ARN) 또는 ID를 입력합니다.

```
$ aws securityhub get-configuration-policy \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
```

모든 구성 정책 및 해당 계정 연결의 요약 목록을 보려면 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListConfigurationPolicyAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListConfigurationPolicyAssociations.html) 작업을 사용합니다. 를 사용하는 경우 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-configuration-policy-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-configuration-policy-associations.html) 명령을 AWS CLI실행합니다. 위임된 관리자 계정은 홈 리전의 작업을 호출합니다. 필요에 따라 페이지 매김 파라미터를 제공하거나 특정 정책 ID, 연결 유형 또는 연결 상태를 기준으로 결과를 필터링할 수 있습니다.

```
$ aws securityhub list-configuration-policy-associations \
--filters '{"AssociationType": "APPLIED"}'
```

특정 계정에 대한 연결을 보려면 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetConfigurationPolicyAssociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetConfigurationPolicyAssociation.html) 작업을 사용합니다. 를 사용하는 경우 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-configuration-policy-association.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-configuration-policy-association.html) 명령을 AWS CLI실행합니다. 위임된 관리자 계정은 홈 리전의 작업을 호출합니다. `target`에서 계정 번호, OU ID 또는 루트 ID를 입력합니다.

```
$ aws securityhub get-configuration-policy-association \
--target '{"AccountId": "123456789012"}'
```

------

## 구성 정책의 연결 상태 검토
<a name="configuration-association-status"></a>

다음 중앙 구성 API 작업은 `AssociationStatus` 필드를 반환합니다.
+ `BatchGetConfigurationPolicyAssociations`
+ `GetConfigurationPolicyAssociation`
+ `ListConfigurationPolicyAssociations`
+ `StartConfigurationPolicyAssociation`

이 필드는 기본 구성이 구성 정책인 경우와 자체 관리형 동작인 경우, 모두 반환됩니다.

`AssociationStatus`의 값은 특정 계정에 대한 정책 연결이 보류 중인지 또는 성공 또는 실패 상태인지를 알려줍니다. `PENDING`에서 `SUCCESS` 또는 `FAILED`(으)로 상태가 변경되려면 최대 24시간이 걸릴 수 있습니다. `SUCCESS` 상태는 구성 정책에 지정된 모든 설정이 계정과 연결되어 있음을 의미합니다. `FAILED` 상태는 구성 정책에 지정된 하나 이상의 설정이 계정과 연결되지 않았음을 의미합니다. `FAILED` 상태에도 불구하고 정책에 따라 계정을 부분적으로 구성할 수 있습니다. 예를 들어 Security Hub CSPM을 활성화하고 AWS , 기본 보안 모범 사례를 활성화하고, CloudTrail.1. 처음 2개 설정은 성공할 수 있지만 CloudTrail.1 설정은 실패할 수 있습니다. 이 예제에서, 일부 설정이 올바르게 구성되었더라도 연결 상태는 `FAILED`입니다.

상위 OU 또는 루트의 연결 상태는 해당 하위 항목의 상태에 따라 달라집니다. 모든 하위 항목의 연결 상태가 `SUCCESS`인 경우, 상위 항목의 연결 상태는 `SUCCESS`입니다. 하위 항목 하나 이상의 연결 상태가 `FAILED`인 경우 상위 항목의 연결 상태는 `FAILED`입니다.

`AssociationStatus`의 값은 모든 관련 리전에서 정책의 연결 상태에 따라 달라집니다. 홈 리전 및 연결된 모든 리전에서 연결이 성공하면 `AssociationStatus`의 값은 `SUCCESS`입니다. 이러한 리전 중 하나 이상에서 연결이 실패할 경우, `AssociationStatus`의 값은 `FAILED`입니다.

다음과 같은 동작은 `AssociationStatus`의 값에도 영향을 미칩니다.
+ 대상이 상위 OU이거나 루트인 경우, 모든 하위 항목이 `SUCCESS` 또는 `FAILED` 상태일 때만 `AssociationStatus`이 `SUCCESS` 또는 `FAILED`입니다. 상위 항목을 구성에 처음 연결한 후 하위 계정 또는 OU의 연결 상태가 변경되는 경우(예: 연결된 리전이 추가 또는 제거되는 경우), `StartConfigurationPolicyAssociation` API를 다시 호출하지 않는 한 상위 항목의 연결 상태가 업데이트되지 않습니다.
+ 대상이 계정이면, 홈 리전 및 연결된 모든 리전에서 연결 결과가 `SUCCESS` 또는 `FAILED`인 경우에만 `AssociationStatus`이 `SUCCESS` 또는 `FAILED`입니다. 대상 계정을 구성과 처음 연결한 후 대상 계정의 연결 상태가 변경되면(예: 연결된 리전이 추가 또는 제거되는 경우), 해당 연결 상태가 업데이트됩니다. 하지만 `StartConfigurationPolicyAssociation` API를 다시 호출하지 않는 한 변경으로 인해 상위 항목의 연결 상태가 업데이트되지 않습니다.

연결된 새로운 리전을 추가하는 경우, Security Hub CSPM은 새로운 리전의 `PENDING`, `SUCCESS` 또는 `FAILED` 상태에 있는 기존 연결을 복제합니다.

연결 상태가 `SUCCESS`인 경우에도 정책의 일부인 표준의 활성화 상태는 불완전 상태로 전환될 수 있습니다. 이 경우 Security Hub CSPM은 표준의 제어에 대한 조사 결과를 생성할 수 없습니다. 자세한 내용은 [표준의 상태 확인](enable-standards.md#standard-subscription-status) 단원을 참조하십시오.

## 연결 실패 문제 해결
<a name="failed-association-reasons"></a>

 AWS Security Hub CSPM에서는 다음과 같은 일반적인 이유로 구성 정책 연결이 실패할 수 있습니다.
+ **Organizations 관리 계정이 멤버가 아님** - 구성 정책을 Organizations 관리 계정과 연결하려면 해당 계정에 이미 AWS Security Hub CSPM이 활성화되어 있어야 합니다. 여기에는 관리 계정과 조직의 모든 구성원 계정이 포함됩니다.
+ **AWS Config 가 활성화되지 않았거나 올바르게 구성되지 않음** - 구성 정책에서 표준을 활성화하려면 관련 리소스를 기록하도록 활성화하고 구성해야 AWS Config 합니다.
+ **위임된 관리자 계정에서 연결해야 함** - 위임된 Security Hub CSPM 관리자 계정에 로그인한 경우에만 대상 계정 및 OU에 정책을 연결할 수 있습니다.
+ **홈 리전에서 연결해야 함** - 홈 리전에 로그인한 경우에만 대상 계정 및 OU에 정책을 연결할 수 있습니다.
+ **옵트인 영역이 활성화되지 않음** – 위임된 관리자가 활성화하지 않은 옵트인 리전인 경우, 연결된 리전의 구성원 계정 또는 OU에 대한 정책 연결이 실패합니다. 위임된 관리자 계정에서 리전을 활성화한 후 다시 시도할 수 있습니다.
+ **구성원 계정 일시 중단됨** – 정책을 일시 중지된 구성원 계정과 연결하려고 하면 정책 연결이 실패합니다.