本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
查看配置策略状态和详细信息
授权的 AWS Security Hub 管理员可以查看组织的配置策略及其详细信息。这包括策略与哪些账户和组织单位 (OUs) 相关联。
有关中央配置的好处及其工作原理的背景信息,请参阅了解 Security Hub 中的中央配置。
选择首选方法,然后按照步骤查看配置策略。
- Console
-
- API
-
要查看配置策略
要查看所有配置策略的摘要列表,请ListConfigurationPolicies
API从您所在地区的 Security Hub 委托管理员账户中调用。您可以提供可选的分页参数
API请求示例:
{
"MaxResults": 5,
"NextToken": "U2FsdGVkX19nUI2zoh+Pou9YyutlYJHWpn9xnG4hqSOhvw3o2JqjI23QDxdf"
}
要查看有关特定配置策略的详细信息,请GetConfigurationPolicy
API从您所在地区的 Security Hub 委托管理员账户中调用。提供您要查看其详细信息的配置策略的 Amazon 资源名称 (ARN) 或 ID。
API请求示例:
{
"Identifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
}
要查看所有配置策略及其关联的摘要列表,请ListConfigurationPolicyAssociations
API从您所在地区的 Security Hub 委托管理员账户中调用。或者,您可以提供分页参数,或者按特定策略 ID、关联类型或关联状态筛选结果。
API请求示例:
{
"AssociationType": "APPLIED"
}
要查看特定账户、组织单位或根账户的关联,请BatchGetConfigurationPolicyAssociations
API从您所在区域的 Security Hub 委托管理员账户调用GetConfigurationPolicyAssociation
或。对于 Target
,请提供账户、OU ID 或根 ID。
{
"Target": {"AccountId": "123456789012"}
}
- AWS CLI
-
要查看配置策略
要查看所有配置策略的摘要列表,请从主区域中的 Security Hub 委托管理员账户运行 list-configuration-policies
命令。
命令示例:
aws securityhub --region us-east-1 list-configuration-policies \
--max-items 5 \
--starting-token U2FsdGVkX19nUI2zoh+Pou9YyutlYJHWpn9xnG4hqSOhvw3o2JqjI23QDxdf
要查看特定配置策略的摘要列表,请从主区域中的 Security Hub 委托管理员账户运行 get-configuration-policy
命令。提供您要查看其详细信息的配置策略的 Amazon 资源名称 (ARN) 或 ID。
aws securityhub --region us-east-1 get-configuration-policy \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
要查看所有配置策略及其账户的摘要列表,请从主区域中的 Security Hub 委托管理员账户运行 list-configuration-policy-associations
命令。或者,您可以提供分页参数,或者按特定策略 ID、关联类型或关联状态筛选结果。
aws securityhub --region us-east-1 list-configuration-policy-associations \
--association-type "APPLIED"
要查看特定账户的关联,请从主区域中的 Security Hub 委托管理员账户运行 get-configuration-policy-association
或 batch-get-configuration-policy-associations
命令。对于 target
,请提供账户、OU ID 或根 ID。
aws securityhub --region us-east-1 get-configuration-policy-association \
--target '{"AccountId": "123456789012"}'
查看配置策略的关联状态
以下中央配置API操作会返回一个名为的字段AssociationStatus
:
BatchGetConfigurationPolicyAssociations
GetConfigurationPolicyAssociation
ListConfigurationPolicyAssociations
StartConfigurationPolicyAssociation
当基础配置为配置策略,并且是自行管理行为时,都将返回此字段。
AssociationStatus
的值会告诉您策略关联是待处理还是处于成功或失败状态。状态从 PENDING
变为 SUCCESS
或 FAILURE
可能需要长达 24 小时的时间。父 OU 或根的关联状态取决于其子级的状态。如果所有子级的关联状态均为 SUCCESS
,则父级的关联状态为 SUCCESS
。如果一个或多个子级的关联状态均为 FAILED
,则父级的关联状态为 FAILED
。
AssociationStatus
的值还取决于所有区域。如果关联在主区域和所有关联区域成功,则 AssociationStatus
的值为 SUCCESS
。如果关联在一个或多个区域失败,则 AssociationStatus
的值为 FAILED
。
以下行为也会影响 AssociationStatus
的值:
如果目标是父 OU 或根,则只有当所有子级的状态为 SUCCESS
或 FAILED
时,AssociationStatus
才具有 SUCCESS
或 FAILED
状态。在您首次将父账户或 OU 与配置关联后,如果子账户或 OU 的关联状态发生变化(例如,添加或删除关联区域时),则除非您StartConfigurationPolicyAssociation
API再次调用,否则更改不会更新父账户或 OU 的关联状态。
如果目标是账户,则只有当主区域和所有关联区域的关联结果为 SUCCESS
或 FAILED
时,AssociationStatus
才具有 SUCCESS
或 FAILED
状态。在首次将目标账户与配置关联后,如果目标账户的关联状态变更(例如,添加或删除了关联区域时),则配置的关联状态也会随之更新。但是,除非您StartConfigurationPolicyAssociation
API再次调用,否则更改不会更新父级的关联状态。
如果您添加新的关联区域,Security Hub 会复制新区域中处于 PENDING
、SUCCESS
或 FAILED
状态的现有关联。
关联失败疑难解答
配置策略关联可能会因以下常见原因而失败:
组织管理账户不是成员:如果要将配置策略与组织管理账户关联,该账户必须已启用 Security Hub。这将使管理账户成为组织的成员账户。
AWS Config 未启用或未正确配置-要在配置策略中启用标准, AWS Config 必须启用并配置为记录相关资源。
必须从委托管理员账户进行关联 — 只有在登录委派管理员账户OUs时,您才能将策略与目标账户相关联。
必须从本地区进行关联 — 您只能在登录主区域OUs时将策略与目标账户相关联。
未启用选择加入区域:如果关联区域是委托管理员尚未启用的选择加入区域,则该区域中的成员账户或 OU 的策略关联将会失败。您可以在从委托管理员账户启用区域后重试。
成员账户已暂停:如果尝试将策略与暂停的成员账户关联,则策略关联将失败。