查看配置策略状态和详细信息 - AWS Security Hub
查看配置策略的关联状态关联失败疑难解答

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

查看配置策略状态和详细信息

授权的 AWS Security Hub 管理员可以查看组织的配置策略及其详细信息。这包括策略与哪些账户和组织单位 (OUs) 相关联。

有关中央配置的好处及其工作原理的背景信息,请参阅了解 Security Hub 中的中央配置

选择首选方法,然后按照步骤查看配置策略。

Console
要查看配置策略

  1. 打开 AWS Security Hub 控制台,网址为https://console.aws.amazon.com/securityhub/

    使用主区域中 Security Hub 委托管理员账户的凭证登录。

  2. 在导航窗格中,选择设置配置

  3. 选择 “策略” 选项卡,概述您的配置策略。

  4. 选择一个配置策略,然后选择 View det ails 以查看有关该策略的其他详细信息,包括与哪些账户及其OUs关联的账户。

API

要查看配置策略

要查看所有配置策略的摘要列表,请ListConfigurationPoliciesAPI从您所在地区的 Security Hub 委托管理员账户中调用。您可以提供可选的分页参数

API请求示例:

{
    "MaxResults": 5,
    "NextToken": "U2FsdGVkX19nUI2zoh+Pou9YyutlYJHWpn9xnG4hqSOhvw3o2JqjI23QDxdf"
}

要查看有关特定配置策略的详细信息,请GetConfigurationPolicyAPI从您所在地区的 Security Hub 委托管理员账户中调用。提供您要查看其详细信息的配置策略的 Amazon 资源名称 (ARN) 或 ID。

API请求示例:

{
    "Identifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
}

要查看所有配置策略及其关联的摘要列表,请ListConfigurationPolicyAssociationsAPI从您所在地区的 Security Hub 委托管理员账户中调用。或者,您可以提供分页参数,或者按特定策略 ID、关联类型或关联状态筛选结果。

API请求示例:

{
    "AssociationType": "APPLIED"
}

要查看特定账户、组织单位或根账户的关联,请BatchGetConfigurationPolicyAssociationsAPI从您所在区域的 Security Hub 委托管理员账户调用GetConfigurationPolicyAssociation或。对于 Target,请提供账户、OU ID 或根 ID。

{
    "Target": {"AccountId": "123456789012"}
}
AWS CLI

要查看配置策略

要查看所有配置策略的摘要列表,请从主区域中的 Security Hub 委托管理员账户运行 list-configuration-policies 命令。

命令示例:

aws securityhub --region us-east-1 list-configuration-policies \
--max-items 5 \
--starting-token U2FsdGVkX19nUI2zoh+Pou9YyutlYJHWpn9xnG4hqSOhvw3o2JqjI23QDxdf

要查看特定配置策略的摘要列表,请从主区域中的 Security Hub 委托管理员账户运行 get-configuration-policy 命令。提供您要查看其详细信息的配置策略的 Amazon 资源名称 (ARN) 或 ID。

aws securityhub --region us-east-1 get-configuration-policy \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"

要查看所有配置策略及其账户的摘要列表,请从主区域中的 Security Hub 委托管理员账户运行 list-configuration-policy-associations 命令。或者,您可以提供分页参数,或者按特定策略 ID、关联类型或关联状态筛选结果。

aws securityhub --region us-east-1 list-configuration-policy-associations \
--association-type "APPLIED"

要查看特定账户的关联,请从主区域中的 Security Hub 委托管理员账户运行 get-configuration-policy-associationbatch-get-configuration-policy-associations 命令。对于 target,请提供账户、OU ID 或根 ID。

aws securityhub --region us-east-1 get-configuration-policy-association \
--target '{"AccountId": "123456789012"}'

查看配置策略的关联状态

以下中央配置API操作会返回一个名为的字段AssociationStatus

  • BatchGetConfigurationPolicyAssociations

  • GetConfigurationPolicyAssociation

  • ListConfigurationPolicyAssociations

  • StartConfigurationPolicyAssociation

当基础配置为配置策略,并且是自行管理行为时,都将返回此字段。

AssociationStatus 的值会告诉您策略关联是待处理还是处于成功或失败状态。状态从 PENDING 变为 SUCCESSFAILURE 可能需要长达 24 小时的时间。父 OU 或根的关联状态取决于其子级的状态。如果所有子级的关联状态均为 SUCCESS,则父级的关联状态为 SUCCESS。如果一个或多个子级的关联状态均为 FAILED,则父级的关联状态为 FAILED

AssociationStatus 的值还取决于所有区域。如果关联在主区域和所有关联区域成功,则 AssociationStatus 的值为 SUCCESS。如果关联在一个或多个区域失败,则 AssociationStatus 的值为 FAILED

以下行为也会影响 AssociationStatus 的值:

  • 如果目标是父 OU 或根,则只有当所有子级的状态为 SUCCESSFAILED 时,AssociationStatus 才具有 SUCCESSFAILED 状态。在您首次将父账户或 OU 与配置关联后,如果子账户或 OU 的关联状态发生变化(例如,添加或删除关联区域时),则除非您StartConfigurationPolicyAssociationAPI再次调用,否则更改不会更新父账户或 OU 的关联状态。

  • 如果目标是账户,则只有当主区域和所有关联区域的关联结果为 SUCCESSFAILED 时,AssociationStatus 才具有 SUCCESSFAILED 状态。在首次将目标账户与配置关联后,如果目标账户的关联状态变更(例如,添加或删除了关联区域时),则配置的关联状态也会随之更新。但是,除非您StartConfigurationPolicyAssociationAPI再次调用,否则更改不会更新父级的关联状态。

如果您添加新的关联区域,Security Hub 会复制新区域中处于 PENDINGSUCCESSFAILED 状态的现有关联。

关联失败疑难解答

配置策略关联可能会因以下常见原因而失败:

  • 组织管理账户不是成员:如果要将配置策略与组织管理账户关联,该账户必须已启用 Security Hub。这将使管理账户成为组织的成员账户。

  • AWS Config 未启用或未正确配置-要在配置策略中启用标准, AWS Config 必须启用并配置为记录相关资源。

  • 必须从委托管理员账户进行关联 — 只有在登录委派管理员账户OUs时,您才能将策略与目标账户相关联。

  • 必须从本地区进行关联 — 您只能在登录主区域OUs时将策略与目标账户相关联。

  • 未启用选择加入区域:如果关联区域是委托管理员尚未启用的选择加入区域,则该区域中的成员账户或 OU 的策略关联将会失败。您可以在从委托管理员账户启用区域后重试。

  • 成员账户已暂停:如果尝试将策略与暂停的成员账户关联,则策略关联将失败。