查看配置策略状态和详细信息 - AWS Security Hub
查看配置策略的关联状态关联失败疑难解答

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

查看配置策略状态和详细信息

授权的 AWS Security Hub 管理员可以查看组织的配置策略及其详细信息。这包括策略与哪些账户和组织单位 (OUs) 相关联。

有关中央配置的好处及其工作原理的背景信息,请参阅了解 Security Hub 中的中央配置

选择首选方法,然后按照步骤查看配置策略。

Security Hub console
查看配置策略(控制台)

  1. 打开 AWS Security Hub 控制台,网址为https://console.aws.amazon.com/securityhub/

    使用主区域中委托 Security Hub 管理员账户的凭证登录。

  2. 在导航窗格中,选择设置配置

  3. 选择 “策略” 选项卡,概述您的配置策略。

  4. 选择一个配置策略,然后选择查看详细信息以查看有关该策略的其他详细信息,包括与哪些账户及其OUs关联的账户。

Security Hub API

要查看所有配置策略的摘要列表,请使用 ListConfigurationPoliciesSecurity Hub 的运营API。如果你使用 AWS CLI,请运行 list-configuration-policies命令。委派的 Security Hub 管理员帐户应在主区域中调用该操作。

$ aws securityhub list-configuration-policies \
--max-items 5 \
--starting-token U2FsdGVkX19nUI2zoh+Pou9YyutlYJHWpn9xnG4hqSOhvw3o2JqjI23QDxdf

要查看有关特定配置策略的详细信息,请使用 GetConfigurationPolicy操作。如果你使用 AWS CLI,请运行 get-configuration-policy。 委派的管理员帐户应在家乡区域中调用该操作。提供您要查看其详细信息的配置策略的 Amazon 资源名称 (ARN) 或 ID。

$ aws securityhub get-configuration-policy \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"

要查看所有配置策略及其账户关联的摘要列表,请使用 ListConfigurationPolicyAssociations操作。如果你使用 AWS CLI,请运行 list-configuration-policy-associations命令。委派的管理员帐户应在家乡区域中调用该操作。或者,您可以提供分页参数,或者按特定策略 ID、关联类型或关联状态筛选结果。

$ aws securityhub list-configuration-policy-associations \
--filters '{"AssociationType": "APPLIED"}'

要查看特定账户的关联,请使用 GetConfigurationPolicyAssociation操作。如果你使用 AWS CLI,请运行 get-configuration-policy-association命令。委派的管理员帐户应在家乡区域中调用该操作。对于 target,请提供账户、OU ID 或根 ID。

$ aws securityhub get-configuration-policy-association \
--target '{"AccountId": "123456789012"}'

查看配置策略的关联状态

以下中央配置API操作会返回一个名为的字段AssociationStatus

  • BatchGetConfigurationPolicyAssociations

  • GetConfigurationPolicyAssociation

  • ListConfigurationPolicyAssociations

  • StartConfigurationPolicyAssociation

当基础配置为配置策略,并且是自行管理行为时,都将返回此字段。

AssociationStatus 的值会告诉您策略关联是待处理还是处于成功或失败状态。状态从 PENDING 变为 SUCCESSFAILURE 可能需要长达 24 小时的时间。父 OU 或根的关联状态取决于其子级的状态。如果所有子级的关联状态均为 SUCCESS,则父级的关联状态为 SUCCESS。如果一个或多个子级的关联状态均为 FAILED,则父级的关联状态为 FAILED

AssociationStatus 的值还取决于所有区域。如果关联在主区域和所有关联区域成功,则 AssociationStatus 的值为 SUCCESS。如果关联在一个或多个区域失败,则 AssociationStatus 的值为 FAILED

以下行为也会影响 AssociationStatus 的值:

  • 如果目标是父 OU 或根,则只有当所有子级的状态为 SUCCESSFAILED 时,AssociationStatus 才具有 SUCCESSFAILED 状态。在您首次将父账户或 OU 与配置关联后,如果子账户或 OU 的关联状态发生变化(例如,添加或删除关联区域时),则除非您StartConfigurationPolicyAssociationAPI再次调用,否则更改不会更新父账户或 OU 的关联状态。

  • 如果目标是账户,则只有当主区域和所有关联区域的关联结果为 SUCCESSFAILED 时,AssociationStatus 才具有 SUCCESSFAILED 状态。在首次将目标账户与配置关联后,如果目标账户的关联状态变更(例如,添加或删除了关联区域时),则配置的关联状态也会随之更新。但是,除非您StartConfigurationPolicyAssociationAPI再次调用,否则更改不会更新父级的关联状态。

如果您添加新的关联区域,Security Hub 会复制新区域中处于 PENDINGSUCCESSFAILED 状态的现有关联。

关联失败疑难解答

在中 AWS Security Hub,配置策略关联可能由于以下常见原因而失败。

  • Organizations 管理账户不是成员 — 如果要将配置策略与 Organizations 管理账户关联,则该账户必须已 AWS Security Hub 启用。这将使管理账户成为组织的成员账户。

  • AWS Config 未启用或未正确配置-要在配置策略中启用标准, AWS Config 必须启用并配置为记录相关资源。

  • 必须从委托管理员账户进行关联 — 只有在登录委派的 Security Hub 管理员账户OUs时,您才能将策略与目标账户相关联。

  • 必须从本地区进行关联 — 您只能将保单与目标账户相关联,也只能在您登录所在地区OUs时进行关联。

  • 未启用选择加入区域:如果关联区域是委托管理员尚未启用的选择加入区域,则该区域中的成员账户或 OU 的策略关联将会失败。您可以在从委托管理员账户启用区域后重试。

  • 成员账户已暂停:如果尝试将策略与暂停的成员账户关联,则策略关联将失败。