檢視組態政策狀態和詳細資訊 - AWS Security Hub
檢閱組態政策的關聯狀態對關聯失敗進行故障診斷

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

檢視組態政策狀態和詳細資訊

委派的 AWS Security Hub 管理員可以檢視組織的組態政策及其詳細資訊。這包括與政策相關聯的帳戶和組織單位 (OUs)。

如需有關中央組態優點及其運作方式的背景資訊,請參閱 了解安全中心中的中央配置

選擇您偏好的方法,然後依照步驟檢視您的組態政策。

Security Hub console
檢視組態政策 (主控台)

  1. 在 開啟 AWS Security Hub 主控台https://console.aws.amazon.com/securityhub/

    使用主要區域中委派 Security Hub 管理員帳戶的憑證登入。

  2. 在導覽窗格中,選擇設定組態

  3. 選擇政策索引標籤,以取得組態政策的概觀。

  4. 選取組態政策,然後選擇檢視詳細資訊,以查看有關該政策的其他詳細資訊,包括與哪些帳戶及其OUs相關聯的帳戶。

Security Hub API

若要檢視所有組態政策的摘要清單,請使用 ListConfigurationPolicies Security Hub 的操作API。如果您使用 AWS CLI,請執行 list-configuration-policies 命令。委派的 Security Hub 管理員帳戶應該叫用主區域中的操作。

$ aws securityhub list-configuration-policies \
--max-items 5 \
--starting-token U2FsdGVkX19nUI2zoh+Pou9YyutlYJHWpn9xnG4hqSOhvw3o2JqjI23QDxdf

若要檢視特定組態政策的詳細資訊,請使用 GetConfigurationPolicy 操作。如果您使用 AWS CLI,請執行 get-configuration-policy。 委派的管理員帳戶應該叫用主區域中的操作。提供您要查看其詳細資訊之組態政策的 Amazon Resource Name (ARN) 或 ID。

$ aws securityhub get-configuration-policy \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"

若要檢視所有組態政策及其帳戶關聯的摘要清單,請使用 ListConfigurationPolicyAssociations 操作。如果您使用 AWS CLI,請執行 list-configuration-policy-associations 命令。委派的管理員帳戶應該叫用主區域中的操作。或者,您可以提供分頁參數,或依特定政策 ID、關聯類型或關聯狀態篩選結果。

$ aws securityhub list-configuration-policy-associations \
--filters '{"AssociationType": "APPLIED"}'

若要檢視特定帳戶的關聯,請使用 GetConfigurationPolicyAssociation 操作。如果您使用 AWS CLI,請執行 get-configuration-policy-association 命令。委派的管理員帳戶應該叫用主區域中的操作。對於 target,請提供帳戶號碼、OU ID 或根 ID。

$ aws securityhub get-configuration-policy-association \
--target '{"AccountId": "123456789012"}'

檢閱組態政策的關聯狀態

下列中央組態API操作會傳回名為 的欄位AssociationStatus

  • BatchGetConfigurationPolicyAssociations

  • GetConfigurationPolicyAssociation

  • ListConfigurationPolicyAssociations

  • StartConfigurationPolicyAssociation

當基礎組態為組態政策時,以及當其為自我管理行為時,此欄位都會傳回。

的值AssociationStatus會告訴您政策關聯是待處理,還是處於成功或失敗狀態。狀態最多可能需要 24 小時才能從 PENDING 變更為 SUCCESSFAILURE。父 OU 或根的關聯狀態取決於其子系的狀態。如果所有子項的關聯狀態為 SUCCESS,則父系的關聯狀態為 SUCCESS。如果一或多個子項的關聯狀態為 FAILED,則父項的關聯狀態為 FAILED

的值AssociationStatus也取決於所有區域。如果關聯在主要區域和所有連結區域中成功,則 的值AssociationStatusSUCCESS。如果這些區域中的一或多個關聯失敗,則 的值AssociationStatusFAILED

下列行為也會影響 的值AssociationStatus

  • 如果目標為父 OU 或根,FAILED則僅當所有子項都具有 SUCCESSFAILED 狀態時,才會具有 AssociationStatus SUCCESS或 。如果子帳戶或 OU 的關聯狀態在您第一次將父系與組態建立關聯之後變更 (例如,新增或移除連結區域時),則除非您StartConfigurationPolicyAssociationAPI再次叫用 ,否則變更不會更新父系的關聯狀態。

  • 如果目標為 帳戶,則SUCCESSFAILED只有在 關聯具有FAILED主要區域和所有連結區域中的結果時,該目標才會具有 AssociationStatus SUCCESS或 。如果目標帳戶的關聯狀態在您第一次將其與組態建立關聯後變更 (例如,新增或移除連結的區域時),則會更新其關聯狀態。不過,除非您StartConfigurationPolicyAssociationAPI再次叫用 ,否則變更不會更新父系的關聯狀態。

如果您新增連結的區域,Security Hub 會複寫位於新區域中 PENDINGSUCCESSFAILED 狀態的現有關聯。

對關聯失敗進行故障診斷

在 中 AWS Security Hub,組態政策關聯可能會因下列常見原因而失敗。

  • Organizations 管理帳戶不是成員 – 如果您想要將組態政策與 Organizations 管理帳戶建立關聯,該帳戶必須已啟用 AWS Security Hub 。這使得管理帳戶成為組織中的成員帳戶。

  • AWS Config 未啟用或正確設定 – 若要在組態政策中啟用標準, AWS Config 必須啟用並設定 以記錄相關資源。

  • 必須從委派的管理員帳戶建立關聯 – 您只能在登入委派的 Security Hub 管理員帳戶OUs時,將政策與目標帳戶建立關聯。

  • 必須從主要區域建立關聯 – 您只能在登入主要區域OUs時將政策與目標帳戶建立關聯。

  • 未啟用選擇加入區域 – 如果已連結區域中的成員帳戶或 OU 是委派管理員尚未啟用的選擇加入區域,則政策關聯會失敗。您可以在從委派的管理員帳戶啟用區域後重試。

  • 暫停成員帳戶 – 如果您嘗試將政策與暫停成員帳戶建立關聯,則政策關聯會失敗。