查看 Security Hub 配置策略 - Amazon Security Hub
配置的关联状态关联失败的常见原因
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

查看 Security Hub 配置策略

委托管理员账户可以查看组织的 Amazon Security Hub 配置策略及其详细信息。

选择首选方法,然后按照步骤查看配置策略。

Console
要查看配置策略

  1. 通过以下网址打开Amazon Security Hub控制台:https://console.aws.amazon.com/securityhub/

    使用主区域中 Security Hub 委托管理员账户的凭证登录。

  2. 在导航窗格中,选择设置配置

  3. 选择策略选项卡以查看配置策略概述。

  4. 选择一个配置策略,然后选择查看详细信息,查看有关该策略的其他详细信息。

API

要查看配置策略

要查看所有配置策略的摘要列表,请从主区域中的 Security Hub 委托管理员账户调用 ListConfigurationPolicies API。您可以提供可选的分页参数

API 请求示例

{
    "MaxResults": 5,
    "NextToken": "U2FsdGVkX19nUI2zoh+Pou9YyutlYJHWpn9xnG4hqSOhvw3o2JqjI23QDxdf"
}

要查看特定配置策略的摘要列表,请从主区域中的 Security Hub 委托管理员账户调用 GetConfigurationPolicy API。提供要查看其详细信息的配置策略的 Amazon 资源名称(ARN)或 ID。

API 请求示例

{
    "Identifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
}

要查看所有配置策略及其关联的摘要列表,请从主区域中的 Security Hub 委托管理员账户调用 ListConfigurationPolicyAssociations API。或者,您可以提供分页参数,或者按特定策略 ID、关联类型或关联状态筛选结果。

API 请求示例

{
    "AssociationType": "APPLIED"
}

要查看特定账户、OU 或根的关联,请从主区域中的 Security Hub 委托管理员账户调用 GetConfigurationPolicyAssociationBatchGetConfigurationPolicyAssociations API。对于 Target,请提供账户、OU ID 或根 ID。

{
    "Target": {"AccountId": "123456789012"}
}
Amazon CLI

要查看配置策略

要查看所有配置策略的摘要列表,请从主区域中的 Security Hub 委托管理员账户运行 list-configuration-policies 命令。

命令示例:

aws securityhub --region us-east-1 list-configuration-policies \
--max-items 5 \
--starting-token U2FsdGVkX19nUI2zoh+Pou9YyutlYJHWpn9xnG4hqSOhvw3o2JqjI23QDxdf

要查看特定配置策略的摘要列表,请从主区域中的 Security Hub 委托管理员账户运行 get-configuration-policy 命令。提供要查看其详细信息的配置策略的 Amazon 资源名称(ARN)或 ID。

aws securityhub --region us-east-1 get-configuration-policy \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"

要查看所有配置策略及其账户的摘要列表,请从主区域中的 Security Hub 委托管理员账户运行 list-configuration-policy-associations 命令。或者,您可以提供分页参数,或者按特定策略 ID、关联类型或关联状态筛选结果。

aws securityhub --region us-east-1 list-configuration-policy-associations \
--association-type "APPLIED"

要查看特定账户的关联,请从主区域中的 Security Hub 委托管理员账户运行 get-configuration-policy-associationbatch-get-configuration-policy-associations 命令。对于 target,请提供账户、OU ID 或根 ID。

aws securityhub --region us-east-1 get-configuration-policy-association \
--target '{"AccountId": "123456789012"}'

配置的关联状态

以下中心配置 API 操作将返回一个名为 AssociationStatus 的字段:

  • BatchGetConfigurationPolicyAssociations

  • GetConfigurationPolicyAssociation

  • ListConfigurationPolicyAssociations

  • StartConfigurationPolicyAssociation

当基础配置为配置策略,并且是自行管理行为时,都将返回此字段。

AssociationStatus 的值会告诉您策略关联是待处理还是处于成功或失败状态。状态从 PENDING 变为 SUCCESSFAILURE 可能需要长达 24 小时的时间。父 OU 或根的关联状态取决于其子级的状态。如果所有子级的关联状态均为 SUCCESS,则父级的关联状态为 SUCCESS。如果一个或多个子级的关联状态均为 FAILED,则父级的关联状态为 FAILED

AssociationStatus 的值还取决于所有区域。如果关联在主区域和所有关联区域成功,则 AssociationStatus 的值为 SUCCESS。如果关联在一个或多个区域失败,则 AssociationStatus 的值为 FAILED

以下行为也会影响 AssociationStatus 的值:

  • 如果目标是父 OU 或根,则只有当所有子级的状态为 SUCCESSFAILED 时,AssociationStatus 才具有 SUCCESSFAILED 状态。在首次将父级与配置关联后,如果子账户或 OU 的关联状态变更(例如,添加或删除了关联区域时),则除非再次调用 StartConfigurationPolicyAssociation API,否则变更不会使父级的关联状态更新。

  • 如果目标是账户,则只有当主区域和所有关联区域的关联结果为 SUCCESSFAILED 时,AssociationStatus 才具有 SUCCESSFAILED 状态。在首次将目标账户与配置关联后,如果目标账户的关联状态变更(例如,添加或删除了关联区域时),则配置的关联状态也会随之更新。但除非再次调用 StartConfigurationPolicyAssociation API,否则变更不会使父级的关联状态更新。

如果您添加新的关联区域,Security Hub 会复制新区域中处于 PENDINGSUCCESSFAILED 状态的现有关联。

关联失败的常见原因

配置策略关联可能会因以下常见原因而失败:

  • 组织管理账户不是成员:如果要将配置策略与组织管理账户关联,该账户必须已启用 Security Hub。这将使管理账户成为组织的成员账户。

  • Amazon Config 未启用或未正确配置:要在配置策略中启用标准,必须启用并配置 Amazon Config 以记录相关资源。

  • 必须从委托管理员账户关联:只有在登录委托管理员账户后,才能将策略与目标账户和 OU 关联。

  • 必须从主区域关联:只有在登录主区域后,才能将策略与目标账户和 OU 关联。

  • 未启用选择加入区域:如果关联区域是委托管理员尚未启用的选择加入区域,则该区域中的成员账户或 OU 的策略关联将会失败。您可以在从委托管理员账户启用区域后重试。

  • 成员账户已暂停:如果尝试将策略与暂停的成员账户关联,则策略关联将失败。