查看配置策略状态和详细信息 - Amazon Security Hub
查看配置策略的关联状态关联失败问题排查
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

查看配置策略状态和详细信息

授权的 Amazon Security Hub 管理员可以查看组织的配置策略及其详细信息。这包括策略与哪些账户和组织单位 (OUs) 相关联。

有关中心配置的好处及其工作原理的背景信息,请参阅了解 Security Hub 中的中心配置

选择首选方法,然后按照步骤查看配置策略。

Security Hub console
查看配置策略(控制台)

  1. 打开 Amazon Security Hub 控制台,网址为https://console.aws.amazon.com/securityhub/

    使用主区域中委托 Security Hub 管理员账户的凭证登录。

  2. 在导航窗格中,选择设置配置

  3. 选择策略选项卡以查看配置策略概述。

  4. 选择一个配置策略,然后选择 View det ails 以查看有关该策略的其他详细信息,包括与哪些账户及其OUs关联的账户。

Security Hub API

要查看所有配置策略的摘要列表,请使用 ListConfigurationPoliciesSecurity Hub 的运营API。如果你使用 Amazon CLI,请运行 list-configuration-policies命令。委托 Security Hub 管理员应在主区域调用此操作。

$ aws securityhub list-configuration-policies \
--max-items 5 \
--starting-token U2FsdGVkX19nUI2zoh+Pou9YyutlYJHWpn9xnG4hqSOhvw3o2JqjI23QDxdf

要查看有关特定配置策略的详细信息,请使用 GetConfigurationPolicy操作。如果你使用 Amazon CLI,请运行 get-configuration-policy。 委派的管理员帐户应在家乡区域中调用该操作。提供您要查看其详细信息的配置策略的 Amazon 资源名称 (ARN) 或 ID。

$ aws securityhub get-configuration-policy \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"

要查看所有配置策略及其账户关联的摘要列表,请使用 ListConfigurationPolicyAssociations操作。如果你使用 Amazon CLI,请运行 list-configuration-policy-associations命令。委托管理员应在主区域调用此操作。或者,您可以提供分页参数,或者按特定策略 ID、关联类型或关联状态筛选结果。

$ aws securityhub list-configuration-policy-associations \
--filters '{"AssociationType": "APPLIED"}'

要查看特定账户的关联,请使用 GetConfigurationPolicyAssociation操作。如果你使用 Amazon CLI,请运行 get-configuration-policy-association命令。委托管理员应在主区域调用此操作。对于 target,请提供账户、OU ID 或根 ID。

$ aws securityhub get-configuration-policy-association \
--target '{"AccountId": "123456789012"}'

查看配置策略的关联状态

以下中央配置API操作会返回一个名为的字段AssociationStatus

  • BatchGetConfigurationPolicyAssociations

  • GetConfigurationPolicyAssociation

  • ListConfigurationPolicyAssociations

  • StartConfigurationPolicyAssociation

当基础配置为配置策略,并且是自行管理行为时,都将返回此字段。

的值AssociationStatus告诉您特定账户的策略关联是处于待处理状态还是处于成功或失败状态。状态从 PENDING 变为 SUCCESSFAILED 可能需要长达 24 小时的时间。状态为SUCCESS表示配置策略中指定的所有设置都与该账户相关联。状态为FAILED表示配置策略中指定的一个或多个设置未能与账户关联。尽管有FAILED状态,但可以根据策略对账户进行部分配置。例如,您可以尝试将账户与启用 Security Hub、启用 Amazon Foundational Security 最佳实践 v1.0.0 和禁用 .1 的配置策略相关联。 CloudTrail最初的两个设置可能会成功,但是 CloudTrail .1 设置可能会失败。在此示例中,FAILED即使某些设置配置正确,关联状态仍为。

父 OU 或根的关联状态取决于其子级的状态。如果所有子级的关联状态均为 SUCCESS,则父级的关联状态为 SUCCESS。如果一个或多个子级的关联状态均为 FAILED,则父级的关联状态为 FAILED

的值AssociationStatus取决于所有相关区域中该策略的关联状态。如果关联在主区域和所有关联区域成功,则 AssociationStatus 的值为 SUCCESS。如果关联在一个或多个区域失败,则 AssociationStatus 的值为 FAILED

以下行为也会影响 AssociationStatus 的值:

  • 如果目标是父 OU 或根,则只有当所有子级的状态为 SUCCESSFAILED 时,AssociationStatus 才具有 SUCCESSFAILED 状态。在您首次将父账户或 OU 与配置关联后,如果子账户或 OU 的关联状态发生变化(例如,添加或删除关联区域时),则除非您StartConfigurationPolicyAssociationAPI再次调用,否则更改不会更新父账户或 OU 的关联状态。

  • 如果目标是账户,则只有当主区域和所有关联区域的关联结果为 SUCCESSFAILED 时,AssociationStatus 才具有 SUCCESSFAILED 状态。在首次将目标账户与配置关联后,如果目标账户的关联状态变更(例如,添加或删除了关联区域时),则配置的关联状态也会随之更新。但是,除非您StartConfigurationPolicyAssociationAPI再次调用,否则更改不会更新父级的关联状态。

如果您添加新的关联区域,Security Hub 会复制新区域中处于 PENDINGSUCCESSFAILED 状态的现有关联。

关联失败问题排查

在中 Amazon Security Hub,配置策略关联可能由于以下常见原因而失败。

  • Organizations 管理账户不是成员 — 如果要将配置策略与 Organizations 管理账户关联,则该账户必须已 Amazon Security Hub 启用。这将使管理账户成为组织的成员账户。

  • Amazon Config 未启用或未正确配置-要在配置策略中启用标准, Amazon Config 必须启用并配置为记录相关资源。

  • 必须从委托管理员账户进行关联 — 只有在登录委派的 Security Hub 管理员账户OUs时,您才能将策略与目标账户相关联。

  • 必须从本地区进行关联 — 您只能将保单与目标账户相关联,也只能在您登录所在地区OUs时进行关联。

  • 未启用选择加入区域:如果关联区域是委托管理员尚未启用的选择加入区域,则该区域中的成员账户或 OU 的策略关联将会失败。您可以在从委托管理员账户启用区域后重试。

  • 成员账户已暂停:如果尝试将策略与暂停的成员账户关联,则策略关联将失败。