Überprüfen des Status und der Details der Konfigurationsrichtlinien - AWS Security Hub
Überprüfen Sie den Zuordnungsstatus einer KonfigurationsrichtlinieBehebung eines Zuordnungsfehlers

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Überprüfen des Status und der Details der Konfigurationsrichtlinien

Der delegierte AWS Security Hub Cloud Security Posture Management (CSPM) -Administrator kann die Konfigurationsrichtlinien für eine Organisation und deren Details einsehen. Dazu gehört, mit welchen Konten und Organisationseinheiten (OUs) eine Richtlinie verknüpft ist.

Hintergrundinformationen zu den Vorteilen der zentralen Konfiguration und ihrer Funktionsweise finden Sie unterGrundlegendes zur zentralen Konfiguration in Security Hub CSPM.

Wählen Sie Ihre bevorzugte Methode und folgen Sie den Schritten, um Ihre Konfigurationsrichtlinien einzusehen.

Security Hub CSPM console
So zeigen Sie die Konfigurationsrichtlinien an (Konsole)

  1. Öffnen Sie die AWS Security Hub Cloud Security Posture Management (CSPM) -Konsole unter. https://console.aws.amazon.com/securityhub/

    Melden Sie sich mit den Anmeldeinformationen des delegierten Security Hub CSPM-Administratorkontos in der Heimatregion an.

  2. Wählen Sie im Navigationsbereich Einstellungen und Konfiguration aus.

  3. Wählen Sie die Registerkarte Richtlinien, um einen Überblick über Ihre Konfigurationsrichtlinien zu erhalten.

  4. Wählen Sie eine Konfigurationsrichtlinie aus und klicken Sie auf Details anzeigen, um weitere Informationen zu dieser Richtlinie anzuzeigen, einschließlich der Konten, mit denen OUs sie verknüpft ist.

Security Hub CSPM API

Um eine zusammenfassende Liste all Ihrer Konfigurationsrichtlinien anzuzeigen, verwenden Sie den ListConfigurationPoliciesBetrieb der Security Hub CSPM-API. Wenn Sie den verwenden AWS CLI, führen Sie den list-configuration-policiesBefehl aus. Das delegierte Security Hub CSPM-Administratorkonto sollte den Vorgang in der Heimatregion aufrufen.

$ aws securityhub list-configuration-policies \
--max-items 5 \
--starting-token U2FsdGVkX19nUI2zoh+Pou9YyutlYJHWpn9xnG4hqSOhvw3o2JqjI23QDxdf

Verwenden Sie den Vorgang, um Details zu einer bestimmten Konfigurationsrichtlinie anzuzeigen. GetConfigurationPolicy Wenn Sie den verwenden AWS CLI, führen Sie den aus get-configuration-policy. Das delegierte Administratorkonto sollte den Vorgang in der Heimatregion aufrufen. Geben Sie den Amazon-Ressourcennamen (ARN) oder die ID der Konfigurationsrichtlinie ein, deren Details Sie sehen möchten.

$ aws securityhub get-configuration-policy \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"

Verwenden Sie den ListConfigurationPolicyAssociationsVorgang, um eine zusammenfassende Liste all Ihrer Konfigurationsrichtlinien und ihrer Kontozuordnungen anzuzeigen. Wenn Sie den verwenden AWS CLI, führen Sie den list-configuration-policy-associationsBefehl aus. Das delegierte Administratorkonto sollte den Vorgang in der Heimatregion aufrufen. Optional können Sie Paginierungsparameter angeben oder die Ergebnisse nach einer bestimmten Richtlinien-ID, einem Zuordnungstyp oder einem Zuordnungsstatus filtern.

$ aws securityhub list-configuration-policy-associations \
--filters '{"AssociationType": "APPLIED"}'

Verwenden Sie den GetConfigurationPolicyAssociationVorgang, um Verknüpfungen für ein bestimmtes Konto anzuzeigen. Wenn Sie den verwenden AWS CLI, führen Sie den get-configuration-policy-associationBefehl aus. Das delegierte Administratorkonto sollte den Vorgang in der Heimatregion aufrufen. Geben Sie für target die Kontonummer, OU-ID oder Root-ID an.

$ aws securityhub get-configuration-policy-association \
--target '{"AccountId": "123456789012"}'

Überprüfen Sie den Zuordnungsstatus einer Konfigurationsrichtlinie

Die folgenden API-Operationen für die zentrale Konfiguration geben ein Feld mit dem Namen zurückAssociationStatus:

  • BatchGetConfigurationPolicyAssociations

  • GetConfigurationPolicyAssociation

  • ListConfigurationPolicyAssociations

  • StartConfigurationPolicyAssociation

Dieses Feld wird sowohl zurückgegeben, wenn es sich bei der zugrunde liegenden Konfiguration um eine Konfigurationsrichtlinie handelt, als auch wenn es sich um ein selbstverwaltetes Verhalten handelt.

Der Wert von AssociationStatus gibt an, ob eine Richtlinienzuweisung für ein bestimmtes Konto noch aussteht oder ob sie erfolgreich oder nicht erfolgreich ist. Es kann bis zu 24 Stunden dauern, bis sich der Status von PENDING zu SUCCESS oder ändertFAILED. Ein Status von SUCCESS bedeutet, dass alle in der Konfigurationsrichtlinie angegebenen Einstellungen dem Konto zugeordnet sind. Ein Status von FAILED bedeutet, dass eine oder mehrere in der Konfigurationsrichtlinie angegebene Einstellungen dem Konto nicht zugeordnet werden konnten. Trotz eines FAILED Status konnte das Konto gemäß der Richtlinie teilweise konfiguriert werden. Sie könnten beispielsweise versuchen, ein Konto mit einer Konfigurationsrichtlinie zu verknüpfen, die Security Hub CSPM aktiviert, AWS Foundational Security Best Practices aktiviert und .1 deaktiviert. CloudTrail Die ersten beiden Einstellungen könnten erfolgreich sein, aber die Einstellung CloudTrail .1 könnte fehlschlagen. In diesem Beispiel lautet der Zuordnungsstatus, FAILED obwohl einige Einstellungen korrekt konfiguriert wurden.

Der Zuordnungsstatus einer übergeordneten Organisationseinheit oder der Stammorganisation hängt vom Status ihrer untergeordneten Organisationseinheiten ab. Wenn der Assoziationsstatus aller Kinder lautetSUCCESS, ist der Assoziationsstatus des ElternteilsSUCCESS. Wenn der Assoziationsstatus eines oder mehrerer Kinder lautetFAILED, ist der Assoziationsstatus des ElternteilsFAILED.

Der Wert von AssociationStatus hängt vom Assoziationsstatus der Police in allen relevanten Regionen ab. Wenn die Assoziation in der Heimatregion und allen verbundenen Regionen erfolgreich ist, AssociationStatus ist SUCCESS der Wert von. Wenn die Zuordnung in einer oder mehreren dieser Regionen fehlschlägt, AssociationStatus ist FAILED der Wert von.

Das folgende Verhalten wirkt sich auch auf den Wert von ausAssociationStatus:

  • Handelt es sich bei dem Ziel um eine übergeordnete Organisationseinheit oder um die Stammorganisation, hat sie nur dann den AssociationStatus Wert „Ein“ SUCCESS oder „FAILEDnur“, wenn alle untergeordneten Organisationseinheiten den FAILED Status „SUCCESSOder“ haben. Wenn sich der Zuordnungsstatus eines untergeordneten Kontos oder einer Organisationseinheit ändert (z. B. wenn eine verknüpfte Region hinzugefügt oder entfernt wird), nachdem Sie das übergeordnete Konto mit einer Konfiguration verknüpft haben, wird durch die Änderung der Zuordnungsstatus des übergeordneten Kontos nicht aktualisiert, es sei denn, Sie rufen die StartConfigurationPolicyAssociation API erneut auf.

  • Handelt es sich bei dem Ziel um ein Konto, hat es den AssociationStatus Wert „Von“ SUCCESS oder FAILED nur, wenn die Zuordnung ein Ergebnis von SUCCESS oder FAILED in der Heimatregion und allen verknüpften Regionen hat. Wenn sich der Zuordnungsstatus eines Zielkontos ändert (z. B. wenn eine verknüpfte Region hinzugefügt oder entfernt wird), nachdem Sie es zum ersten Mal mit einer Konfiguration verknüpft haben, wird sein Zuordnungsstatus aktualisiert. Durch die Änderung wird der Zuordnungsstatus des übergeordneten Elements jedoch nicht aktualisiert, es sei denn, Sie rufen die StartConfigurationPolicyAssociation API erneut auf.

Wenn Sie eine neue verknüpfte Region hinzufügen, repliziert Security Hub CSPM Ihre vorhandenen Verknüpfungen, die sich in einem PENDINGSUCCESS, oder FAILED Bundesstaat der neuen Region befinden.

Selbst wenn der Zuordnungsstatus lautetSUCCESS, kann der Aktivierungsstatus eines Standards, der Teil der Richtlinie ist, in einen unvollständigen Status übergehen. In diesem Fall kann Security Hub CSPM keine Ergebnisse für die Kontrollen des Standards generieren. Weitere Informationen finden Sie unter Den Status eines Standards überprüfen.

Behebung eines Zuordnungsfehlers

In AWS Security Hub Cloud Security Posture Management (CSPM) kann eine Zuordnung von Konfigurationsrichtlinien aus den folgenden häufigen Gründen fehlschlagen.

  • Das Organisationsverwaltungskonto ist kein Mitglied — Wenn Sie dem Organisationsverwaltungskonto eine Konfigurationsrichtlinie zuordnen möchten, muss für dieses Konto bereits AWS Security Hub Cloud Security Posture Management (CSPM) aktiviert sein. Dadurch wird das Verwaltungskonto zu einem Mitgliedskonto in der Organisation.

  • AWS Config ist nicht aktiviert oder nicht richtig konfiguriert — Um Standards in einer Konfigurationsrichtlinie zu aktivieren, AWS Config muss sie aktiviert und konfiguriert sein, um relevante Ressourcen aufzuzeichnen.

  • Die Verknüpfung muss über ein delegiertes Administratorkonto erfolgen — Sie können eine Richtlinie nur Zielkonten zuordnen und OUs wenn Sie mit dem delegierten Security Hub CSPM-Administratorkonto angemeldet sind.

  • Verbindung muss von der Heimatregion aus erfolgen — Sie können eine Richtlinie nur Zielkonten zuordnen und nur, OUs wenn Sie in Ihrer Heimatregion angemeldet sind.

  • Opt-in-Region nicht aktiviert — Die Richtlinienverknüpfung schlägt für ein Mitgliedskonto oder eine Organisationseinheit in einer verknüpften Region fehl, wenn es sich um eine Opt-in-Region handelt, die der delegierte Administrator nicht aktiviert hat. Sie können es erneut versuchen, nachdem Sie die Region über das delegierte Administratorkonto aktiviert haben.

  • Mitgliedskonto gesperrt — Die Richtlinienverknüpfung schlägt fehl, wenn Sie versuchen, eine Richtlinie mit einem gesperrten Mitgliedskonto zu verknüpfen.