Examen de l'état et des détails des politiques de configuration - AWS Security Hub
Révision du statut d'association d'une politique de configurationRésolution des problèmes d'association

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Examen de l'état et des détails des politiques de configuration

L'administrateur délégué AWS de Security Hub Cloud Security Posture Management (CSPM) peut consulter les politiques de configuration d'une organisation et leurs détails. Cela inclut les comptes et les unités organisationnelles (OUs) auxquels une politique est associée.

Pour obtenir des informations générales sur les avantages de la configuration centralisée et son fonctionnement, consultezComprendre la configuration centrale dans Security Hub CSPM.

Choisissez votre méthode préférée et suivez les étapes pour consulter vos politiques de configuration.

Security Hub CSPM console
Pour consulter les politiques de configuration (console)

  1. Ouvrez la console AWS Security Posture Management (CSPM) du Security Hub Cloud à l'adresse. https://console.aws.amazon.com/securityhub/

    Connectez-vous à l'aide des informations d'identification du compte administrateur délégué du Security Hub CSPM dans la région d'origine.

  2. Dans le volet de navigation, sélectionnez Paramètres et configuration.

  3. Choisissez l'onglet Politiques pour obtenir un aperçu de vos politiques de configuration.

  4. Sélectionnez une politique de configuration, puis choisissez Afficher les détails pour obtenir des informations supplémentaires à son sujet, notamment les comptes auxquels OUs elle est associée.

Security Hub CSPM API

Pour afficher une liste récapitulative de toutes vos politiques de configuration, utilisez le ListConfigurationPoliciesfonctionnement de l'API Security Hub CSPM. Si vous utilisez le AWS CLI, exécutez la list-configuration-policiescommande. Le compte administrateur délégué du Security Hub CSPM doit appeler l'opération dans la région d'origine.

$ aws securityhub list-configuration-policies \
--max-items 5 \
--starting-token U2FsdGVkX19nUI2zoh+Pou9YyutlYJHWpn9xnG4hqSOhvw3o2JqjI23QDxdf

Pour afficher les détails d'une politique de configuration spécifique, utilisez l'GetConfigurationPolicyopération. Si vous utilisez le AWS CLI, lancez le get-configuration-policy. Le compte d'administrateur délégué doit invoquer l'opération dans la région d'origine. Indiquez le nom de ressource Amazon (ARN) ou l'ID de la politique de configuration dont vous souhaitez consulter les détails.

$ aws securityhub get-configuration-policy \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"

Pour afficher une liste récapitulative de toutes vos politiques de configuration et de leurs associations de comptes, utilisez l'ListConfigurationPolicyAssociationsopération use the. Si vous utilisez le AWS CLI, exécutez la list-configuration-policy-associationscommande. Le compte d'administrateur délégué doit invoquer l'opération dans la région d'origine. Vous pouvez éventuellement fournir des paramètres de pagination ou filtrer les résultats en fonction d'un ID de politique, d'un type d'association ou d'un statut d'association spécifique.

$ aws securityhub list-configuration-policy-associations \
--filters '{"AssociationType": "APPLIED"}'

Pour afficher les associations associées à un compte spécifique, utilisez l'GetConfigurationPolicyAssociationopération. Si vous utilisez le AWS CLI, exécutez la get-configuration-policy-associationcommande. Le compte d'administrateur délégué doit invoquer l'opération dans la région d'origine. Pourtarget, indiquez le numéro de compte, l'ID de l'unité d'organisation ou l'identifiant root.

$ aws securityhub get-configuration-policy-association \
--target '{"AccountId": "123456789012"}'

Révision du statut d'association d'une politique de configuration

Les opérations d'API de configuration centrale suivantes renvoient un champ appelé AssociationStatus :

  • BatchGetConfigurationPolicyAssociations

  • GetConfigurationPolicyAssociation

  • ListConfigurationPolicyAssociations

  • StartConfigurationPolicyAssociation

Ce champ est renvoyé à la fois lorsque la configuration sous-jacente est une politique de configuration et lorsqu'il s'agit d'un comportement autogéré.

La valeur de AssociationStatus indique si une association de politiques est en attente ou en cours de réussite ou d'échec pour un compte spécifique. Le passage de l'état à SUCCESS ou peut prendre jusqu'PENDINGà 24 heuresFAILED. Un statut de SUCCESS signifie que tous les paramètres spécifiés dans la politique de configuration sont associés au compte. Un statut de FAILED signifie qu'un ou plusieurs paramètres spécifiés dans la politique de configuration n'ont pas pu être associés au compte. Malgré un FAILED statut, le compte peut être partiellement configuré conformément à la politique. Par exemple, vous pouvez essayer d'associer un compte à une politique de configuration qui active Security Hub CSPM, active les meilleures pratiques de sécurité AWS fondamentales et désactive la version .1. CloudTrail Les deux premiers paramètres peuvent réussir, mais le paramètre CloudTrail .1 peut échouer. Dans cet exemple, le statut de l'association est FAILED même si certains paramètres ont été correctement configurés.

Le statut d'association d'une unité d'organisation parent ou de la racine dépend du statut de ses enfants. Si le statut d'association de tous les enfants est le SUCCESS même, le statut d'association du parent l'estSUCCESS. Si le statut d'association d'un ou de plusieurs enfants est le mêmeFAILED, le statut d'association du parent l'estFAILED.

La valeur de AssociationStatus dépend du statut associatif de la politique dans toutes les régions concernées. Si l'association réussit dans la région d'origine et dans toutes les régions associées, la valeur de AssociationStatus estSUCCESS. Si l'association échoue dans une ou plusieurs de ces régions, la valeur de AssociationStatus estFAILED.

Le comportement suivant a également un impact sur la valeur de AssociationStatus :

  • Si la cible est une unité d'organisation parent ou la racine, elle possède un statut AssociationStatus de SUCCESS ou FAILED uniquement lorsque tous les enfants ont le FAILED statut SUCCESS ou. Si le statut d'association d'un compte enfant ou d'une unité d'organisation change (par exemple, lorsqu'une région associée est ajoutée ou supprimée) après avoir associé le parent pour la première fois à une configuration, la modification ne met pas à jour le statut d'association du parent, sauf si vous appelez à nouveau l'StartConfigurationPolicyAssociationAPI.

  • Si la cible est un compte, elle possède un AssociationStatus compte SUCCESS ou FAILED uniquement si l'association a un résultat FAILED dans SUCCESS ou dans la région d'origine et toutes les régions associées. Si le statut d'association d'un compte cible change (par exemple, lorsqu'une région associée est ajoutée ou supprimée) une fois que vous l'avez associée pour la première fois à une configuration, son statut d'association est mis à jour. Toutefois, la modification ne met pas à jour le statut d'association du parent, sauf si vous invoquez à nouveau l'StartConfigurationPolicyAssociationAPI.

Si vous ajoutez une nouvelle région liée, Security Hub CSPM réplique vos associations existantes qui se trouvent dans une PENDINGSUCCESS, ou un FAILED état de la nouvelle région.

Même lorsque le statut de l'association est définiSUCCESS, le statut d'activation d'une norme faisant partie de la politique peut passer à un état incomplet. Dans ce cas, Security Hub CSPM ne peut pas générer de résultats pour les contrôles de la norme. Pour de plus amples informations, veuillez consulter Vérifier le statut d'une norme.

Résolution des problèmes d'association

Dans AWS Security Hub Cloud Security Posture Management (CSPM), une association de politiques de configuration peut échouer pour les raisons courantes suivantes.

  • Le compte de gestion des organisations n'est pas membre : si vous souhaitez associer une politique de configuration au compte de gestion Organizations, AWS Security Hub Cloud Security Posture Management (CSPM) doit déjà être activé sur ce compte. Le compte de gestion devient ainsi un compte membre de l'organisation.

  • AWS Config n'est pas activé ou correctement configuré : pour activer les normes dans une politique de configuration, AWS Config il doit être activé et configuré pour enregistrer les ressources pertinentes.

  • L'association doit être effectuée à partir d'un compte d'administrateur délégué : vous ne pouvez associer une politique qu'à des comptes cibles et OUs lorsque vous êtes connecté au compte administrateur délégué du Security Hub CSPM.

  • Vous devez vous associer depuis votre région d'origine : vous ne pouvez associer une politique qu'à des comptes cibles et OUs lorsque vous êtes connecté à votre région d'origine.

  • Région optionnelle non activée : l'association de politiques échoue pour un compte membre ou une unité d'organisation dans une région associée s'il s'agit d'une région optionnelle que l'administrateur délégué n'a pas activée. Vous pouvez réessayer après avoir activé la région à partir du compte d'administrateur délégué.

  • Compte de membre suspendu : l'association de règles échoue si vous essayez d'associer une politique à un compte de membre suspendu.