Meninjau status dan detail kebijakan konfigurasi - AWS Security Hub
Meninjau status asosiasi kebijakan konfigurasiMengatasi masalah kegagalan asosiasi

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Meninjau status dan detail kebijakan konfigurasi

Administrator AWS Security Hub Cloud Security Posture Management (CSPM) yang didelegasikan dapat melihat kebijakan konfigurasi untuk organisasi dan detailnya. Ini termasuk akun dan unit organisasi (OUs) mana yang terkait dengan kebijakan.

Untuk informasi latar belakang tentang manfaat konfigurasi pusat dan cara kerjanya, lihatMemahami konfigurasi pusat di Security Hub CSPM.

Pilih metode pilihan Anda, dan ikuti langkah-langkah untuk melihat kebijakan konfigurasi Anda.

Security Hub CSPM console
Untuk melihat kebijakan konfigurasi (konsol)

  1. Buka konsol AWS Security Hub Cloud Security Posture Management (CSPM) di. https://console.aws.amazon.com/securityhub/

    Masuk menggunakan kredensional akun administrator CSPM Security Hub yang didelegasikan di Wilayah asal.

  2. Di panel navigasi, pilih Pengaturan dan Konfigurasi.

  3. Pilih tab Kebijakan untuk ikhtisar kebijakan konfigurasi Anda.

  4. Pilih kebijakan konfigurasi, dan pilih Lihat detail untuk melihat detail tambahan tentangnya, termasuk akun mana dan OUs yang terkait dengannya.

Security Hub CSPM API

Untuk melihat daftar ringkasan semua kebijakan konfigurasi Anda, gunakan ListConfigurationPoliciespengoperasian API CSPM Security Hub. Jika Anda menggunakan AWS CLI, jalankan list-configuration-policiesperintah. Akun administrator CSPM Security Hub yang didelegasikan harus menjalankan operasi di Wilayah asal.

$ aws securityhub list-configuration-policies \
--max-items 5 \
--starting-token U2FsdGVkX19nUI2zoh+Pou9YyutlYJHWpn9xnG4hqSOhvw3o2JqjI23QDxdf

Untuk melihat detail tentang kebijakan konfigurasi tertentu, gunakan GetConfigurationPolicyoperasi. Jika Anda menggunakan AWS CLI, jalankan get-configuration-policy. Akun administrator yang didelegasikan harus menjalankan operasi di Wilayah asal. Berikan Nama Sumber Daya Amazon (ARN) atau ID kebijakan konfigurasi yang detailnya ingin Anda lihat.

$ aws securityhub get-configuration-policy \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"

Untuk melihat daftar ringkasan semua kebijakan konfigurasi Anda dan asosiasi akun mereka, gunakan ListConfigurationPolicyAssociationsoperasi. Jika Anda menggunakan AWS CLI, jalankan list-configuration-policy-associationsperintah. Akun administrator yang didelegasikan harus menjalankan operasi di Wilayah asal. Secara opsional, Anda dapat memberikan parameter pagination atau memfilter hasil berdasarkan ID kebijakan tertentu, jenis asosiasi, atau status asosiasi.

$ aws securityhub list-configuration-policy-associations \
--filters '{"AssociationType": "APPLIED"}'

Untuk melihat asosiasi untuk akun tertentu, gunakan GetConfigurationPolicyAssociationoperasi. Jika Anda menggunakan AWS CLI, jalankan get-configuration-policy-associationperintah. Akun administrator yang didelegasikan harus menjalankan operasi di Wilayah asal. Untuktarget, berikan nomor akun, ID OU, atau ID root.

$ aws securityhub get-configuration-policy-association \
--target '{"AccountId": "123456789012"}'

Meninjau status asosiasi kebijakan konfigurasi

Operasi API konfigurasi pusat berikut mengembalikan bidang yang disebutAssociationStatus:

  • BatchGetConfigurationPolicyAssociations

  • GetConfigurationPolicyAssociation

  • ListConfigurationPolicyAssociations

  • StartConfigurationPolicyAssociation

Bidang ini dikembalikan baik ketika konfigurasi yang mendasarinya adalah kebijakan konfigurasi dan ketika itu adalah perilaku yang dikelola sendiri.

Nilai AssociationStatus memberi tahu Anda apakah asosiasi kebijakan tertunda atau dalam keadaan berhasil atau gagal untuk akun tertentu. Diperlukan waktu hingga 24 jam agar status berubah dari PENDING ke SUCCESS atauFAILED. Status SUCCESS berarti bahwa semua pengaturan yang ditentukan dalam kebijakan konfigurasi dikaitkan dengan akun. Status FAILED berarti bahwa satu atau beberapa pengaturan yang ditentukan dalam kebijakan konfigurasi gagal dikaitkan dengan akun. Meskipun FAILED status, akun dapat dikonfigurasi sebagian sesuai dengan kebijakan. Misalnya, Anda dapat mencoba mengaitkan akun dengan kebijakan konfigurasi yang mengaktifkan CSPM Security Hub, mengaktifkan Praktik Terbaik Keamanan AWS Dasar, dan menonaktifkan.1. CloudTrail Dua pengaturan awal bisa berhasil, tetapi pengaturan CloudTrail .1 bisa gagal. Dalam contoh ini, status asosiasi FAILED meskipun beberapa pengaturan telah dikonfigurasi dengan benar.

Status asosiasi OU orang tua atau root tergantung pada status anak-anaknya. Jika status asosiasi semua anak adalahSUCCESS, status asosiasi orang tua adalahSUCCESS. Jika status asosiasi satu atau lebih anak adalahFAILED, status asosiasi orang tua adalahFAILED.

Nilai AssociationStatus tergantung pada status asosiasi kebijakan di semua Wilayah terkait. Jika asosiasi berhasil di Wilayah asal dan semua Daerah terkait, nilainya AssociationStatus adalahSUCCESS. Jika asosiasi gagal di satu atau lebih Wilayah ini, nilainya AssociationStatus adalahFAILED.

Perilaku berikut juga berdampak pada nilaiAssociationStatus:

  • Jika targetnya adalah OU orang tua atau root, ia memiliki AssociationStatus dari SUCCESS atau FAILED hanya ketika semua anak memiliki FAILED status SUCCESS atau. Jika status asosiasi akun turunan atau OU berubah (misalnya, saat Wilayah tertaut ditambahkan atau dihapus) setelah Anda pertama kali mengaitkan induk dengan konfigurasi, perubahan tersebut tidak akan memperbarui status asosiasi induk kecuali Anda menjalankan StartConfigurationPolicyAssociation API lagi.

  • Jika targetnya adalah akun, ia memiliki AssociationStatus dari SUCCESS atau FAILED hanya jika asosiasi memiliki hasil dari SUCCESS atau FAILED di Wilayah asal dan semua Wilayah yang ditautkan. Jika status asosiasi akun target berubah (misalnya, saat Wilayah tertaut ditambahkan atau dihapus) setelah Anda pertama kali mengaitkannya dengan konfigurasi, status asosiasinya akan diperbarui. Namun, perubahan tidak memperbarui status asosiasi induk kecuali Anda memanggil StartConfigurationPolicyAssociation API lagi.

Jika Anda menambahkan Wilayah tertaut baru, Security Hub CSPM mereplikasi asosiasi Anda yang ada diPENDING,SUCCESS, atau FAILED negara bagian di Wilayah baru.

Bahkan ketika status asosiasi adalahSUCCESS, status pemberdayaan standar yang merupakan bagian dari kebijakan dapat beralih ke keadaan yang tidak lengkap. Dalam hal ini, Security Hub CSPM tidak dapat menghasilkan temuan untuk kontrol standar. Untuk informasi selengkapnya, lihat Memeriksa status standar.

Mengatasi masalah kegagalan asosiasi

Di AWS Security Hub Cloud Security Posture Management (CSPM), asosiasi kebijakan konfigurasi mungkin gagal karena alasan umum berikut.

  • Akun manajemen Organisasi bukan anggota - Jika Anda ingin mengaitkan kebijakan konfigurasi dengan akun manajemen Organizations, akun tersebut harus sudah mengaktifkan AWS Security Hub Cloud Security Posture Management (CSPM). Ini membuat akun manajemen menjadi akun anggota dalam organisasi.

  • AWS Config tidak diaktifkan atau dikonfigurasi dengan benar — Untuk mengaktifkan standar dalam kebijakan konfigurasi, AWS Config harus diaktifkan dan dikonfigurasi untuk merekam sumber daya yang relevan.

  • Harus dikaitkan dari akun administrator yang didelegasikan — Anda hanya dapat mengaitkan kebijakan dengan akun target dan OUs saat Anda masuk ke akun administrator CSPM Security Hub yang didelegasikan.

  • Harus dikaitkan dari wilayah asal — Anda hanya dapat mengaitkan kebijakan dengan akun target dan OUs saat Anda masuk ke Wilayah asal Anda.

  • Keikutsertaan Wilayah tidak diaktifkan — Asosiasi kebijakan gagal untuk akun anggota atau OU di Wilayah tertaut jika itu adalah Wilayah keikutsertaan yang belum diaktifkan oleh administrator yang didelegasikan. Anda dapat mencoba lagi setelah mengaktifkan Region dari akun administrator yang didelegasikan.

  • Akun anggota ditangguhkan — Asosiasi kebijakan gagal jika Anda mencoba mengaitkan kebijakan dengan akun anggota yang ditangguhkan.