Revisione dello stato e dei dettagli delle politiche di configurazione - AWS Security Hub
Revisione dello stato di associazione di una politica di configurazioneRisoluzione dei problemi di associazione

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Revisione dello stato e dei dettagli delle politiche di configurazione

L'amministratore delegato AWS di Security Hub Cloud Security Posture Management (CSPM) può visualizzare le politiche di configurazione per un'organizzazione e i relativi dettagli. Ciò include gli account e le unità organizzative (OUs) a cui è associata una policy.

Per informazioni di base sui vantaggi della configurazione centralizzata e su come funziona, consultaComprendere la configurazione centrale in Security Hub CSPM.

Scegliete il metodo preferito e seguite i passaggi per visualizzare le vostre politiche di configurazione.

Security Hub CSPM console
Per visualizzare le politiche di configurazione (console)

  1. Apri la console AWS Security Hub Cloud Security Posture Management (CSPM) all'indirizzo. https://console.aws.amazon.com/securityhub/

    Accedi utilizzando le credenziali dell'account amministratore CSPM di Security Hub delegato nella regione di residenza.

  2. Nel riquadro di navigazione, scegli Impostazioni e configurazione.

  3. Scegli la scheda Politiche per una panoramica delle tue politiche di configurazione.

  4. Seleziona una politica di configurazione e scegli Visualizza dettagli per visualizzare ulteriori dettagli al riguardo, inclusi gli account a cui OUs è associata.

Security Hub CSPM API

Per visualizzare un elenco riepilogativo di tutte le politiche di configurazione, utilizza il ListConfigurationPoliciesfunzionamento dell'API CSPM Security Hub. Se usi il AWS CLI, esegui il comando. list-configuration-policies L'account amministratore delegato di Security Hub CSPM deve richiamare l'operazione nella regione di origine.

$ aws securityhub list-configuration-policies \
--max-items 5 \
--starting-token U2FsdGVkX19nUI2zoh+Pou9YyutlYJHWpn9xnG4hqSOhvw3o2JqjI23QDxdf

Per visualizzare i dettagli su una politica di configurazione specifica, usa l'operazione. GetConfigurationPolicy Se usi il AWS CLI, esegui il get-configuration-policy. L'account amministratore delegato deve richiamare l'operazione nella regione di origine. Fornisci l'Amazon Resource Name (ARN) o l'ID della policy di configurazione di cui desideri visualizzare i dettagli.

$ aws securityhub get-configuration-policy \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"

Per visualizzare un elenco riepilogativo di tutte le politiche di configurazione e le relative associazioni di account, utilizza l'ListConfigurationPolicyAssociationsoperazione. Se usi il AWS CLI, esegui il list-configuration-policy-associationscomando. L'account amministratore delegato deve richiamare l'operazione nella regione di origine. Facoltativamente, è possibile fornire parametri di impaginazione o filtrare i risultati in base a un ID di policy specifico, al tipo di associazione o allo stato dell'associazione.

$ aws securityhub list-configuration-policy-associations \
--filters '{"AssociationType": "APPLIED"}'

Per visualizzare le associazioni per un account specifico, utilizzare l'GetConfigurationPolicyAssociationoperazione. Se si utilizza il AWS CLI, eseguire il get-configuration-policy-associationcomando. L'account amministratore delegato deve richiamare l'operazione nella regione di origine. Pertarget, fornisci il numero di account, l'ID dell'unità organizzativa o l'ID root.

$ aws securityhub get-configuration-policy-association \
--target '{"AccountId": "123456789012"}'

Revisione dello stato di associazione di una politica di configurazione

Le seguenti operazioni API di configurazione centrale restituiscono un campo chiamatoAssociationStatus:

  • BatchGetConfigurationPolicyAssociations

  • GetConfigurationPolicyAssociation

  • ListConfigurationPolicyAssociations

  • StartConfigurationPolicyAssociation

Questo campo viene restituito sia quando la configurazione sottostante è una politica di configurazione sia quando si tratta di un comportamento autogestito.

Il valore di AssociationStatus indica se un'associazione di policy è in sospeso o in stato di successo o di fallimento per un account specifico. La modifica dello stato da a SUCCESS o FAILED può richiedere fino a 24 ore. PENDING Uno stato di SUCCESS indica che tutte le impostazioni specificate nella politica di configurazione sono associate all'account. Lo stato di FAILED indica che una o più impostazioni specificate nella politica di configurazione non sono state associate all'account. Nonostante FAILED lo stato, l'account potrebbe essere parzialmente configurato in base alla politica. Ad esempio, potresti provare ad associare un account a una politica di configurazione che abiliti Security Hub CSPM, abiliti AWS Foundational Security Best Practices e disabiliti .1. CloudTrail Le due impostazioni iniziali potrebbero avere esito positivo, ma l'impostazione .1 potrebbe fallire CloudTrail. In questo esempio, lo stato dell'associazione è valido FAILED anche se alcune impostazioni sono state configurate correttamente.

Lo stato di associazione di un'unità organizzativa principale o della radice dipende dallo stato dei relativi figli. Se lo status di associazione di tutti i figli èSUCCESS, lo stato dell'associazione del genitore èSUCCESS. Se lo status dell'associazione di uno o più figli èFAILED, lo stato dell'associazione del genitore èFAILED.

Il valore di AssociationStatus dipende dallo status di associazione della politica in tutte le regioni pertinenti. Se l'associazione ha successo nella regione d'origine e in tutte le regioni collegate, il valore di AssociationStatus èSUCCESS. Se l'associazione fallisce in una o più di queste regioni, il valore di AssociationStatus èFAILED.

Il seguente comportamento influisce anche sul valore diAssociationStatus:

  • Se la destinazione è un'unità organizzativa principale o la radice, ha uno stato AssociationStatus of SUCCESS o FAILED solo quando tutti i figli hanno uno FAILED stato SUCCESS or. Se lo stato di associazione di un account figlio o di un'unità organizzativa cambia (ad esempio, quando viene aggiunta o rimossa una regione collegata) dopo aver associato per la prima volta l'account principale a una configurazione, la modifica non aggiorna lo stato di associazione dell'unità principale a meno che non si richiami nuovamente l'StartConfigurationPolicyAssociationAPI.

  • Se la destinazione è un account, ha un AssociationStatus SUCCESS o o FAILED solo se l'associazione ha un risultato nella regione d'SUCCESSorigine e FAILED in tutte le regioni collegate. Se lo stato dell'associazione di un account di destinazione cambia (ad esempio, quando viene aggiunta o rimossa una regione collegata) dopo averlo associato per la prima volta a una configurazione, lo stato dell'associazione viene aggiornato. Tuttavia, la modifica non aggiorna lo stato dell'associazione del genitore a meno che non si richiami nuovamente l'StartConfigurationPolicyAssociationAPI.

Se aggiungi una nuova regione collegata, Security Hub CSPM replica le associazioni esistenti che si trovano in una PENDING o in FAILED uno stato della nuova regione. SUCCESS

Anche quando lo status di associazione è loSUCCESS, lo stato di abilitazione di uno standard che fa parte della politica può passare a uno stato incompleto. In tal caso, Security Hub CSPM non può generare risultati per i controlli dello standard. Per ulteriori informazioni, consulta Verifica dello stato di uno standard.

Risoluzione dei problemi di associazione

In AWS Security Hub Cloud Security Posture Management (CSPM), un'associazione di criteri di configurazione potrebbe non riuscire per i seguenti motivi comuni.

  • L'account di gestione Organizations non è un membro: se desideri associare una policy di configurazione all'account di gestione Organizations, su quell'account deve essere già abilitato AWS Security Hub Cloud Security Posture Management (CSPM). In questo modo l'account di gestione diventa un account membro dell'organizzazione.

  • AWS Config non è abilitato o configurato correttamente: per abilitare gli standard in una politica di configurazione, AWS Config deve essere abilitato e configurato per registrare le risorse pertinenti.

  • Deve essere associata da un account amministratore delegato: puoi associare una policy solo agli account di destinazione e OUs quando hai effettuato l'accesso all'account amministratore CSPM di Security Hub delegato.

  • È necessario associare una politica dalla propria regione d'origine: puoi associare una politica solo agli account target e OUs quando hai effettuato l'accesso alla tua regione d'origine.

  • Regione di attivazione non abilitata: l'associazione delle politiche non riesce per un account membro o un'unità organizzativa in una regione collegata se si tratta di una regione opt-in che l'amministratore delegato non ha abilitato. È possibile riprovare dopo aver abilitato la regione dall'account amministratore delegato.

  • Account membro sospeso: l'associazione delle politiche fallisce se si tenta di associare una politica a un account membro sospeso.