檢閱組態政策的狀態和詳細資訊 - AWS Security Hub

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

檢閱組態政策的狀態和詳細資訊

委派的 AWS Security Hub Cloud Security Posture Management (CSPM) 管理員可以檢視組織的組態政策及其詳細資訊。這包括與政策相關聯的帳戶和組織單位 (OUs)。

如需中央組態優點及其運作方式的背景資訊,請參閱 了解 Security Hub CSPM 中的中央組態

選擇您偏好的方法,然後依照步驟檢視您的組態政策。

Security Hub CSPM console
檢視組態政策 (主控台)
  1. 在 https://https://console.aws.amazon.com/securityhub/ 開啟 AWS Security Hub Cloud Security Posture Management (CSPM) 主控台。

    使用主要區域中委派 Security Hub CSPM 管理員帳戶的憑證登入。

  2. 在導覽窗格中,選擇設定組態

  3. 選擇政策索引標籤以取得組態政策的概觀。

  4. 選取組態政策,然後選擇檢視詳細資訊以查看其相關其他詳細資訊,包括與其相關聯的帳戶和 OUs。

Security Hub CSPM API

若要檢視所有組態政策的摘要清單,請使用 Security Hub CSPM API ListConfigurationPolicies的操作。如果您使用 AWS CLI,請執行 list-configuration-policies命令。委派的 Security Hub CSPM 管理員帳戶應該叫用主區域中的操作。

$ aws securityhub list-configuration-policies \ --max-items 5 \ --starting-token U2FsdGVkX19nUI2zoh+Pou9YyutlYJHWpn9xnG4hqSOhvw3o2JqjI23QDxdf

若要檢視特定組態政策的詳細資訊,請使用 GetConfigurationPolicy操作。如果您使用 AWS CLI,請執行 get-configuration-policy。委派的管理員帳戶應該叫用主區域中的 操作。提供您要查看其詳細資訊之組態政策的 Amazon Resource Name (ARN) 或 ID。

$ aws securityhub get-configuration-policy \ --identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"

若要檢視所有組態政策及其帳戶關聯的摘要清單,請使用 ListConfigurationPolicyAssociations操作。如果您使用 AWS CLI,請執行 list-configuration-policy-associations命令。委派的管理員帳戶應該叫用主區域中的 操作。或者,您可以提供分頁參數,或依特定政策 ID、關聯類型或關聯狀態篩選結果。

$ aws securityhub list-configuration-policy-associations \ --filters '{"AssociationType": "APPLIED"}'

若要檢視特定帳戶的關聯,請使用 GetConfigurationPolicyAssociation操作。如果您使用 AWS CLI,請執行 get-configuration-policy-association命令。委派的管理員帳戶應該叫用主區域中的 操作。針對 target,請提供帳戶號碼、OU ID 或根 ID。

$ aws securityhub get-configuration-policy-association \ --target '{"AccountId": "123456789012"}'

檢閱組態政策的關聯狀態

下列中央組態 API 操作會傳回名為 的欄位AssociationStatus

  • BatchGetConfigurationPolicyAssociations

  • GetConfigurationPolicyAssociation

  • ListConfigurationPolicyAssociations

  • StartConfigurationPolicyAssociation

當基礎組態是組態政策和自我管理行為時,都會傳回此欄位。

的值AssociationStatus會告訴您政策關聯是擱置中,還是處於特定帳戶的成功或失敗狀態。狀態最多可能需要 24 小時才能從 變更為 PENDINGSUCCESSFAILED。狀態 SUCCESS表示組態政策中指定的所有設定都與帳戶相關聯。狀態 FAILED表示組態政策中指定的一或多個設定無法與帳戶建立關聯。儘管FAILED狀態為 ,仍可根據政策部分設定帳戶。例如,您可能嘗試將 帳戶與啟用 Security Hub CSPM、啟用 AWS 基礎安全最佳實務,以及停用 CloudTrail.1. 最初的兩個設定可能會成功,但 CloudTrail.1 設定可能會失敗。在此範例中,FAILED即使已正確設定某些設定,關聯狀態仍為 。

父 OU 或根的關聯狀態取決於其子系的狀態。如果所有子系的關聯狀態為 SUCCESS,則父系的關聯狀態為 SUCCESS。如果一或多個子系的關聯狀態為 FAILED,則父系的關聯狀態為 FAILED

的值AssociationStatus取決於所有相關區域中政策的關聯狀態。如果關聯在主要區域和所有連結區域中成功,則 的值AssociationStatusSUCCESS。如果其中一或多個區域中的關聯失敗,則 的值AssociationStatusFAILED

下列行為也會影響 的值AssociationStatus

  • 如果目標是父系 OU 或根,FAILED則只有在所有子系都有 SUCCESSFAILED 狀態時,目標才會有 AssociationStatus SUCCESS或 。如果在您第一次將父系與組態建立關聯之後,子帳戶或 OU 的關聯狀態變更 (例如,新增或移除連結區域時),除非您再次叫用 StartConfigurationPolicyAssociation API,否則變更不會更新父系的關聯狀態。

  • 如果目標是 帳戶,則FAILED只有在 關聯的結果為 AssociationStatusSUCCESS或在FAILED主區域和所有連結區域中時,該目標才會有 SUCCESS或 。如果目標帳戶的關聯狀態在您第一次將其與組態建立關聯後變更 (例如,新增或移除連結區域時),則會更新其關聯狀態。不過,除非您再次叫用 StartConfigurationPolicyAssociation API,否則變更不會更新父系的關聯狀態。

如果您新增連結的區域,Security Hub CSPM 會複寫新區域中處於 PENDINGSUCCESSFAILED 狀態的現有關聯。

即使關聯狀態為 SUCCESS,作為政策一部分的標準啟用狀態也可以轉換為不完整的狀態。在這種情況下,Security Hub CSPM 無法產生標準控制項的問題清單。如需詳細資訊,請參閱檢查標準的狀態

對關聯失敗進行故障診斷

在 AWS Security Hub Cloud Security Posture Management (CSPM) 中,組態政策關聯可能會失敗,原因如下。

  • Organizations 管理帳戶不是成員 – 如果您想要將組態政策與 Organizations 管理帳戶建立關聯,則該帳戶必須已啟用 AWS Security Hub Cloud Security Posture Management (CSPM)。這會使管理帳戶成為組織中的成員帳戶。

  • AWS Config 未啟用或正確設定 – 若要在組態政策中啟用標準, AWS Config 必須啟用並設定 以記錄相關資源。

  • 必須從委派管理員帳戶建立關聯 – 只有在您登入委派 Security Hub CSPM 管理員帳戶時,才能將政策與目標帳戶和 OUs 建立關聯。

  • 必須從主要區域建立關聯 – 只有在您登入主要區域時,才能將政策與目標帳戶和 OUs 建立關聯。

  • 未啟用選擇加入區域 – 如果已連結區域中的成員帳戶或 OU 是尚未啟用委派管理員的選擇加入區域,則政策關聯會失敗。您可以在從委派管理員帳戶啟用區域後重試。

  • 成員帳戶暫停 – 如果您嘗試將政策與暫停成員帳戶建立關聯,政策關聯會失敗。