État d'association d'une configuration Raisons courantes de l'échec d'une association

Afficher les politiques de configuration de Security Hub

Le compte d'administrateur délégué peut consulter les politiques de AWS Security Hub configuration d'une organisation et leurs détails.

Choisissez votre méthode préférée et suivez les étapes pour consulter vos politiques de configuration.

Console

Pour consulter les politiques de configuration

Ouvrez la AWS Security Hub console à l'adresse https://console.aws.amazon.com/securityhub/.

Connectez-vous à l'aide des informations d'identification du compte administrateur délégué du Security Hub dans la région d'origine.
Dans le volet de navigation, sélectionnez Paramètres et configuration.
Choisissez l'onglet Politiques pour afficher un aperçu de vos politiques de configuration.
Sélectionnez une politique de configuration, puis choisissez Afficher les détails pour obtenir des informations supplémentaires à ce sujet.

API

Pour consulter les politiques de configuration

Pour afficher une liste récapitulative de toutes vos politiques de configuration, appelez l'ListConfigurationPoliciesAPI depuis le compte d'administrateur délégué Security Hub de votre région d'origine. Vous pouvez fournir des paramètres de pagination facultatifs

Exemple de demande d'API :


{
    "MaxResults": 5,
    "NextToken": "U2FsdGVkX19nUI2zoh+Pou9YyutlYJHWpn9xnG4hqSOhvw3o2JqjI23QDxdf"
}

Pour consulter les détails d'une politique de configuration spécifique, appelez l'GetConfigurationPolicyAPI depuis le compte d'administrateur délégué Security Hub de votre région d'origine. Indiquez le nom de ressource Amazon (ARN) ou l'ID de la politique de configuration dont vous souhaitez consulter les détails.

Exemple de demande d'API :


{
    "Identifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
}

Pour afficher une liste récapitulative de toutes vos politiques de configuration et de leurs associations, appelez l'ListConfigurationPolicyAssociationsAPI depuis le compte d'administrateur délégué Security Hub de votre région d'origine. Vous pouvez éventuellement fournir des paramètres de pagination ou filtrer les résultats en fonction d'un ID de politique, d'un type d'association ou d'un statut d'association spécifique.

Exemple de demande d'API :


{
    "AssociationType": "APPLIED"
}

Pour afficher les associations associées à un compte, à une unité d'organisation ou à une racine spécifique, appelez l'BatchGetConfigurationPolicyAssociationsAPI GetConfigurationPolicyAssociationor depuis le compte d'administrateur délégué Security Hub de votre région d'origine. PourTarget, indiquez le numéro de compte, l'ID de l'unité d'organisation ou l'identifiant root.


{
    "Target": {"AccountId": "123456789012"}
}

AWS CLI

Pour consulter les politiques de configuration

Pour afficher une liste récapitulative de toutes vos politiques de configuration, exécutez la list-configuration-policiescommande depuis le compte d'administrateur délégué Security Hub de votre région d'origine.

Exemple de commande :


aws securityhub --region us-east-1 list-configuration-policies \
--max-items 5 \
--starting-token U2FsdGVkX19nUI2zoh+Pou9YyutlYJHWpn9xnG4hqSOhvw3o2JqjI23QDxdf

Pour consulter les détails d'une politique de configuration spécifique, exécutez la get-configuration-policycommande depuis le compte d'administrateur délégué Security Hub de votre région d'origine. Indiquez le nom de ressource Amazon (ARN) ou l'ID de la politique de configuration dont vous souhaitez consulter les détails.


aws securityhub --region us-east-1 get-configuration-policy \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"

Pour afficher une liste récapitulative de toutes vos politiques de configuration et de leurs associations de comptes, exécutez la list-configuration-policy-associationscommande depuis le compte d'administrateur délégué Security Hub de votre région d'origine. Vous pouvez éventuellement fournir des paramètres de pagination ou filtrer les résultats en fonction d'un ID de politique, d'un type d'association ou d'un statut d'association spécifique.


aws securityhub --region us-east-1 list-configuration-policy-associations \
--association-type "APPLIED"

Pour afficher les associations associées à un compte spécifique, exécutez la batch-get-configuration-policy-associationscommande get-configuration-policy-associationor depuis le compte d'administrateur délégué Security Hub de votre région d'origine. Pourtarget, indiquez le numéro de compte, l'ID de l'unité d'organisation ou l'identifiant root.


aws securityhub --region us-east-1 get-configuration-policy-association \
--target '{"AccountId": "123456789012"}'

État d'association d'une configuration

Les opérations d'API de configuration centrale suivantes renvoient un champ appelé AssociationStatus :

BatchGetConfigurationPolicyAssociations
GetConfigurationPolicyAssociation
ListConfigurationPolicyAssociations
StartConfigurationPolicyAssociation

Ce champ est renvoyé à la fois lorsque la configuration sous-jacente est une politique de configuration et lorsqu'il s'agit d'un comportement autogéré.

La valeur de AssociationStatus indique si une association de politiques est en attente ou en état de réussite ou d'échec. Le passage de l'état à SUCCESS ou peut prendre jusqu'PENDINGà 24 heuresFAILURE. Le statut d'association d'une unité d'organisation parent ou de la racine dépend du statut de ses enfants. Si le statut d'association de tous les enfants est le SUCCESS même, le statut d'association du parent l'estSUCCESS. Si le statut d'association d'un ou de plusieurs enfants est le mêmeFAILED, le statut d'association du parent l'estFAILED.

La valeur de dépend AssociationStatus également de toutes les régions. Si l'association réussit dans la région d'origine et dans toutes les régions associées, la valeur de AssociationStatus estSUCCESS. Si l'association échoue dans une ou plusieurs de ces régions, la valeur de AssociationStatus estFAILED.

Le comportement suivant a également un impact sur la valeur de AssociationStatus :

Si la cible est une unité d'organisation parent ou la racine, elle possède un statut AssociationStatus de SUCCESS ou FAILED uniquement lorsque tous les enfants ont le FAILED statut SUCCESS ou. Si le statut d'association d'un compte enfant ou d'une unité d'organisation change (par exemple, lorsqu'une région associée est ajoutée ou supprimée) après avoir associé le parent pour la première fois à une configuration, la modification ne met pas à jour le statut d'association du parent, sauf si vous appelez à nouveau l'StartConfigurationPolicyAssociationAPI.
Si la cible est un compte, elle possède un AssociationStatus compte SUCCESS ou FAILED uniquement si l'association a un résultat FAILED dans SUCCESS ou dans la région d'origine et toutes les régions associées. Si le statut d'association d'un compte cible change (par exemple, lorsqu'une région associée est ajoutée ou supprimée) une fois que vous l'avez associée pour la première fois à une configuration, son statut d'association est mis à jour. Toutefois, la modification ne met pas à jour le statut d'association du parent, sauf si vous invoquez à nouveau l'StartConfigurationPolicyAssociationAPI.

Si vous ajoutez une nouvelle région liée, Security Hub reproduit vos associations existantes qui se trouvent dans une PENDINGSUCCESS, ou un FAILED état de la nouvelle région.

Raisons courantes de l'échec d'une association

Une association de règles de configuration peut échouer pour les raisons courantes suivantes :

Le compte de gestion des Organizations n'est pas membre : si vous souhaitez associer une politique de configuration au compte de gestion Organizations, Security Hub doit déjà être activé sur ce compte. Le compte de gestion devient ainsi un compte membre de l'organisation.
AWS Confign'est pas activé ou correctement configuré : pour activer les normes dans une politique de configuration, AWS Config il doit être activé et configuré pour enregistrer les ressources pertinentes.
Doit être associé à partir d'un compte d'administrateur délégué : vous ne pouvez associer une politique à des comptes cibles et à des unités d'organisation que lorsque vous êtes connecté au compte d'administrateur délégué.
Vous devez vous associer depuis votre région d'origine : vous ne pouvez associer une politique à des comptes cibles et à des unités d'organisation que lorsque vous êtes connecté à la région d'origine.
Région optionnelle non activée : l'association de politiques échoue pour un compte membre ou une unité d'organisation dans une région associée s'il s'agit d'une région optionnelle que l'administrateur délégué n'a pas activée. Vous pouvez réessayer après avoir activé la région à partir du compte d'administrateur délégué.
Compte de membre suspendu : l'association de règles échoue si vous essayez d'associer une politique à un compte de membre suspendu.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Création et association de politiques de configuration

Mise à jour des politiques de configuration