Status asosiasi konfigurasi Alasan umum kegagalan asosiasi

Melihat kebijakan konfigurasi Security Hub

Akun administrator yang didelegasikan dapat melihat kebijakan AWS Security Hub konfigurasi untuk organisasi dan detailnya.

Pilih metode pilihan Anda, dan ikuti langkah-langkah untuk melihat kebijakan konfigurasi Anda.

Console

Untuk melihat kebijakan konfigurasi

Buka AWS Security Hub konsol di https://console.aws.amazon.com/securityhub/.

Masuk menggunakan kredensional akun administrator yang didelegasikan Security Hub di Wilayah beranda.
Di panel navigasi, pilih Pengaturan dan Konfigurasi.
Pilih tab Kebijakan untuk melihat ikhtisar kebijakan konfigurasi Anda.
Pilih kebijakan konfigurasi, dan pilih Lihat detail untuk melihat detail tambahan tentangnya.

API

Untuk melihat kebijakan konfigurasi

Untuk melihat daftar ringkasan semua kebijakan konfigurasi Anda, panggil ListConfigurationPoliciesAPI dari akun administrator yang didelegasikan Security Hub di Wilayah rumah Anda. Anda dapat memberikan parameter pagination opsional

Contoh permintaan API:


{
    "MaxResults": 5,
    "NextToken": "U2FsdGVkX19nUI2zoh+Pou9YyutlYJHWpn9xnG4hqSOhvw3o2JqjI23QDxdf"
}

Untuk melihat detail tentang kebijakan konfigurasi tertentu, panggil GetConfigurationPolicyAPI dari akun administrator yang didelegasikan Security Hub di Wilayah rumah Anda. Berikan Nama Sumber Daya Amazon (ARN) atau ID kebijakan konfigurasi yang detailnya ingin Anda lihat.

Contoh permintaan API:


{
    "Identifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
}

Untuk melihat daftar ringkasan semua kebijakan konfigurasi Anda dan asosiasinya, panggil ListConfigurationPolicyAssociationsAPI dari akun administrator yang didelegasikan Security Hub di Wilayah asal Anda. Secara opsional, Anda dapat memberikan parameter pagination atau memfilter hasil berdasarkan ID kebijakan tertentu, jenis asosiasi, atau status asosiasi.

Contoh permintaan API:


{
    "AssociationType": "APPLIED"
}

Untuk melihat asosiasi untuk akun tertentu, OU, atau root, panggil GetConfigurationPolicyAssociationatau BatchGetConfigurationPolicyAssociationsAPI dari akun administrator yang didelegasikan Security Hub di Wilayah asal Anda. UntukTarget, berikan nomor akun, ID OU, atau ID root.


{
    "Target": {"AccountId": "123456789012"}
}

AWS CLI

Untuk melihat kebijakan konfigurasi

Untuk melihat daftar ringkasan semua kebijakan konfigurasi Anda, jalankan list-configuration-policiesperintah dari akun administrator yang didelegasikan Security Hub di Wilayah rumah Anda.

Contoh perintah:


aws securityhub --region us-east-1 list-configuration-policies \
--max-items 5 \
--starting-token U2FsdGVkX19nUI2zoh+Pou9YyutlYJHWpn9xnG4hqSOhvw3o2JqjI23QDxdf

Untuk melihat detail tentang kebijakan konfigurasi tertentu, jalankan get-configuration-policyperintah dari akun administrator yang didelegasikan Security Hub di Wilayah rumah Anda. Berikan Nama Sumber Daya Amazon (ARN) atau ID kebijakan konfigurasi yang detailnya ingin Anda lihat.


aws securityhub --region us-east-1 get-configuration-policy \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"

Untuk melihat daftar ringkasan semua kebijakan konfigurasi Anda dan asosiasi akunnya, jalankan list-configuration-policy-associationsperintah dari akun administrator yang didelegasikan Security Hub di Wilayah rumah Anda. Secara opsional, Anda dapat memberikan parameter pagination atau memfilter hasil berdasarkan ID kebijakan tertentu, jenis asosiasi, atau status asosiasi.


aws securityhub --region us-east-1 list-configuration-policy-associations \
--association-type "APPLIED"

Untuk melihat asosiasi untuk akun tertentu, jalankan batch-get-configuration-policy-associationsperintah get-configuration-policy-associationatau dari akun administrator yang didelegasikan Security Hub di Wilayah rumah Anda. Untuktarget, berikan nomor akun, ID OU, atau ID root.


aws securityhub --region us-east-1 get-configuration-policy-association \
--target '{"AccountId": "123456789012"}'

Status asosiasi konfigurasi

Operasi API konfigurasi pusat berikut mengembalikan bidang yang disebutAssociationStatus:

BatchGetConfigurationPolicyAssociations
GetConfigurationPolicyAssociation
ListConfigurationPolicyAssociations
StartConfigurationPolicyAssociation

Bidang ini dikembalikan baik ketika konfigurasi yang mendasarinya adalah kebijakan konfigurasi dan ketika itu adalah perilaku yang dikelola sendiri.

Nilai AssociationStatus memberi tahu Anda apakah asosiasi kebijakan sedang tertunda atau dalam keadaan sukses atau gagal. Diperlukan waktu hingga 24 jam agar status berubah dari PENDING ke SUCCESS atauFAILURE. Status asosiasi OU orang tua atau root tergantung pada status anak-anaknya. Jika status asosiasi semua anak adalahSUCCESS, status asosiasi orang tua adalahSUCCESS. Jika status asosiasi satu atau lebih anak adalahFAILED, status asosiasi orang tua adalahFAILED.

Nilai AssociationStatus juga tergantung pada semua Wilayah. Jika asosiasi berhasil di Wilayah asal dan semua Daerah terkait, nilainya AssociationStatus adalahSUCCESS. Jika asosiasi gagal di satu atau lebih Wilayah ini, nilainya AssociationStatus adalahFAILED.

Perilaku berikut juga berdampak pada nilaiAssociationStatus:

Jika targetnya adalah OU orang tua atau root, ia memiliki AssociationStatus dari SUCCESS atau FAILED hanya ketika semua anak memiliki FAILED status SUCCESS atau. Jika status asosiasi akun turunan atau OU berubah (misalnya, saat Wilayah tertaut ditambahkan atau dihapus) setelah Anda pertama kali mengaitkan induk dengan konfigurasi, perubahan tersebut tidak akan memperbarui status asosiasi induk kecuali Anda menjalankan StartConfigurationPolicyAssociation API lagi.
Jika targetnya adalah akun, ia memiliki AssociationStatus dari SUCCESS atau FAILED hanya jika asosiasi memiliki hasil dari SUCCESS atau FAILED di Wilayah asal dan semua Wilayah yang ditautkan. Jika status asosiasi akun target berubah (misalnya, saat Wilayah tertaut ditambahkan atau dihapus) setelah Anda pertama kali mengaitkannya dengan konfigurasi, status asosiasinya akan diperbarui. Namun, perubahan tidak memperbarui status asosiasi induk kecuali Anda memanggil StartConfigurationPolicyAssociation API lagi.

Jika Anda menambahkan Wilayah tertaut baru, Security Hub akan mereplikasi asosiasi Anda yang ada di PENDINGSUCCESS,, atau FAILED status di Wilayah baru.

Alasan umum kegagalan asosiasi

Asosiasi kebijakan konfigurasi mungkin gagal karena alasan umum berikut:

Akun manajemen Organisasi bukan anggota — Jika Anda ingin mengaitkan kebijakan konfigurasi dengan akun manajemen Organisasi, akun tersebut harus sudah mengaktifkan Security Hub. Ini membuat akun manajemen menjadi akun anggota dalam organisasi.
AWS Configtidak diaktifkan atau dikonfigurasi dengan benar — Untuk mengaktifkan standar dalam kebijakan konfigurasi, AWS Config harus diaktifkan dan dikonfigurasi untuk merekam sumber daya yang relevan.
Harus dikaitkan dari akun administrator yang didelegasikan — Anda hanya dapat mengaitkan kebijakan dengan akun target dan OU saat Anda masuk ke akun administrator yang didelegasikan.
Harus dikaitkan dari wilayah asal — Anda hanya dapat mengaitkan kebijakan dengan akun target dan OU saat Anda masuk ke Wilayah asal.
Keikutsertaan Wilayah tidak diaktifkan — Asosiasi kebijakan gagal untuk akun anggota atau OU di Wilayah tertaut jika itu adalah Wilayah keikutsertaan yang belum diaktifkan oleh administrator yang didelegasikan. Anda dapat mencoba lagi setelah mengaktifkan Region dari akun administrator yang didelegasikan.
Akun anggota ditangguhkan — Asosiasi kebijakan gagal jika Anda mencoba mengaitkan kebijakan dengan akun anggota yang ditangguhkan.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Membuat dan mengaitkan kebijakan konfigurasi

Memperbarui kebijakan konfigurasi