Visualizzazione dei criteri di configurazione del Security Hub - AWS Security Hub
Stato di associazione di una configurazioneLe cause più comuni del fallimento dell'associazione

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Visualizzazione dei criteri di configurazione del Security Hub

L'account amministratore delegato può visualizzare le politiche di AWS Security Hub configurazione di un'organizzazione e i relativi dettagli.

Scegli il tuo metodo preferito e segui i passaggi per visualizzare le tue politiche di configurazione.

Console
Per visualizzare le politiche di configurazione

  1. Apri la console AWS Security Hub all'indirizzo https://console.aws.amazon.com/securityhub/.

    Accedi utilizzando le credenziali dell'account amministratore delegato di Security Hub nella regione di residenza.

  2. Nel riquadro di navigazione, scegli Impostazioni e configurazione.

  3. Scegli la scheda Politiche per visualizzare una panoramica delle tue politiche di configurazione.

  4. Seleziona una politica di configurazione e scegli Visualizza dettagli per visualizzare ulteriori dettagli al riguardo.

API

Per visualizzare i criteri di configurazione

Per visualizzare un elenco riepilogativo di tutte le politiche di configurazione, richiama l'ListConfigurationPoliciesAPI dall'account amministratore delegato di Security Hub nella tua area geografica. È possibile fornire parametri di impaginazione opzionali

Esempio di richiesta API:

{
    "MaxResults": 5,
    "NextToken": "U2FsdGVkX19nUI2zoh+Pou9YyutlYJHWpn9xnG4hqSOhvw3o2JqjI23QDxdf"
}

Per visualizzare i dettagli su una politica di configurazione specifica, richiama l'GetConfigurationPolicyAPI dall'account amministratore delegato di Security Hub nella tua regione di residenza. Fornisci l'Amazon Resource Name (ARN) o l'ID della policy di configurazione di cui desideri visualizzare i dettagli.

Esempio di richiesta API:

{
    "Identifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
}

Per visualizzare un elenco riepilogativo di tutte le politiche di configurazione e delle relative associazioni, richiama l'ListConfigurationPolicyAssociationsAPI dall'account amministratore delegato di Security Hub nella tua regione di residenza. Facoltativamente, puoi fornire parametri di impaginazione o filtrare i risultati in base a un ID di policy specifico, al tipo di associazione o allo stato dell'associazione.

Esempio di richiesta API:

{
    "AssociationType": "APPLIED"
}

Per visualizzare le associazioni per uno specifico account, unità organizzativa o root, richiama l'BatchGetConfigurationPolicyAssociationsAPI GetConfigurationPolicyAssociationo dall'account amministratore delegato del Security Hub nella tua regione di residenza. PerTarget, fornisci il numero di account, l'ID dell'unità organizzativa o l'ID root.

{
    "Target": {"AccountId": "123456789012"}
}
AWS CLI

Per visualizzare le politiche di configurazione

Per visualizzare un elenco riepilogativo di tutte le politiche di configurazione, esegui il list-configuration-policiescomando dall'account amministratore delegato di Security Hub nella tua area geografica.

Comando di esempio:

aws securityhub --region us-east-1 list-configuration-policies \
--max-items 5 \
--starting-token U2FsdGVkX19nUI2zoh+Pou9YyutlYJHWpn9xnG4hqSOhvw3o2JqjI23QDxdf

Per visualizzare i dettagli su una politica di configurazione specifica, esegui il get-configuration-policycomando dall'account amministratore delegato di Security Hub nella tua area geografica. Fornisci l'Amazon Resource Name (ARN) o l'ID della policy di configurazione di cui desideri visualizzare i dettagli.

aws securityhub --region us-east-1 get-configuration-policy \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"

Per visualizzare un elenco riepilogativo di tutte le politiche di configurazione e le relative associazioni di account, esegui il list-configuration-policy-associationscomando dall'account amministratore delegato di Security Hub nella tua regione di residenza. Facoltativamente, è possibile fornire parametri di impaginazione o filtrare i risultati in base a un ID di policy specifico, al tipo di associazione o allo stato dell'associazione.

aws securityhub --region us-east-1 list-configuration-policy-associations \
--association-type "APPLIED"

Per visualizzare le associazioni per un account specifico, esegui il batch-get-configuration-policy-associationscomando get-configuration-policy-associationo dall'account amministratore delegato di Security Hub nella tua regione di residenza. Pertarget, fornisci il numero di account, l'ID dell'unità organizzativa o l'ID root.

aws securityhub --region us-east-1 get-configuration-policy-association \
--target '{"AccountId": "123456789012"}'

Stato di associazione di una configurazione

Le seguenti operazioni API di configurazione centrale restituiscono un campo chiamatoAssociationStatus:

  • BatchGetConfigurationPolicyAssociations

  • GetConfigurationPolicyAssociation

  • ListConfigurationPolicyAssociations

  • StartConfigurationPolicyAssociation

Questo campo viene restituito sia quando la configurazione sottostante è una politica di configurazione sia quando si tratta di un comportamento autogestito.

Il valore di AssociationStatus indica se un'associazione di policy è in sospeso o in uno stato di successo o di fallimento. La modifica dello stato da a SUCCESS o FAILURE può richiedere fino a 24 ore. PENDING Lo stato di associazione di un'unità organizzativa principale o dell'unità principale dipende dallo stato dei relativi elementi secondari. Se lo status di associazione di tutti i figli èSUCCESS, lo stato dell'associazione del genitore èSUCCESS. Se lo status dell'associazione di uno o più figli èFAILED, lo stato dell'associazione del genitore èFAILED.

Il valore di dipende AssociationStatus anche da tutte le regioni. Se l'associazione ha successo nella regione d'origine e in tutte le regioni collegate, il valore di AssociationStatus èSUCCESS. Se l'associazione fallisce in una o più di queste regioni, il valore di AssociationStatus èFAILED.

Il seguente comportamento influisce anche sul valore diAssociationStatus:

  • Se la destinazione è un'unità organizzativa principale o la radice, ha uno stato AssociationStatus of SUCCESS o FAILED solo quando tutti i figli hanno uno FAILED stato SUCCESS or. Se lo stato di associazione di un account figlio o di un'unità organizzativa cambia (ad esempio, quando viene aggiunta o rimossa una regione collegata) dopo aver associato per la prima volta l'account principale a una configurazione, la modifica non aggiorna lo stato di associazione dell'unità principale a meno che non si richiami nuovamente l'StartConfigurationPolicyAssociationAPI.

  • Se la destinazione è un account, ha un AssociationStatus SUCCESS o o FAILED solo se l'associazione ha un risultato nella regione d'SUCCESSorigine e FAILED in tutte le regioni collegate. Se lo stato dell'associazione di un account di destinazione cambia (ad esempio, quando viene aggiunta o rimossa una regione collegata) dopo averlo associato per la prima volta a una configurazione, lo stato dell'associazione viene aggiornato. Tuttavia, la modifica non aggiorna lo stato dell'associazione del genitore a meno che non si richiami nuovamente l'StartConfigurationPolicyAssociationAPI.

Se aggiungi una nuova regione collegata, Security Hub replica le associazioni esistenti che si trovano in una PENDING o in FAILED uno stato della nuova regione. SUCCESS

Le cause più comuni del fallimento dell'associazione

Un'associazione ai criteri di configurazione potrebbe fallire per i seguenti motivi comuni:

  • L'account di gestione Organizations non è un membro: se desideri associare una policy di configurazione all'account di gestione Organizations, su quell'account deve essere già abilitato Security Hub. Questo rende l'account di gestione un account membro dell'organizzazione.

  • AWS Confignon è abilitato o configurato correttamente: per abilitare gli standard in una politica di configurazione, AWS Config deve essere abilitato e configurato per registrare le risorse pertinenti.

  • È necessario eseguire l'associazione da un account amministratore delegato: è possibile associare una politica agli account e alle unità organizzative di destinazione solo dopo aver effettuato l'accesso all'account amministratore delegato.

  • È necessario l'associazione dalla regione di origine: puoi associare una politica agli account e alle unità organizzative di destinazione solo quando hai effettuato l'accesso alla regione d'origine.

  • Regione di attivazione non abilitata: l'associazione delle politiche non riesce per un account membro o un'unità organizzativa in una regione collegata se si tratta di una regione opt-in che l'amministratore delegato non ha abilitato. È possibile riprovare dopo aver abilitato la regione dall'account amministratore delegato.

  • Account membro sospeso: l'associazione delle politiche fallisce se si tenta di associare una politica a un account membro sospeso.