翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Security Hub 設定ポリシーの表示
委任管理者アカウントは、組織の AWS Security Hub 設定ポリシーとその詳細を表示できます。
任意の方法を選択し、その手順に従って設定ポリシーを表示します。
- Console
-
設定ポリシーを表示するには
-
AWS Security Hub コンソール (https://console.aws.amazon.com/securityhub/) を開きます。
ホームリージョンの Security Hub 委任管理者アカウントの認証情報を使用してサインインします。
-
ナビゲーションペインで、[設定]、[設定] の順に選択します。
-
[ポリシー] タブを選択すると、設定ポリシーの概要が表示されます。
-
設定ポリシーを選択し、[詳細を表示] を選択すると、そのポリシーに関するその他の詳細が表示されます。
- API
-
設定ポリシーを表示するには
すべての設定ポリシーの概要リストを表示するには、ホームリージョンの Security Hub 委任管理者アカウントから ListConfigurationPolicies
API を呼び出します。オプションのページ分割パラメータを指定できます。
API リクエストの例:
{
"MaxResults": 5,
"NextToken": "U2FsdGVkX19nUI2zoh+Pou9YyutlYJHWpn9xnG4hqSOhvw3o2JqjI23QDxdf"
}
特定の設定ポリシーの詳細を表示するには、ホームリージョンの Security Hub 委任管理者アカウントから GetConfigurationPolicy
API を呼び出します。詳細を表示する設定ポリシーの Amazon リソースネーム (ARN) または ID を指定します。
API リクエストの例:
{
"Identifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
}
すべての設定ポリシーとその関連付けの概要リストを表示するには、ホームリージョンの Security Hub 委任管理者アカウントから ListConfigurationPolicyAssociations
API を呼び出します。オプションで、ページ分割パラメータを指定したり、特定のポリシー ID、関連付けタイプ、または関連付けステータスで結果をフィルタリングしたりできます。
API リクエストの例:
{
"AssociationType": "APPLIED"
}
特定のアカウント、OU、またはルートの関連付けを表示するには、ホームリージョンの Security Hub 委任管理者アカウントから GetConfigurationPolicyAssociation
または BatchGetConfigurationPolicyAssociations
API を呼び出します。Target
の場合、アカウント番号、OU ID、またはルート ID を指定します。
{
"Target": {"AccountId": "123456789012"}
}
- AWS CLI
-
設定ポリシーを表示するには
すべての設定ポリシーの概要リストを表示するには、ホームリージョンの Security Hub 委任管理者アカウントから list-configuration-policies
コマンドを実行します。
コマンドの例:
aws securityhub --region us-east-1 list-configuration-policies \
--max-items 5 \
--starting-token U2FsdGVkX19nUI2zoh+Pou9YyutlYJHWpn9xnG4hqSOhvw3o2JqjI23QDxdf
特定の設定ポリシーに関する詳細を表示するには、ホームリージョンの Security Hub 委任管理者アカウントから get-configuration-policy
コマンドを実行します。詳細を表示する設定ポリシーの Amazon リソースネーム (ARN) または ID を指定します。
aws securityhub --region us-east-1 get-configuration-policy \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
すべての設定ポリシーとそれらのアカウント関連付けの概要リストを表示するには、ホームリージョンの Security Hub 委任管理者アカウントから list-configuration-policy-associations
コマンドを実行します。オプションで、ページ分割パラメータを指定したり、特定のポリシー ID、関連付けタイプ、または関連付けステータスで結果をフィルタリングしたりできます。
aws securityhub --region us-east-1 list-configuration-policy-associations \
--association-type "APPLIED"
特定のアカウントの関連付けを表示するには、ホームリージョンの Security Hub 委任管理者アカウントから get-configuration-policy-association
または batch-get-configuration-policy-associations
コマンドを実行します。target
の場合、アカウント番号、OU ID、またはルート ID を指定します。
aws securityhub --region us-east-1 get-configuration-policy-association \
--target '{"AccountId": "123456789012"}'
設定の関連付けステータス
以下の中央設定 API オペレーションは、AssociationStatus
というフィールドを返します。
BatchGetConfigurationPolicyAssociations
GetConfigurationPolicyAssociation
ListConfigurationPolicyAssociations
StartConfigurationPolicyAssociation
このフィールドは、基礎となる設定が設定ポリシーの場合とセルフマネージド型の動作の場合の両方で返されます。
AssociationStatus
の値は、ポリシーの関連付けが保留中か、成功または失敗の状態かを示します。ステータスが PENDING
から SUCCESS
または FAILURE
に変わるまで、最大 24 時間かかることがあります。親 OU またはルートの関連付けステータスは、子のステータスによって異なります。すべての子の関連付けステータスが SUCCESS
の場合、親の関連付けステータスは SUCCESS
です。1 人以上の子の関連付けステータスが FAILED
の場合、親の関連付けステータスは FAILED
です。
AssociationStatus
の値もすべてのリージョンによって異なります。ホームリージョンとリンクされているすべてのリージョンで関連付けが成功すると、AssociationStatus
の値は SUCCESS
になります。これらの 1 つ以上のリージョンで関連付けに失敗すると、AssociationStatus
の値は FAILED
になります。
以下の動作は、AssociationStatus
の値にも影響します。
ターゲットが親 OU またはルートの場合、すべての子が SUCCESS
または FAILED
ステータスの場合にのみ SUCCESS
または FAILED
の AssociationStatus
が含まれます。最初に親を設定に関連付けた後に、子アカウントまたは OU の関連付けステータスが変更された場合 (リンクされたリージョンが追加または削除された場合など)、StartConfigurationPolicyAssociation
API を再度呼び出さない限り、その変更によって親の関連付けステータスは更新されません。
ターゲットがアカウントの場合、関連付けにホームリージョンとすべてのリンクされたリージョンの SUCCESS
または FAILED
の結果がある場合に限り、そのアカウントには SUCCESS
または FAILED
の AssociationStatus
があります。ターゲットアカウントを初めて設定に関連付けた後に、ターゲットアカウントの関連付けステータスが変更された場合 (リンクされたリージョンが追加または削除された場合など)、その関連付けステータスは更新されます。ただし、StartConfigurationPolicyAssociation
API を再度呼び出さない限り、変更によって親の関連付けステータスは更新されません。
リンクされた新しいリージョンを追加すると、Security Hub は、新しいリージョンの PENDING
、SUCCESS
、FAILED
ステータスにある既存の関連付けをレプリケートします。
関連付け失敗の一般的な原因
設定ポリシーの関連付けは、次の一般的な原因で失敗することがあります。
Organizations 管理アカウントがメンバーではない — 設定ポリシーを Organizations 管理アカウントに関連付ける場合、そのアカウントの Security Hub は既に有効になっている必要があります。これにより、管理アカウントが組織内のメンバーアカウントになります。
AWS Config が有効になっていない、または正しく設定されていない — 設定ポリシーで標準を有効にするには、AWS Config を有効にして、関連するリソースを記録するように設定する必要があります。
委任管理者アカウントから関連付ける必要がある — 委任管理者アカウントにサインインすると、ポリシーをターゲットアカウントと OU にのみ関連付けることができます。
ホームリージョンから関連付ける必要がある — ホームリージョンにサインインすると、ポリシーをターゲットアカウントと OU にのみ関連付けることができます。
オプトイン地域が有効化されていない — 委任管理者が有効化していないオプトインリージョンの場合、リンクされたリージョンのメンバーアカウントまたは OU に対するポリシーの関連付けが失敗します。委任管理者アカウントからリージョンを有効化した後で再試行できます。
メンバーアカウントが一時停止している — 一時停止されたメンバーアカウントにポリシーを関連付けようとすると、ポリシーの関連付けが失敗します。