구성 정책 상태 및 세부 정보 검토 - AWS Security Hub
구성 정책의 연결 상태 검토연결 실패 문제 해결

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

구성 정책 상태 및 세부 정보 검토

위임된 AWS Security Hub 관리자는 조직의 구성 정책 및 세부 정보를 볼 수 있습니다. 여기에는 정책이 연결된 계정 및 조직 단위(OUs)가 포함됩니다.

중앙 구성의 이점과 작동 방식에 대한 배경 정보는 Security Hub의 중앙 구성에 대한 이해 섹션을 참조하세요.

원하는 방법을 선택하고 다음 단계에 따라 정책 구성을 확인하세요.

Security Hub console
구성 정책(콘솔)을 보려면

  1. 에서 AWS Security Hub 콘솔을 엽니다https://console.aws.amazon.com/securityhub/.

    홈 리전에서 위임된 Security Hub 관리자 계정의 보안 인증 정보를 사용하여 로그인합니다.

  2. 탐색 창에서 설정구성을 선택합니다.

  3. 정책 탭을 선택하여 구성 정책의 개요를 확인합니다.

  4. 구성 정책을 선택하고 세부 정보 보기를 선택하여 OUs 연결된 계정 및 계정을 포함하여 구성 정책에 대한 추가 세부 정보를 확인합니다.

Security Hub API

모든 구성 정책의 요약 목록을 보려면 ListConfigurationPolicies Security Hub의 작업입니다API. 를 사용하는 경우 AWS CLI를 실행합니다. list-configuration-policies 명령. 위임된 Security Hub 관리자 계정은 홈 리전의 작업을 호출합니다.

$ aws securityhub list-configuration-policies \
--max-items 5 \
--starting-token U2FsdGVkX19nUI2zoh+Pou9YyutlYJHWpn9xnG4hqSOhvw3o2JqjI23QDxdf

특정 구성 정책에 대한 세부 정보를 보려면 GetConfigurationPolicy 작업. 를 사용하는 경우 AWS CLI를 실행합니다. get-configuration-policy. 위임된 관리자 계정은 홈 리전에서 작업을 호출해야 합니다. 세부 정보를 보려는 구성 정책의 Amazon 리소스 이름(ARN) 또는 ID를 입력합니다.

$ aws securityhub get-configuration-policy \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"

모든 구성 정책 및 해당 계정 연결의 요약 목록을 보려면를 사용합니다. ListConfigurationPolicyAssociations 작업. 를 사용하는 경우 AWS CLI를 실행합니다. list-configuration-policy-associations 명령. 위임된 관리자 계정은 홈 리전의 작업을 호출합니다. 필요에 따라 페이지 매김 파라미터를 제공하거나 특정 정책 ID, 연결 유형 또는 연결 상태를 기준으로 결과를 필터링할 수 있습니다.

$ aws securityhub list-configuration-policy-associations \
--filters '{"AssociationType": "APPLIED"}'

특정 계정에 대한 연결을 보려면 GetConfigurationPolicyAssociation 작업. 를 사용하는 경우 AWS CLI를 실행합니다. get-configuration-policy-association 명령. 위임된 관리자 계정은 홈 리전의 작업을 호출합니다. target에서 계정 번호, OU ID 또는 루트 ID를 입력합니다.

$ aws securityhub get-configuration-policy-association \
--target '{"AccountId": "123456789012"}'

구성 정책의 연결 상태 검토

다음 중앙 구성 API 작업은 라는 필드를 반환합니다AssociationStatus.

  • BatchGetConfigurationPolicyAssociations

  • GetConfigurationPolicyAssociation

  • ListConfigurationPolicyAssociations

  • StartConfigurationPolicyAssociation

이 필드는 기본 구성이 구성 정책인 경우와 자체 관리형 동작인 경우, 모두 반환됩니다.

의 값은 정책 연결이 보류 중인지 또는 특정 계정의 성공 또는 실패 상태인지 AssociationStatus 알려줍니다. PENDING에서 SUCCESS 또는 FAILED(으)로 상태가 변경되려면 최대 24시간이 걸릴 수 있습니다. 의 상태는 구성 정책에 지정된 모든 설정이 계정과 연결되어 있음을 SUCCESS 의미합니다. 의 상태는 구성 정책에 지정된 하나 이상의 설정이 계정과 연결되지 않았음을 FAILED 의미합니다. FAILED 상태에도 불구하고 정책에 따라 계정을 부분적으로 구성할 수 있습니다. 예를 들어 Security Hub를 활성화하고 AWS , 기본 보안 모범 사례 v1.0.0을 활성화하고,를 비활성화하는 구성 정책과 계정을 연결하려고 할 수 있습니다 CloudTrail.1. 처음 두 설정은 성공할 수 있지만 CloudTrail.1 설정은 실패할 수 있습니다. 이 예제에서 연결 상태는 일부 설정이 올바르게 구성되었FAILED더라도 입니다.

상위 OU 또는 루트의 연결 상태는 해당 하위 항목의 상태에 따라 달라집니다. 모든 하위 항목의 연결 상태가 SUCCESS인 경우, 상위 항목의 연결 상태는 SUCCESS입니다. 하위 항목 하나 이상의 연결 상태가 FAILED인 경우 상위 항목의 연결 상태는 FAILED입니다.

의 값은 모든 관련 리전에서 정책의 연결 상태에 AssociationStatus 따라 달라집니다. 홈 리전 및 연결된 모든 리전에서 연결이 성공하면 AssociationStatus의 값은 SUCCESS입니다. 이러한 리전 중 하나 이상에서 연결이 실패할 경우, AssociationStatus의 값은 FAILED입니다.

다음과 같은 동작은 AssociationStatus의 값에도 영향을 미칩니다.

  • 대상이 상위 OU이거나 루트인 경우, 모든 하위 항목이 SUCCESS 또는 FAILED 상태일 때만 AssociationStatusSUCCESS 또는 FAILED입니다. 상위 계정을 구성에 처음 연결한 후 하위 계정 또는 OU의 연결 상태가 변경되는 경우(예: 연결된 리전이 추가 또는 제거되는 경우) StartConfigurationPolicyAssociation API 다시 호출하지 않는 한 변경 사항이 상위 계정의 연결 상태를 업데이트하지 않습니다.

  • 대상이 계정이면, 홈 리전 및 연결된 모든 리전에서 연결 결과가 SUCCESS 또는 FAILED인 경우에만 AssociationStatusSUCCESS 또는 FAILED입니다. 대상 계정을 구성과 처음 연결한 후 대상 계정의 연결 상태가 변경되면(예: 연결된 리전이 추가 또는 제거되는 경우), 해당 연결 상태가 업데이트됩니다. 그러나를 StartConfigurationPolicyAssociation API 다시 호출하지 않는 한 변경 사항은 상위의 연결 상태를 업데이트하지 않습니다.

연결된 새로운 리전을 추가하는 경우, Security Hub는 새로운 리전의 PENDING, SUCCESS 또는 FAILED 상태에 있는 기존 연결을 복제합니다.

연결 실패 문제 해결

에서는 다음과 같은 일반적인 이유로 AWS Security Hub구성 정책 연결이 실패할 수 있습니다.

  • Organizations 관리 계정은 멤버가 아닙니다. 구성 정책을 Organizations 관리 계정과 연결하려면 해당 계정이 이미 AWS Security Hub 활성화되어 있어야 합니다. 여기에는 관리 계정과 조직의 모든 구성원 계정이 포함됩니다.

  • AWS Config 가 활성화되지 않았거나 제대로 구성되지 않음 - 구성 정책에서 표준을 활성화하려면 관련 리소스를 기록하도록 활성화되고 구성되어야 AWS Config 합니다.

  • 위임된 관리자 계정에서 연결해야 함 - 위임된 Security Hub 관리자 계정에 로그인한 OUs 경우에만 정책을 대상 계정과 연결할 수 있습니다.

  • 홈 리전에서 연결해야 함 - 정책을 대상 계정 및 홈 리전에 로그인한 OUs 경우에만 연결할 수 있습니다.

  • 옵트인 영역이 활성화되지 않음 – 위임된 관리자가 활성화하지 않은 옵트인 리전인 경우, 연결된 리전의 구성원 계정 또는 OU에 대한 정책 연결이 실패합니다. 위임된 관리자 계정에서 리전을 활성화한 후 다시 시도할 수 있습니다.

  • 구성원 계정 일시 중단됨 – 정책을 일시 중지된 구성원 계정과 연결하려고 하면 정책 연결이 실패합니다.