Security Hub 구성 정책 보기

위임된 관리자 계정은 조직의 AWS Security Hub 구성 정책 및 세부 정보를 볼 수 있습니다.

원하는 방법을 선택하고 다음 단계에 따라 정책 구성을 확인하세요.

Console

구성 정책을 보려면

1. https://console.aws.amazon.com/securityhub/에서 AWS Security Hub 콘솔을 엽니다.

   홈 리전에서 Security Hub 위임된 관리자 계정의 보안 인증 정보를 사용하여 로그인합니다.

2. 탐색 창에서 설정 및 구성을 선택합니다.

3. 정책책 탭을 선택하여 구성 정책의 개요를 확인합니다.

4. 구성 정책과 세부 정보 보기를 차례로 선택하여 해당 정책에 대한 추가 세부 정보를 확인합니다.

API

구성 정책을 보려면

모든 구성 정책의 요약 목록을 보려면 홈 리전의 Security Hub 위임된 관리자 계정에서 ListConfigurationPolicies API를 호출합니다. 필요에 따라 페이지 매김 파라미터를 제공할 수도 있습니다.

API 요청 예시:

{
    "MaxResults": 5,
    "NextToken": "U2FsdGVkX19nUI2zoh+Pou9YyutlYJHWpn9xnG4hqSOhvw3o2JqjI23QDxdf"
}
                

특정 구성 정책에 대한 세부 정보를 보려면 홈 리전의 Security Hub 위임된 관리자 계정에서 GetConfigurationPolicy API를 호출합니다. 세부 정보를 확인할 구성 정책의 Amazon 리소스 이름(ARN) 또는 ID를 입력합니다.

API 요청 예시:

{
    "Identifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
}
                

모든 구성 정책 및 연결의 요약 목록을 보려면 홈 리전의 Security Hub 위임된 관리자 계정에서 ListConfigurationPolicyAssociations API를 호출합니다. 필요에 따라 페이지 매김 파라미터를 제공하거나 특정 정책 ID, 연결 유형 또는 연결 상태를 기준으로 결과를 필터링할 수 있습니다.

API 요청 예시:

{
    "AssociationType": "APPLIED"
}
                

특정 계정, OU 또는 루트에 대한 연결을 보려면 홈 리전의 Security Hub 위임된 관리자 계정에서 GetConfigurationPolicyAssociation 또는 BatchGetConfigurationPolicyAssociations API를 호출합니다. Target에서 계정 번호, OU ID 또는 루트 ID를 입력합니다.

{
    "Target": {"AccountId": "123456789012"}
}
                

AWS CLI

구성 정책을 보려면

모든 구성 정책의 요약 목록을 보려면 홈 리전의 Security Hub 위임된 관리자 계정에서 list-configuration-policies 명령을 실행합니다.

명령 예시:

aws securityhub --region us-east-1 list-configuration-policies \
--max-items 5 \
--starting-token U2FsdGVkX19nUI2zoh+Pou9YyutlYJHWpn9xnG4hqSOhvw3o2JqjI23QDxdf
                

특정 구성 정책에 대한 세부 정보를 보려면 홈 리전의 Security Hub 위임된 관리자 계정에서 get-configuration-policy 명령을 실행합니다. 세부 정보를 확인할 구성 정책의 Amazon 리소스 이름(ARN) 또는 ID를 입력합니다.

aws securityhub --region us-east-1 get-configuration-policy \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
                

모든 구성 정책 및 해당 계정 연결의 요약 목록을 보려면 홈 리전의 Security Hub 위임된 관리자 계정에서 list-configuration-policy-associations 명령을 실행합니다. 필요에 따라 페이지 매김 파라미터를 제공하거나 특정 정책 ID, 연결 유형 또는 연결 상태를 기준으로 결과를 필터링할 수 있습니다.

aws securityhub --region us-east-1 list-configuration-policy-associations \
--association-type "APPLIED"
                

특정 계정의 연결을 보려면 홈 리전의 Security Hub 위임된 관리자 계정에서 get-configuration-policy-association 또는 batch-get-configuration-policy-associations 명령을 실행합니다. target에서 계정 번호, OU ID 또는 루트 ID를 입력합니다.

aws securityhub --region us-east-1 get-configuration-policy-association \
--target '{"AccountId": "123456789012"}'
                

구성의 연결 상태

다음 중앙 구성 API 작업은 AssociationStatus 필드를 반환합니다.

• BatchGetConfigurationPolicyAssociations

• GetConfigurationPolicyAssociation

• ListConfigurationPolicyAssociations

• StartConfigurationPolicyAssociation

이 필드는 기본 구성이 구성 정책인 경우와 자체 관리형 동작인 경우 모두 반환됩니다.

AssociationStatus의 값은 정책 연결이 보류 중인지 또는 성공 또는 실패 상태인지를 알려줍니다. PENDING에서 SUCCESS 또는 FAILURE로 상태가 변경되려면 최대 24시간이 걸릴 수 있습니다. 상위 OU 또는 루트의 연결 상태는 해당 하위 항목의 상태에 따라 달라집니다. 모든 하위 항목의 연결 상태가 SUCCESS인 경우 상위 항목의 연결 상태는 SUCCESS입니다. 하위 항목 하나 이상의 연결 상태가 FAILED인 경우 상위 항목의 연결 상태는 FAILED입니다.

AssociationStatus의 값 또한 모든 리전에 따라 다릅니다. 홈 리전 및 연결된 모든 리전에서 연결이 성공하면 AssociationStatus의 값은 SUCCESS입니다. 이러한 리전 중 하나 이상에서 연결이 실패할 경우 AssociationStatus의 값은 FAILED입니다.

다음과 같은 동작은 AssociationStatus의 값에도 영향을 미칩니다.

• 대상이 상위 OU이거나 루트인 경우 모든 하위 항목이 SUCCESS 또는 FAILED 상태일 때만 AssociationStatus가 SUCCESS 또는 FAILED입니다. 상위 항목을 구성에 처음 연결한 후 하위 계정 또는 OU의 연결 상태가 변경되는 경우(예: 연결된 리전이 추가 또는 제거되는 경우), StartConfigurationPolicyAssociation API를 다시 호출하지 않는 한 상위 항목의 연결 상태가 업데이트되지 않습니다.

• 대상이 계정이면, 홈 리전 및 연결된 모든 리전에서 연결 결과가 SUCCESS 또는 FAILED인 경우에만 AssociationStatus가 SUCCESS 또는 FAILED입니다. 대상 계정을 구성과 처음 연결한 후 대상 계정의 연결 상태가 변경되면(예: 연결된 리전이 추가 또는 제거되는 경우), 해당 연결 상태가 업데이트됩니다. 하지만 StartConfigurationPolicyAssociation API를 다시 호출하지 않는 한 변경으로 인해 상위 항목의 연결 상태가 업데이트되지 않습니다.

새 연결된 리전을 추가하는 경우 Security Hub는 새 리전의 PENDING, SUCCESS 또는 FAILED 상태에 있는 기존 연결을 복제합니다.

일반적인 연결 실패 이유

다음과 같은 일반적인 이유로 구성 정책 연결이 실패할 수 있습니다.

• Organizations 관리 계정이 구성원이 아님 – 구성 정책을 Organizations 관리 계정과 연결하려면 해당 계정에 Security Hub가 이미 활성화되어 있어야 합니다. 여기에는 관리 계정과 조직의 모든 구성원 계정이 포함됩니다.

• AWS Config가 활성화되지 않았거나 제대로 구성되어 있지 않음 - 구성 정책에서 표준을 활성화하려면 관련 리소스를 기록하도록 AWS Config를 활성화하고 구성해야 합니다.

• 위임된 관리자 계정에서 연결해야 함 - 위임된 관리자 계정에 로그인한 경우에만 대상 계정 및 OU에 정책을 연결할 수 있습니다.

• 홈 리전에서 연결해야 함 - 홈 리전에 로그인한 경우에만 대상 계정 및 OU에 정책을 연결할 수 있습니다.

• 옵트인 영역이 활성화되지 않음 – 위임된 관리자가 활성화하지 않은 옵트인 리전인 경우 연결된 리전의 구성원 계정 또는 OU에 대한 정책 연결이 실패합니다. 위임된 관리자 계정에서 리전을 활성화한 후 다시 시도할 수 있습니다.

• 구성원 계정 일시 중단됨 – 정책을 일시 중지된 구성원 계정과 연결하려고 하면 정책 연결이 실패합니다.