기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
Security Hub 구성 정책 보기
위임된 관리자 계정은 조직의 AWS Security Hub 구성 정책 및 세부 정보를 볼 수 있습니다.
원하는 방법을 선택하고 다음 단계에 따라 정책 구성을 확인하세요.
- Console
-
구성 정책을 보려면
-
https://console.aws.amazon.com/securityhub/에서 AWS Security Hub 콘솔을 엽니다.
홈 리전에서 Security Hub 위임된 관리자 계정의 보안 인증 정보를 사용하여 로그인합니다.
-
탐색 창에서 설정 및 구성을 선택합니다.
-
정책책 탭을 선택하여 구성 정책의 개요를 확인합니다.
-
구성 정책과 세부 정보 보기를 차례로 선택하여 해당 정책에 대한 추가 세부 정보를 확인합니다.
- API
-
구성 정책을 보려면
모든 구성 정책의 요약 목록을 보려면 홈 리전의 Security Hub 위임된 관리자 계정에서 ListConfigurationPolicies
API를 호출합니다. 필요에 따라 페이지 매김 파라미터를 제공할 수도 있습니다.
API 요청 예시:
{
"MaxResults": 5,
"NextToken": "U2FsdGVkX19nUI2zoh+Pou9YyutlYJHWpn9xnG4hqSOhvw3o2JqjI23QDxdf"
}
특정 구성 정책에 대한 세부 정보를 보려면 홈 리전의 Security Hub 위임된 관리자 계정에서 GetConfigurationPolicy
API를 호출합니다. 세부 정보를 확인할 구성 정책의 Amazon 리소스 이름(ARN) 또는 ID를 입력합니다.
API 요청 예시:
{
"Identifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
}
모든 구성 정책 및 연결의 요약 목록을 보려면 홈 리전의 Security Hub 위임된 관리자 계정에서 ListConfigurationPolicyAssociations
API를 호출합니다. 필요에 따라 페이지 매김 파라미터를 제공하거나 특정 정책 ID, 연결 유형 또는 연결 상태를 기준으로 결과를 필터링할 수 있습니다.
API 요청 예시:
{
"AssociationType": "APPLIED"
}
특정 계정, OU 또는 루트에 대한 연결을 보려면 홈 리전의 Security Hub 위임된 관리자 계정에서 GetConfigurationPolicyAssociation
또는 BatchGetConfigurationPolicyAssociations
API를 호출합니다. Target
에서 계정 번호, OU ID 또는 루트 ID를 입력합니다.
{
"Target": {"AccountId": "123456789012"}
}
- AWS CLI
-
구성 정책을 보려면
모든 구성 정책의 요약 목록을 보려면 홈 리전의 Security Hub 위임된 관리자 계정에서 list-configuration-policies
명령을 실행합니다.
명령 예시:
aws securityhub --region us-east-1 list-configuration-policies \
--max-items 5 \
--starting-token U2FsdGVkX19nUI2zoh+Pou9YyutlYJHWpn9xnG4hqSOhvw3o2JqjI23QDxdf
특정 구성 정책에 대한 세부 정보를 보려면 홈 리전의 Security Hub 위임된 관리자 계정에서 get-configuration-policy
명령을 실행합니다. 세부 정보를 확인할 구성 정책의 Amazon 리소스 이름(ARN) 또는 ID를 입력합니다.
aws securityhub --region us-east-1 get-configuration-policy \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
모든 구성 정책 및 해당 계정 연결의 요약 목록을 보려면 홈 리전의 Security Hub 위임된 관리자 계정에서 list-configuration-policy-associations
명령을 실행합니다. 필요에 따라 페이지 매김 파라미터를 제공하거나 특정 정책 ID, 연결 유형 또는 연결 상태를 기준으로 결과를 필터링할 수 있습니다.
aws securityhub --region us-east-1 list-configuration-policy-associations \
--association-type "APPLIED"
특정 계정의 연결을 보려면 홈 리전의 Security Hub 위임된 관리자 계정에서 get-configuration-policy-association
또는 batch-get-configuration-policy-associations
명령을 실행합니다. target
에서 계정 번호, OU ID 또는 루트 ID를 입력합니다.
aws securityhub --region us-east-1 get-configuration-policy-association \
--target '{"AccountId": "123456789012"}'
구성의 연결 상태
다음 중앙 구성 API 작업은 AssociationStatus
필드를 반환합니다.
BatchGetConfigurationPolicyAssociations
GetConfigurationPolicyAssociation
ListConfigurationPolicyAssociations
StartConfigurationPolicyAssociation
이 필드는 기본 구성이 구성 정책인 경우와 자체 관리형 동작인 경우 모두 반환됩니다.
AssociationStatus
의 값은 정책 연결이 보류 중인지 또는 성공 또는 실패 상태인지를 알려줍니다. PENDING
에서 SUCCESS
또는 FAILURE
로 상태가 변경되려면 최대 24시간이 걸릴 수 있습니다. 상위 OU 또는 루트의 연결 상태는 해당 하위 항목의 상태에 따라 달라집니다. 모든 하위 항목의 연결 상태가 SUCCESS
인 경우 상위 항목의 연결 상태는 SUCCESS
입니다. 하위 항목 하나 이상의 연결 상태가 FAILED
인 경우 상위 항목의 연결 상태는 FAILED
입니다.
AssociationStatus
의 값 또한 모든 리전에 따라 다릅니다. 홈 리전 및 연결된 모든 리전에서 연결이 성공하면 AssociationStatus
의 값은 SUCCESS
입니다. 이러한 리전 중 하나 이상에서 연결이 실패할 경우 AssociationStatus
의 값은 FAILED
입니다.
다음과 같은 동작은 AssociationStatus
의 값에도 영향을 미칩니다.
대상이 상위 OU이거나 루트인 경우 모든 하위 항목이 SUCCESS
또는 FAILED
상태일 때만 AssociationStatus
가 SUCCESS
또는 FAILED
입니다. 상위 항목을 구성에 처음 연결한 후 하위 계정 또는 OU의 연결 상태가 변경되는 경우(예: 연결된 리전이 추가 또는 제거되는 경우), StartConfigurationPolicyAssociation
API를 다시 호출하지 않는 한 상위 항목의 연결 상태가 업데이트되지 않습니다.
대상이 계정이면, 홈 리전 및 연결된 모든 리전에서 연결 결과가 SUCCESS
또는 FAILED
인 경우에만 AssociationStatus
가 SUCCESS
또는 FAILED
입니다. 대상 계정을 구성과 처음 연결한 후 대상 계정의 연결 상태가 변경되면(예: 연결된 리전이 추가 또는 제거되는 경우), 해당 연결 상태가 업데이트됩니다. 하지만 StartConfigurationPolicyAssociation
API를 다시 호출하지 않는 한 변경으로 인해 상위 항목의 연결 상태가 업데이트되지 않습니다.
새 연결된 리전을 추가하는 경우 Security Hub는 새 리전의 PENDING
, SUCCESS
또는 FAILED
상태에 있는 기존 연결을 복제합니다.
일반적인 연결 실패 이유
다음과 같은 일반적인 이유로 구성 정책 연결이 실패할 수 있습니다.
Organizations 관리 계정이 구성원이 아님 – 구성 정책을 Organizations 관리 계정과 연결하려면 해당 계정에 Security Hub가 이미 활성화되어 있어야 합니다. 여기에는 관리 계정과 조직의 모든 구성원 계정이 포함됩니다.
AWS Config가 활성화되지 않았거나 제대로 구성되어 있지 않음 - 구성 정책에서 표준을 활성화하려면 관련 리소스를 기록하도록 AWS Config를 활성화하고 구성해야 합니다.
위임된 관리자 계정에서 연결해야 함 - 위임된 관리자 계정에 로그인한 경우에만 대상 계정 및 OU에 정책을 연결할 수 있습니다.
홈 리전에서 연결해야 함 - 홈 리전에 로그인한 경우에만 대상 계정 및 OU에 정책을 연결할 수 있습니다.
옵트인 영역이 활성화되지 않음 – 위임된 관리자가 활성화하지 않은 옵트인 리전인 경우 연결된 리전의 구성원 계정 또는 OU에 대한 정책 연결이 실패합니다. 위임된 관리자 계정에서 리전을 활성화한 후 다시 시도할 수 있습니다.
구성원 계정 일시 중단됨 – 정책을 일시 중지된 구성원 계정과 연결하려고 하면 정책 연결이 실패합니다.