查看 Security Hub 配置策略

委托管理员账户可以查看组织的 AWS Security Hub 配置策略及其详细信息。

选择首选方法，然后按照步骤查看配置策略。

Console

要查看配置策略

1. 通过以下网址打开AWS Security Hub控制台：https://console.aws.amazon.com/securityhub/。

   使用主区域中 Security Hub 委托管理员账户的凭证登录。

2. 在导航窗格中，选择设置和配置。

3. 选择策略选项卡以查看配置策略概述。

4. 选择一个配置策略，然后选择查看详细信息，查看有关该策略的其他详细信息。

API

要查看配置策略

要查看所有配置策略的摘要列表，请从主区域中的 Security Hub 委托管理员账户调用 ListConfigurationPolicies API。您可以提供可选的分页参数

API 请求示例：

{
    "MaxResults": 5,
    "NextToken": "U2FsdGVkX19nUI2zoh+Pou9YyutlYJHWpn9xnG4hqSOhvw3o2JqjI23QDxdf"
}
                

要查看特定配置策略的摘要列表，请从主区域中的 Security Hub 委托管理员账户调用 GetConfigurationPolicy API。提供要查看其详细信息的配置策略的 Amazon 资源名称（ARN）或 ID。

API 请求示例：

{
    "Identifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
}
                

要查看所有配置策略及其关联的摘要列表，请从主区域中的 Security Hub 委托管理员账户调用 ListConfigurationPolicyAssociations API。或者，您可以提供分页参数，或者按特定策略 ID、关联类型或关联状态筛选结果。

API 请求示例：

{
    "AssociationType": "APPLIED"
}
                

要查看特定账户、OU 或根的关联，请从主区域中的 Security Hub 委托管理员账户调用 GetConfigurationPolicyAssociation 或 BatchGetConfigurationPolicyAssociations API。对于 Target，请提供账户、OU ID 或根 ID。

{
    "Target": {"AccountId": "123456789012"}
}
                

AWS CLI

要查看配置策略

要查看所有配置策略的摘要列表，请从主区域中的 Security Hub 委托管理员账户运行 list-configuration-policies 命令。

命令示例：

aws securityhub --region us-east-1 list-configuration-policies \
--max-items 5 \
--starting-token U2FsdGVkX19nUI2zoh+Pou9YyutlYJHWpn9xnG4hqSOhvw3o2JqjI23QDxdf
                

要查看特定配置策略的摘要列表，请从主区域中的 Security Hub 委托管理员账户运行 get-configuration-policy 命令。提供要查看其详细信息的配置策略的 Amazon 资源名称（ARN）或 ID。

aws securityhub --region us-east-1 get-configuration-policy \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
                

要查看所有配置策略及其账户的摘要列表，请从主区域中的 Security Hub 委托管理员账户运行 list-configuration-policy-associations 命令。或者，您可以提供分页参数，或者按特定策略 ID、关联类型或关联状态筛选结果。

aws securityhub --region us-east-1 list-configuration-policy-associations \
--association-type "APPLIED"
                

要查看特定账户的关联，请从主区域中的 Security Hub 委托管理员账户运行 get-configuration-policy-association 或 batch-get-configuration-policy-associations 命令。对于 target，请提供账户、OU ID 或根 ID。

aws securityhub --region us-east-1 get-configuration-policy-association \
--target '{"AccountId": "123456789012"}'
                

配置的关联状态

以下中心配置 API 操作将返回一个名为 AssociationStatus 的字段：

• BatchGetConfigurationPolicyAssociations

• GetConfigurationPolicyAssociation

• ListConfigurationPolicyAssociations

• StartConfigurationPolicyAssociation

当基础配置为配置策略，并且是自行管理行为时，都将返回此字段。

AssociationStatus 的值会告诉您策略关联是待处理还是处于成功或失败状态。状态从 PENDING 变为 SUCCESS 或 FAILURE 可能需要长达 24 小时的时间。父 OU 或根的关联状态取决于其子级的状态。如果所有子级的关联状态均为 SUCCESS，则父级的关联状态为 SUCCESS。如果一个或多个子级的关联状态均为 FAILED，则父级的关联状态为 FAILED。

AssociationStatus 的值还取决于所有区域。如果关联在主区域和所有关联区域成功，则 AssociationStatus 的值为 SUCCESS。如果关联在一个或多个区域失败，则 AssociationStatus 的值为 FAILED。

以下行为也会影响 AssociationStatus 的值：

• 如果目标是父 OU 或根，则只有当所有子级的状态为 SUCCESS 或 FAILED 时，AssociationStatus 才具有 SUCCESS 或 FAILED 状态。在首次将父级与配置关联后，如果子账户或 OU 的关联状态变更（例如，添加或删除了关联区域时），则除非再次调用 StartConfigurationPolicyAssociation API，否则变更不会使父级的关联状态更新。

• 如果目标是账户，则只有当主区域和所有关联区域的关联结果为 SUCCESS 或 FAILED 时，AssociationStatus 才具有 SUCCESS 或 FAILED 状态。在首次将目标账户与配置关联后，如果目标账户的关联状态变更（例如，添加或删除了关联区域时），则配置的关联状态也会随之更新。但除非再次调用 StartConfigurationPolicyAssociation API，否则变更不会使父级的关联状态更新。

如果您添加新的关联区域，Security Hub 会复制新区域中处于 PENDING、SUCCESS 或 FAILED 状态的现有关联。

关联失败的常见原因

配置策略关联可能会因以下常见原因而失败：

• 组织管理账户不是成员：如果要将配置策略与组织管理账户关联，该账户必须已启用 Security Hub。这将使管理账户成为组织的成员账户。

• AWS Config 未启用或未正确配置：要在配置策略中启用标准，必须启用并配置 AWS Config 以记录相关资源。

• 必须从委托管理员账户关联：只有在登录委托管理员账户后，才能将策略与目标账户和 OU 关联。

• 必须从主区域关联：只有在登录主区域后，才能将策略与目标账户和 OU 关联。

• 未启用选择加入区域：如果关联区域是委托管理员尚未启用的选择加入区域，则该区域中的成员账户或 OU 的策略关联将会失败。您可以在从委托管理员账户启用区域后重试。

• 成员账户已暂停：如果尝试将策略与暂停的成员账户关联，则策略关联将失败。