檢視 Security Hub 組態原則

委派的管理員帳戶可以檢視組織的組AWS Security Hub態原則及其詳細資料。

選擇您偏好的方法，然後按照步驟檢視您的組態原則。

Console

若要檢視組態原則

1. 開啟位於 https://console.aws.amazon.com/securityhub/ 的 AWS Security Hub 主控台。

   使用安全中心委派系統管理員帳戶在主區域中的認證登入。

2. 在功能窗格中，選擇 [設定和組態]。

3. 選擇 [原則] 索引標籤以檢視組態原則的概觀。

4. 選取組態原則，然後選擇「檢視詳細資料」以查看其他詳細資訊。

API

若要檢視組態原則

若要檢視所有設定原則的摘要清單，請從您主區域的 Security Hub 委派系統管理員帳戶叫用 ListConfigurationPoliciesAPI。您可以提供可選的分頁參數

API 請求示例：

{
    "MaxResults": 5,
    "NextToken": "U2FsdGVkX19nUI2zoh+Pou9YyutlYJHWpn9xnG4hqSOhvw3o2JqjI23QDxdf"
}
                

若要檢視特定組態原則的詳細資料，請從您主區域的 Security Hub 委派系統管理員帳戶叫用 GetConfigurationPolicyAPI。提供您要查看其詳細資料之組態政策的 Amazon 資源名稱 (ARN) 或識別碼。

API 請求示例：

{
    "Identifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
}
                

若要檢視所有設定原則及其關聯的摘要清單，請從您主區域中的 Security Hub 委派系統管理員帳戶叫用 ListConfigurationPolicyAssociationsAPI。或者，您可以提供分頁參數，或依特定原則 ID、關聯類型或關聯狀態篩選結果。

API 請求示例：

{
    "AssociationType": "APPLIED"
}
                

若要檢視特定帳戶、OU 或根帳戶的關聯，請從您主區域中的 Security Hub 委派系統管理員帳戶叫用GetConfigurationPolicyAssociation或 BatchGetConfigurationPolicyAssociationsAPI。對於Target，請提供帳號、OU ID 或根識別碼。

{
    "Target": {"AccountId": "123456789012"}
}
                

AWS CLI

若要檢視組態原則

若要檢視所有設定原則的摘要清單，請從主區域的 Security Hub 委派系統管理員帳戶執行list-configuration-policies命令。

範例命令：

aws securityhub --region us-east-1 list-configuration-policies \
--max-items 5 \
--starting-token U2FsdGVkX19nUI2zoh+Pou9YyutlYJHWpn9xnG4hqSOhvw3o2JqjI23QDxdf
                

若要檢視特定組態原則的詳細資料，請從您的主區域中的 Security Hub 委派系統管理員帳戶執行get-configuration-policy命令。提供您要查看其詳細資料之組態政策的 Amazon 資源名稱 (ARN) 或識別碼。

aws securityhub --region us-east-1 get-configuration-policy \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
                

若要檢視所有設定原則及其帳戶關聯的摘要清單，請從您主區域的 Security Hub 委派系統管理員帳戶執行list-configuration-policy-associations命令。或者，您可以提供分頁參數，或依特定原則 ID、關聯類型或關聯狀態篩選結果。

aws securityhub --region us-east-1 list-configuration-policy-associations \
--association-type "APPLIED"
                

若要檢視特定帳戶的關聯，請從您的主區域中的 Security Hub 委派系統管理員帳戶執行get-configuration-policy-association或batch-get-configuration-policy-associations命令。對於target，請提供帳號、OU ID 或根識別碼。

aws securityhub --region us-east-1 get-configuration-policy-association \
--target '{"AccountId": "123456789012"}'
                

組態的關聯狀態

下列中央設定 API 作業會傳回名為的欄位AssociationStatus：

• BatchGetConfigurationPolicyAssociations

• GetConfigurationPolicyAssociation

• ListConfigurationPolicyAssociations

• StartConfigurationPolicyAssociation

當基礎組態是組態原則以及自我管理行為時，都會傳回此欄位。

的值會AssociationStatus告訴您原則關聯為擱置中，還是處於成功或失敗的狀態。狀態可能需要 24 小時才會從SUCCESS或PENDING變更FAILURE。父 OU 或根目錄的關聯狀態取決於其子系的狀態。如果所有子項的關聯狀態為SUCCESS，則父項的關聯狀態為SUCCESS。如果一或多個子項的關聯狀態為FAILED，則父項的關聯狀態為FAILED。

的值AssociationStatus也取決於所有區域。如果主「區域」和所有連結區域中的關聯成功，則的值AssociationStatus為SUCCESS。如果這些區域中的一或多個關聯失敗，則的值AssociationStatus為FAILED。

下列行為也會影響的值AssociationStatus：

• 如果目標是父 OU 或根目錄，則目標具有AssociationStatusSUCCESS或FAILED僅當所有子系都具有SUCCESS或FAILED狀態時。如果子帳戶或 OU 的關聯狀態在您第一次將父項與設定產生關聯後變更 (例如，新增或移除連結的區域)，則除非您再次呼叫 StartConfigurationPolicyAssociation API，否則該變更不會更新父項的關聯狀態。

• 如果目標是帳戶，則該目標具有AssociationStatusSUCCESS或FAILED僅當關聯在主「區域」和所有連結的區域FAILED中產生SUCCESS或結果時才會有帳戶。如果在您第一次將目標帳戶與組態產生關聯後，目標帳戶的關聯狀態變更 (例如，新增或移除連結的區域時)，則其關聯狀態會更新。不過，除非您再次呼叫 StartConfigurationPolicyAssociation API，否則變更不會更新父項的關聯狀態。

如果您新增連結的區域，Security Hub 會複寫位於PENDINGSUCCESS、或新區域中FAILED狀態的現有關聯。

關聯失敗的常見原因

組態原則關聯可能會因下列常見原因而失敗：

• 組 Organ@@ izations 管理帳戶不是成員 — 如果您想要將組態原則與組 Organizations 管理帳戶建立關聯，則該帳戶必須已啟用 Security Hub。這會使管理帳戶成為組織中的成員帳戶。

• AWS Config未啟用或正確設定 — 若要在組態原則中啟用標準，AWS Config必須啟用並設定為記錄相關資源。

• 必須與委派的系統管理員帳戶建立關聯 — 您只能在登入委派的管理員帳戶時，將原則與目標帳戶和 OU 產生關聯。

• 必須從本地區域建立關聯 — 您只能在登入本地區域時，將原則與目標帳戶和 OU 產生關聯。

• 未啟用選擇加入區域 — 如果成員帳戶或連結區域中的 OU 是委派系統管理員尚未啟用的選擇加入區域，則原則關聯會失敗。從委派的系統管理員帳戶啟用 [區域] 後，您可以重試。

• 成員帳號已暫停 — 如果您嘗試將策略與暫停的成員帳戶建立關聯，則策略關聯會失敗。