Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Visualización del estado y los detalles de la política de configuración
El AWS Security Hub administrador delegado puede ver las políticas de configuración de una organización y sus detalles. Esto incluye las cuentas y unidades organizativas (OUs) a las que está asociada una política.
Para obtener información general sobre las ventajas de la configuración central y su funcionamiento, consulteDescripción de la configuración central en Security Hub.
Elija su método preferido y siga estos pasos para ver las políticas de configuración.
Revisar el estado de asociación de una política de configuración
Las siguientes API operaciones de configuración central devuelven un campo denominadoAssociationStatus
:
BatchGetConfigurationPolicyAssociations
GetConfigurationPolicyAssociation
ListConfigurationPolicyAssociations
StartConfigurationPolicyAssociation
Este campo se devuelve cuando la configuración subyacente es una política de configuración y cuando se trata de un comportamiento autoadministrado.
El valor de AssociationStatus
indica si está pendiente la asociación de una política o si su estado es correcto o incorrecto. El estado puede tardar hasta 24 horas minutos en cambiar de PENDING
a SUCCESS
o FAILURE
. El estado de asociación de una unidad organizativa principal o de la raíz depende del estado de sus entidades secundarias. Si el estado de asociación de todas las entidades secundarias es SUCCESS
, el estado de asociación de la entidad principal es SUCCESS
. Si el estado de asociación de una o más entidades secundarias es FAILED
, el estado de asociación de la entidad principal es FAILED
.
El valor de AssociationStatus
también depende de todas las regiones. Si la asociación tiene éxito en la región de origen y en todas las regiones vinculadas, el valor de AssociationStatus
es SUCCESS
. Si se produce un error en la asociación en una o más de estas regiones, el valor de AssociationStatus
es FAILED
.
El siguiente comportamiento también afecta al valor de AssociationStatus
:
Si el destino es una unidad organizativa principal o de la raíz, tiene un
AssociationStatus
deSUCCESS
oFAILED
solo cuando todas las entidades secundarias tienen un estadoSUCCESS
oFAILED
. Si el estado de asociación de una cuenta secundaria o una unidad organizativa cambia (por ejemplo, cuando se agrega o elimina una región vinculada) después de asociar por primera vez la matriz a una configuración, el cambio no actualiza el estado de asociación de la cuenta principal a menos que seStartConfigurationPolicyAssociation
API vuelva a invocar.Si el destino es una cuenta, tiene un
AssociationStatus
deSUCCESS
oFAILED
solo si la asociación tiene un resultado deSUCCESS
oFAILED
en la región de origen y en todas las regiones vinculadas. Si el estado de asociación de una cuenta de destino cambia (por ejemplo, cuando se agrega o elimina una región vinculada) después de asociarla por primera vez a una configuración, su estado de asociación se actualiza. Sin embargo, el cambio no actualiza el estado de asociación de la matriz, a menos que se vuelva a invocar elStartConfigurationPolicyAssociation
API estado.
Si agrega una nueva región vinculada, Security Hub replica las asociaciones existentes que se encuentran en un estado PENDING
, SUCCESS
o FAILED
en la nueva región.
Solución de problemas de asociación
Una asociación de políticas de configuración puede dar un error por los siguientes motivos comunes:
La cuenta de administración de Organizations no es miembro: si desea asociar una política de configuración a la cuenta de administración de Organizations, esa cuenta ya debe tener habilitado Security Hub. Esto convierte a la cuenta de administración en una cuenta de miembro de la organización.
AWS Config no está habilitado o configurado correctamente: para habilitar los estándares en una política de configuración, AWS Config debe estar habilitado y configurado para registrar los recursos relevantes.
Debe asociarse desde una cuenta de administrador delegado: solo puede asociar una política a las cuentas de destino y OUs si ha iniciado sesión en la cuenta de administrador delegado.
Debe asociarse desde la región de origen: solo puede asociar una política a las cuentas de destino y OUs si ha iniciado sesión en la región de origen.
La región optativa no está habilitada: no se puede asociar la política a una cuenta de miembro o unidad organizativa de una región vinculada si se trata de una región optativa que el administrador delegado no ha habilitado. Puede volver a intentarlo después de habilitar la región desde la cuenta de administrador delegado.
Cuenta de miembro suspendida: la asociación de políticas es muestra error si se intenta asociar una política a una cuenta de miembro suspendida.