Visualización del estado y los detalles de la política de configuración - AWS Security Hub
Revisar el estado de asociación de una política de configuraciónSolución de problemas de asociación

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Visualización del estado y los detalles de la política de configuración

El AWS Security Hub administrador delegado puede ver las políticas de configuración de una organización y sus detalles. Esto incluye las cuentas y unidades organizativas (OUs) a las que está asociada una política.

Para obtener información general sobre las ventajas de la configuración central y su funcionamiento, consulteDescripción de la configuración central en Security Hub.

Elija su método preferido y siga estos pasos para ver las políticas de configuración.

Console
Visualización de políticas de configuración

  1. Abra la AWS Security Hub consola en https://console.aws.amazon.com/securityhub/.

    Inicie sesión con las credenciales de la cuenta del administrador delegado de Security Hub en la región de origen.

  2. En el panel de navegación, seleccione Configuración y Configuración.

  3. Seleccione la pestaña Políticas para obtener una descripción general de sus políticas de configuración.

  4. Seleccione una política de configuración y elija Ver detalles para ver detalles adicionales sobre ella, incluidas las cuentas a las OUs que está asociada.

API

Visualización de políticas de configuración

Para ver una lista resumida de todas sus políticas de configuración, invoque la cuenta ListConfigurationPoliciesAPIde administrador delegado de Security Hub en su región de origen. Puede proporcionar parámetros de paginación opcionales

Ejemplo API de solicitud:

{
    "MaxResults": 5,
    "NextToken": "U2FsdGVkX19nUI2zoh+Pou9YyutlYJHWpn9xnG4hqSOhvw3o2JqjI23QDxdf"
}

Para ver los detalles de una política de configuración específica, invoque la cuenta GetConfigurationPolicyAPIde administrador delegado de Security Hub en su región de origen. Proporcione el nombre del recurso de Amazon (ARN) o el ID de la política de configuración cuyos detalles desea ver.

Ejemplo de API solicitud:

{
    "Identifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
}

Para ver una lista resumida de todas las políticas de configuración y sus asociaciones, invoque la cuenta ListConfigurationPolicyAssociationsAPIde administrador delegado de Security Hub en su región de origen. Si lo desea, puede proporcionar parámetros de paginación o filtrar los resultados por un ID de política, un tipo de asociación o un estado de asociación específico.

Ejemplo API de solicitud:

{
    "AssociationType": "APPLIED"
}

Para ver las asociaciones de una cuenta, unidad organizativa o raíz específica, invoque la cuenta de administrador delegado BatchGetConfigurationPolicyAssociationsAPIde Security Hub en su región de origen GetConfigurationPolicyAssociationo desde ella. En Target, indique el número de cuenta, el ID de unidad organizativa o el ID de raíz.

{
    "Target": {"AccountId": "123456789012"}
}
AWS CLI

Visualización de políticas de configuración

Para ver una lista resumida de todas las políticas de configuración, ejecute el comando list-configuration-policies desde la cuenta de administrador delegado de Security Hub en su región de origen.

Comando de ejemplo:

aws securityhub --region us-east-1 list-configuration-policies \
--max-items 5 \
--starting-token U2FsdGVkX19nUI2zoh+Pou9YyutlYJHWpn9xnG4hqSOhvw3o2JqjI23QDxdf

Para ver los detalles de una política de configuración específica, ejecute el comando get-configuration-policy desde la cuenta de administrador delegado de Security Hub en la región de origen. Proporcione el nombre del recurso de Amazon (ARN) o el ID de la política de configuración cuyos detalles desea ver.

aws securityhub --region us-east-1 get-configuration-policy \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"

Para ver una lista resumida de todas sus políticas de configuración y sus respectivas asociaciones de cuentas, ejecute el comando list-configuration-policy-associations desde la cuenta de administrador delegado de Security Hub en su región de origen. Si lo desea, puede proporcionar parámetros de paginación o filtrar los resultados por un ID de política, un tipo de asociación o un estado de asociación específico.

aws securityhub --region us-east-1 list-configuration-policy-associations \
--association-type "APPLIED"

Para ver las asociaciones de una cuenta específica, ejecute el comando get-configuration-policy-association o batch-get-configuration-policy-associations desde la cuenta de administrador delegado de Security Hub en su región de origen. En target, indique el número de cuenta, el ID de unidad organizativa o el ID de raíz.

aws securityhub --region us-east-1 get-configuration-policy-association \
--target '{"AccountId": "123456789012"}'

Revisar el estado de asociación de una política de configuración

Las siguientes API operaciones de configuración central devuelven un campo denominadoAssociationStatus:

  • BatchGetConfigurationPolicyAssociations

  • GetConfigurationPolicyAssociation

  • ListConfigurationPolicyAssociations

  • StartConfigurationPolicyAssociation

Este campo se devuelve cuando la configuración subyacente es una política de configuración y cuando se trata de un comportamiento autoadministrado.

El valor de AssociationStatus indica si está pendiente la asociación de una política o si su estado es correcto o incorrecto. El estado puede tardar hasta 24 horas minutos en cambiar de PENDING a SUCCESS o FAILURE. El estado de asociación de una unidad organizativa principal o de la raíz depende del estado de sus entidades secundarias. Si el estado de asociación de todas las entidades secundarias es SUCCESS, el estado de asociación de la entidad principal es SUCCESS. Si el estado de asociación de una o más entidades secundarias es FAILED, el estado de asociación de la entidad principal es FAILED.

El valor de AssociationStatus también depende de todas las regiones. Si la asociación tiene éxito en la región de origen y en todas las regiones vinculadas, el valor de AssociationStatus es SUCCESS. Si se produce un error en la asociación en una o más de estas regiones, el valor de AssociationStatus es FAILED.

El siguiente comportamiento también afecta al valor de AssociationStatus:

  • Si el destino es una unidad organizativa principal o de la raíz, tiene un AssociationStatus de SUCCESS o FAILED solo cuando todas las entidades secundarias tienen un estado SUCCESS o FAILED. Si el estado de asociación de una cuenta secundaria o una unidad organizativa cambia (por ejemplo, cuando se agrega o elimina una región vinculada) después de asociar por primera vez la matriz a una configuración, el cambio no actualiza el estado de asociación de la cuenta principal a menos que se StartConfigurationPolicyAssociation API vuelva a invocar.

  • Si el destino es una cuenta, tiene un AssociationStatus de SUCCESS o FAILED solo si la asociación tiene un resultado de SUCCESS o FAILED en la región de origen y en todas las regiones vinculadas. Si el estado de asociación de una cuenta de destino cambia (por ejemplo, cuando se agrega o elimina una región vinculada) después de asociarla por primera vez a una configuración, su estado de asociación se actualiza. Sin embargo, el cambio no actualiza el estado de asociación de la matriz, a menos que se vuelva a invocar el StartConfigurationPolicyAssociation API estado.

Si agrega una nueva región vinculada, Security Hub replica las asociaciones existentes que se encuentran en un estado PENDING, SUCCESS o FAILED en la nueva región.

Solución de problemas de asociación

Una asociación de políticas de configuración puede dar un error por los siguientes motivos comunes:

  • La cuenta de administración de Organizations no es miembro: si desea asociar una política de configuración a la cuenta de administración de Organizations, esa cuenta ya debe tener habilitado Security Hub. Esto convierte a la cuenta de administración en una cuenta de miembro de la organización.

  • AWS Config no está habilitado o configurado correctamente: para habilitar los estándares en una política de configuración, AWS Config debe estar habilitado y configurado para registrar los recursos relevantes.

  • Debe asociarse desde una cuenta de administrador delegado: solo puede asociar una política a las cuentas de destino y OUs si ha iniciado sesión en la cuenta de administrador delegado.

  • Debe asociarse desde la región de origen: solo puede asociar una política a las cuentas de destino y OUs si ha iniciado sesión en la región de origen.

  • La región optativa no está habilitada: no se puede asociar la política a una cuenta de miembro o unidad organizativa de una región vinculada si se trata de una región optativa que el administrador delegado no ha habilitado. Puede volver a intentarlo después de habilitar la región desde la cuenta de administrador delegado.

  • Cuenta de miembro suspendida: la asociación de políticas es muestra error si se intenta asociar una política a una cuenta de miembro suspendida.