Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Revisión del estado y los detalles de las políticas de configuración
<a name="view-policy"></a>

El administrador de CSPM de AWS Security Hub delegado puede ver las políticas de configuración de una organización y sus detalles. Esto incluye las cuentas y unidades organizativas a las que está asociada una política. OUs

Para obtener información general sobre las ventajas de la configuración centralizada y su funcionamiento, consulte [Descripción de la configuración central en el CSPM de Security Hub](central-configuration-intro.md).

Elija su método preferido y siga estos pasos para ver las políticas de configuración.

------
#### [ Security Hub CSPM console ]

**Para ver políticas de configuración (consola)**

1. Abra la consola CSPM de AWS Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Inicie sesión con las credenciales de la cuenta de administrador delegado del CSPM de Security Hub en la región de origen.

1. En el panel de navegación, seleccione **Configuración** y **Configuración**.

1. Seleccione la pestaña **Políticas** para obtener un resumen de las políticas de configuración.

1. Seleccione una política de configuración y elija **Ver detalles** para ver detalles adicionales sobre ella, incluidas las cuentas a las OUs que está asociada.

------
#### [ Security Hub CSPM API ]

Para ver una lista resumida de todas las políticas de configuración, utilice la operación [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListConfigurationPolicies.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListConfigurationPolicies.html) de la API del CSPM de Security Hub. Si usa el AWS CLI, ejecute el [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-configuration-policies.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-configuration-policies.html)comando. La cuenta de administrador delegado del CSPM de Security Hub debe invocar la operación en la región de origen.

```
$ aws securityhub list-configuration-policies \
--max-items 5 \
--starting-token U2FsdGVkX19nUI2zoh+Pou9YyutlYJHWpn9xnG4hqSOhvw3o2JqjI23QDxdf
```

Para ver los detalles sobre una política de configuración específica, utilice la operación [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetConfigurationPolicy.html). Si usa el AWS CLI, ejecute el [https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-configuration-policy.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-configuration-policy.html). La cuenta de administrador delegado debe invocar la operación en la región de origen. Proporcione el nombre de recurso de Amazon (ARN) o el ID de la política de configuración cuyos detalles desea ver.

```
$ aws securityhub get-configuration-policy \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
```

Para ver una lista resumida de todas las políticas de configuración y sus respectivas asociaciones de cuentas, utilice la operación de configuración [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListConfigurationPolicyAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListConfigurationPolicyAssociations.html). Si usa el AWS CLI, ejecute el [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-configuration-policy-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-configuration-policy-associations.html)comando. La cuenta de administrador delegado debe invocar la operación en la región de origen. Si lo desea, puede proporcionar parámetros de paginación o filtrar los resultados por un ID de política, un tipo de asociación o un estado de asociación específico.

```
$ aws securityhub list-configuration-policy-associations \
--filters '{"AssociationType": "APPLIED"}'
```

Para ver las asociaciones de una cuenta específica, utilice la operación [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetConfigurationPolicyAssociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetConfigurationPolicyAssociation.html). Si usa el AWS CLI, ejecute el [https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-configuration-policy-association.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-configuration-policy-association.html)comando. La cuenta de administrador delegado debe invocar la operación en la región de origen. En `target`, indique el número de cuenta, el ID de unidad organizativa o el ID de raíz.

```
$ aws securityhub get-configuration-policy-association \
--target '{"AccountId": "123456789012"}'
```

------

## Revisión del estado de asociación de una política de configuración
<a name="configuration-association-status"></a>

Las siguientes operaciones de la API de configuración centralizada devuelven un campo denominado `AssociationStatus`:
+ `BatchGetConfigurationPolicyAssociations`
+ `GetConfigurationPolicyAssociation`
+ `ListConfigurationPolicyAssociations`
+ `StartConfigurationPolicyAssociation`

Este campo se devuelve cuando la configuración subyacente es una política de configuración y cuando se trata de un comportamiento autoadministrado.

El valor de `AssociationStatus` indica si una asociación de política está pendiente o si se encuentra en un estado de éxito o de error para una cuenta específica. El estado puede tardar hasta 24 horas minutos en cambiar de `PENDING` a `SUCCESS` o `FAILED`. Un estado de `SUCCESS` significa que todos los ajustes especificados en la política de configuración están asociados a la cuenta. Un estado de `FAILED` significa que uno o más ajustes especificados en la política de configuración no se asociaron a la cuenta. A pesar de un estado `FAILED`, la cuenta podría estar configurada parcialmente conforme a la política. Por ejemplo, puede intentar asociar una cuenta a una política de configuración que habilite el CSPM de Security Hub, habilite las prácticas recomendadas de seguridad AWS fundamentales y deshabilite .1. CloudTrail Las dos configuraciones iniciales podrían funcionar correctamente, pero la configuración CloudTrail .1 podría fallar. En este ejemplo, el estado de la asociación es `FAILED`, incluso cuando algunos ajustes se configuraron correctamente.

El estado de asociación de una unidad organizativa principal o de la raíz depende del estado de sus entidades secundarias. Si el estado de asociación de todas las entidades secundarias es `SUCCESS`, el estado de asociación de la entidad principal es `SUCCESS`. Si el estado de asociación de una o más entidades secundarias es `FAILED`, el estado de asociación de la entidad principal es `FAILED`.

El valor de `AssociationStatus` depende del estado de asociación de la política en todas las regiones pertinentes. Si la asociación tiene éxito en la región de origen y en todas las regiones vinculadas, el valor de `AssociationStatus` es `SUCCESS`. Si se produce un error en la asociación en una o más de estas regiones, el valor de `AssociationStatus` es `FAILED`.

El siguiente comportamiento también afecta al valor de `AssociationStatus`:
+ Si el destino es una unidad organizativa principal o de la raíz, tiene un `AssociationStatus` de `SUCCESS` o `FAILED` solo cuando todas las entidades secundarias tienen un estado `SUCCESS` o `FAILED`. Si el estado de asociación de una cuenta o unidad organizativa secundaria cambia (por ejemplo, cuando se agrega o elimina una región vinculada) después de asociar por primera vez la entidad principal a una configuración, el cambio no actualiza el estado de asociación de la entidad principal a menos que vuelva a invocar la API `StartConfigurationPolicyAssociation`.
+ Si el destino es una cuenta, tiene un `AssociationStatus` de `SUCCESS` o `FAILED` solo si la asociación tiene un resultado de `SUCCESS` o `FAILED` en la región de origen y en todas las regiones vinculadas. Si el estado de asociación de una cuenta de destino cambia (por ejemplo, cuando se agrega o elimina una región vinculada) después de asociarla por primera vez a una configuración, su estado de asociación se actualiza. Sin embargo, el cambio no actualiza el estado de asociación de la entidad principal a menos que vuelva a invocar la API `StartConfigurationPolicyAssociation`.

Si agrega una región vinculada nueva, el CSPM de Security Hub replica las asociaciones existentes que se encuentran en un estado `PENDING`, `SUCCESS` o `FAILED` en la nueva región.

Incluso cuando el estado de la asociación es `SUCCESS`, el estado de habilitación de un estándar incluido en la política puede pasar a un estado incompleto. En ese caso, el CSPM de Security Hub no puede generar resultados para los controles del estándar. Para obtener más información, consulte [Verificación del estado de un estándar](enable-standards.md#standard-subscription-status).

## Solución de problemas de la asociación
<a name="failed-association-reasons"></a>

En AWS Security Hub CSPM, la asociación de una política de configuración puede fallar por los siguientes motivos habituales.
+ **La cuenta de administración de Organizations no es miembro**: si desea asociar una política de configuración a la cuenta de administración de Organizations, esa cuenta ya debe tener activado AWS Security Hub CSPM. Esto convierte a la cuenta de administración en una cuenta de miembro de la organización.
+ **AWS Config no está habilitada o configurada correctamente**: para habilitar los estándares en una política de configuración, AWS Config debe estar habilitada y configurada para registrar los recursos relevantes.
+ **Debe asociarse desde una cuenta de administrador delegada**: solo puede asociar una política a las cuentas de destino y OUs cuando haya iniciado sesión en la cuenta de administrador delegada de CSPM de Security Hub.
+ **Debe asociarse desde la región de origen**: solo puede asociar una política a las cuentas de destino y OUs cuando haya iniciado sesión en su región de origen.
+ **La región optativa no está habilitada**: no se puede asociar la política a una cuenta de miembro o unidad organizativa de una región vinculada si se trata de una región optativa que el administrador delegado no ha habilitado. Puede volver a intentarlo después de habilitar la región desde la cuenta de administrador delegado.
+ **Cuenta de miembro suspendida**: la asociación de políticas es muestra error si se intenta asociar una política a una cuenta de miembro suspendida.