Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Meninjau status dan detail kebijakan konfigurasi
<a name="view-policy"></a>

Administrator CSPM AWS Security Hub yang didelegasikan dapat melihat kebijakan konfigurasi untuk organisasi dan detailnya. Ini termasuk akun dan unit organisasi (OUs) mana yang terkait dengan kebijakan.

Untuk informasi latar belakang tentang manfaat konfigurasi pusat dan cara kerjanya, lihat[Memahami konfigurasi pusat di Security Hub CSPM](central-configuration-intro.md).

Pilih metode pilihan Anda, dan ikuti langkah-langkah untuk melihat kebijakan konfigurasi Anda.

------
#### [ Security Hub CSPM console ]

**Untuk melihat kebijakan konfigurasi (konsol)**

1. Buka konsol CSPM AWS Security Hub di. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Masuk menggunakan kredensional akun administrator CSPM Security Hub yang didelegasikan di Wilayah asal.

1. Di panel navigasi, pilih **Pengaturan** dan **Konfigurasi**.

1. Pilih tab **Kebijakan** untuk ikhtisar kebijakan konfigurasi Anda.

1. Pilih kebijakan konfigurasi, dan pilih **Lihat detail** untuk melihat detail tambahan tentangnya, termasuk akun mana dan OUs yang terkait dengannya.

------
#### [ Security Hub CSPM API ]

Untuk melihat daftar ringkasan semua kebijakan konfigurasi Anda, gunakan [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListConfigurationPolicies.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListConfigurationPolicies.html)pengoperasian API CSPM Security Hub. Jika Anda menggunakan AWS CLI, jalankan [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-configuration-policies.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-configuration-policies.html)perintah. Akun administrator CSPM Security Hub yang didelegasikan harus menjalankan operasi di Wilayah asal.

```
$ aws securityhub list-configuration-policies \
--max-items 5 \
--starting-token U2FsdGVkX19nUI2zoh+Pou9YyutlYJHWpn9xnG4hqSOhvw3o2JqjI23QDxdf
```

Untuk melihat detail tentang kebijakan konfigurasi tertentu, gunakan [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetConfigurationPolicy.html)operasi. Jika Anda menggunakan AWS CLI, jalankan [https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-configuration-policy.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-configuration-policy.html). Akun administrator yang didelegasikan harus menjalankan operasi di Wilayah asal. Berikan Nama Sumber Daya Amazon (ARN) atau ID kebijakan konfigurasi yang detailnya ingin Anda lihat.

```
$ aws securityhub get-configuration-policy \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
```

Untuk melihat daftar ringkasan semua kebijakan konfigurasi Anda dan asosiasi akun mereka, gunakan [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListConfigurationPolicyAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListConfigurationPolicyAssociations.html)operasi. Jika Anda menggunakan AWS CLI, jalankan [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-configuration-policy-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-configuration-policy-associations.html)perintah. Akun administrator yang didelegasikan harus menjalankan operasi di Wilayah asal. Secara opsional, Anda dapat memberikan parameter pagination atau memfilter hasil berdasarkan ID kebijakan tertentu, jenis asosiasi, atau status asosiasi.

```
$ aws securityhub list-configuration-policy-associations \
--filters '{"AssociationType": "APPLIED"}'
```

Untuk melihat asosiasi untuk akun tertentu, gunakan [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetConfigurationPolicyAssociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetConfigurationPolicyAssociation.html)operasi. Jika Anda menggunakan AWS CLI, jalankan [https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-configuration-policy-association.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-configuration-policy-association.html)perintah. Akun administrator yang didelegasikan harus menjalankan operasi di Wilayah asal. Untuk`target`, berikan nomor akun, ID OU, atau ID root.

```
$ aws securityhub get-configuration-policy-association \
--target '{"AccountId": "123456789012"}'
```

------

## Meninjau status asosiasi kebijakan konfigurasi
<a name="configuration-association-status"></a>

Operasi API konfigurasi pusat berikut mengembalikan bidang yang disebut`AssociationStatus`:
+ `BatchGetConfigurationPolicyAssociations`
+ `GetConfigurationPolicyAssociation`
+ `ListConfigurationPolicyAssociations`
+ `StartConfigurationPolicyAssociation`

Bidang ini dikembalikan baik ketika konfigurasi yang mendasarinya adalah kebijakan konfigurasi dan ketika itu adalah perilaku yang dikelola sendiri.

Nilai `AssociationStatus` memberi tahu Anda apakah asosiasi kebijakan tertunda atau dalam keadaan berhasil atau gagal untuk akun tertentu. Diperlukan waktu hingga 24 jam agar status berubah dari `PENDING` ke `SUCCESS` atau`FAILED`. Status `SUCCESS` berarti bahwa semua pengaturan yang ditentukan dalam kebijakan konfigurasi dikaitkan dengan akun. Status `FAILED` berarti bahwa satu atau beberapa pengaturan yang ditentukan dalam kebijakan konfigurasi gagal dikaitkan dengan akun. Meskipun `FAILED` status, akun dapat dikonfigurasi sebagian sesuai dengan kebijakan. Misalnya, Anda dapat mencoba mengaitkan akun dengan kebijakan konfigurasi yang mengaktifkan CSPM Security Hub, mengaktifkan Praktik Terbaik Keamanan AWS Dasar, dan menonaktifkan.1. CloudTrail Dua pengaturan awal bisa berhasil, tetapi pengaturan CloudTrail .1 bisa gagal. Dalam contoh ini, status asosiasi `FAILED` meskipun beberapa pengaturan telah dikonfigurasi dengan benar.

Status asosiasi OU orang tua atau root tergantung pada status anak-anaknya. Jika status asosiasi semua anak adalah`SUCCESS`, status asosiasi orang tua adalah`SUCCESS`. Jika status asosiasi satu atau lebih anak adalah`FAILED`, status asosiasi orang tua adalah`FAILED`.

Nilai `AssociationStatus` tergantung pada status asosiasi kebijakan di semua Wilayah terkait. Jika asosiasi berhasil di Wilayah asal dan semua Daerah terkait, nilainya `AssociationStatus` adalah`SUCCESS`. Jika asosiasi gagal di satu atau lebih Wilayah ini, nilainya `AssociationStatus` adalah`FAILED`.

Perilaku berikut juga berdampak pada nilai`AssociationStatus`:
+ Jika targetnya adalah OU orang tua atau root, ia memiliki `AssociationStatus` dari `SUCCESS` atau `FAILED` hanya ketika semua anak memiliki `FAILED` status `SUCCESS` atau. Jika status asosiasi akun turunan atau OU berubah (misalnya, saat Wilayah tertaut ditambahkan atau dihapus) setelah Anda pertama kali mengaitkan induk dengan konfigurasi, perubahan tersebut tidak akan memperbarui status asosiasi induk kecuali Anda menjalankan `StartConfigurationPolicyAssociation` API lagi.
+ Jika targetnya adalah akun, ia memiliki `AssociationStatus` dari `SUCCESS` atau `FAILED` hanya jika asosiasi memiliki hasil dari `SUCCESS` atau `FAILED` di Wilayah asal dan semua Wilayah yang ditautkan. Jika status asosiasi akun target berubah (misalnya, saat Wilayah tertaut ditambahkan atau dihapus) setelah Anda pertama kali mengaitkannya dengan konfigurasi, status asosiasinya akan diperbarui. Namun, perubahan tidak memperbarui status asosiasi induk kecuali Anda memanggil `StartConfigurationPolicyAssociation` API lagi.

Jika Anda menambahkan Wilayah tertaut baru, Security Hub CSPM mereplikasi asosiasi Anda yang ada di`PENDING`,`SUCCESS`, atau `FAILED` negara bagian di Wilayah baru.

Bahkan ketika status asosiasi adalah`SUCCESS`, status pemberdayaan standar yang merupakan bagian dari kebijakan dapat beralih ke keadaan yang tidak lengkap. Dalam hal ini, Security Hub CSPM tidak dapat menghasilkan temuan untuk kontrol standar. Untuk informasi selengkapnya, lihat [Memeriksa status standar](enable-standards.md#standard-subscription-status).

## Memecahkan masalah kegagalan asosiasi
<a name="failed-association-reasons"></a>

Di AWS Security Hub CSPM, asosiasi kebijakan konfigurasi mungkin gagal karena alasan umum berikut.
+ **Akun manajemen Organisasi bukan anggota** — Jika Anda ingin mengaitkan kebijakan konfigurasi dengan akun manajemen Organizations, akun tersebut harus sudah mengaktifkan AWS Security Hub CSPM. Ini membuat akun manajemen menjadi akun anggota dalam organisasi.
+ **AWS Config tidak diaktifkan atau dikonfigurasi dengan benar** — Untuk mengaktifkan standar dalam kebijakan konfigurasi, AWS Config harus diaktifkan dan dikonfigurasi untuk merekam sumber daya yang relevan.
+ **Harus dikaitkan dari akun administrator yang didelegasikan** — Anda hanya dapat mengaitkan kebijakan dengan akun target dan OUs saat Anda masuk ke akun administrator CSPM Security Hub yang didelegasikan.
+ **Harus dikaitkan dari wilayah asal** — Anda hanya dapat mengaitkan kebijakan dengan akun target dan OUs saat Anda masuk ke Wilayah asal Anda.
+ **Keikutsertaan Wilayah tidak diaktifkan** — Asosiasi kebijakan gagal untuk akun anggota atau OU di Wilayah tertaut jika itu adalah Wilayah keikutsertaan yang belum diaktifkan oleh administrator yang didelegasikan. Anda dapat mencoba lagi setelah mengaktifkan Region dari akun administrator yang didelegasikan.
+ **Akun anggota ditangguhkan** — Asosiasi kebijakan gagal jika Anda mencoba mengaitkan kebijakan dengan akun anggota yang ditangguhkan.