

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Revisione dello stato e dei dettagli delle politiche di configurazione
<a name="view-policy"></a>

L'amministratore delegato AWS di Security Hub CSPM può visualizzare le politiche di configurazione per un'organizzazione e i relativi dettagli. Ciò include gli account e le unità organizzative (OUs) a cui è associata una politica.

Per informazioni di base sui vantaggi della configurazione centralizzata e su come funziona, consulta[Comprendere la configurazione centrale in Security Hub CSPM](central-configuration-intro.md).

Scegliete il metodo preferito e seguite i passaggi per visualizzare le vostre politiche di configurazione.

------
#### [ Security Hub CSPM console ]

**Per visualizzare le politiche di configurazione (console)**

1. Aprire la console CSPM AWS di Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Accedi utilizzando le credenziali dell'account amministratore CSPM di Security Hub delegato nella regione di residenza.

1. ****Nel riquadro di navigazione, scegli Impostazioni e configurazione.****

1. Scegli la scheda **Politiche** per una panoramica delle tue politiche di configurazione.

1. Seleziona una politica di configurazione e scegli **Visualizza dettagli per visualizzare** ulteriori dettagli al riguardo, inclusi gli account a cui OUs è associata.

------
#### [ Security Hub CSPM API ]

Per visualizzare un elenco riepilogativo di tutte le politiche di configurazione, utilizza il [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListConfigurationPolicies.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListConfigurationPolicies.html)funzionamento dell'API CSPM Security Hub. Se usi il AWS CLI, esegui il comando. [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-configuration-policies.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-configuration-policies.html) L'account amministratore delegato di Security Hub CSPM deve richiamare l'operazione nella regione di origine.

```
$ aws securityhub list-configuration-policies \
--max-items 5 \
--starting-token U2FsdGVkX19nUI2zoh+Pou9YyutlYJHWpn9xnG4hqSOhvw3o2JqjI23QDxdf
```

Per visualizzare i dettagli su una politica di configurazione specifica, usa l'operazione. [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetConfigurationPolicy.html) Se usi il AWS CLI, esegui il [https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-configuration-policy.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-configuration-policy.html). L'account amministratore delegato deve richiamare l'operazione nella regione di origine. Fornisci l'Amazon Resource Name (ARN) o l'ID della policy di configurazione di cui desideri visualizzare i dettagli.

```
$ aws securityhub get-configuration-policy \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
```

Per visualizzare un elenco riepilogativo di tutte le politiche di configurazione e le relative associazioni di account, utilizza l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListConfigurationPolicyAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListConfigurationPolicyAssociations.html)operazione. Se usi il AWS CLI, esegui il [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-configuration-policy-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-configuration-policy-associations.html)comando. L'account amministratore delegato deve richiamare l'operazione nella regione di origine. Facoltativamente, è possibile fornire parametri di impaginazione o filtrare i risultati in base a un ID di policy specifico, al tipo di associazione o allo stato dell'associazione.

```
$ aws securityhub list-configuration-policy-associations \
--filters '{"AssociationType": "APPLIED"}'
```

Per visualizzare le associazioni per un account specifico, utilizzare l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetConfigurationPolicyAssociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetConfigurationPolicyAssociation.html)operazione. Se si utilizza il AWS CLI, eseguire il [https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-configuration-policy-association.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-configuration-policy-association.html)comando. L'account amministratore delegato deve richiamare l'operazione nella regione di origine. Per`target`, fornisci il numero di account, l'ID dell'unità organizzativa o l'ID root.

```
$ aws securityhub get-configuration-policy-association \
--target '{"AccountId": "123456789012"}'
```

------

## Revisione dello stato di associazione di una politica di configurazione
<a name="configuration-association-status"></a>

Le seguenti operazioni API di configurazione centrale restituiscono un campo chiamato`AssociationStatus`:
+ `BatchGetConfigurationPolicyAssociations`
+ `GetConfigurationPolicyAssociation`
+ `ListConfigurationPolicyAssociations`
+ `StartConfigurationPolicyAssociation`

Questo campo viene restituito sia quando la configurazione sottostante è una politica di configurazione sia quando si tratta di un comportamento autogestito.

Il valore di `AssociationStatus` indica se un'associazione di policy è in sospeso o in stato di successo o di fallimento per un account specifico. La modifica dello stato da a `SUCCESS` o `FAILED` può richiedere fino a 24 ore. `PENDING` Uno stato di `SUCCESS` indica che tutte le impostazioni specificate nella politica di configurazione sono associate all'account. Lo stato di `FAILED` indica che una o più impostazioni specificate nella politica di configurazione non sono state associate all'account. Nonostante `FAILED` lo stato, l'account potrebbe essere parzialmente configurato in base alla politica. Ad esempio, potresti provare ad associare un account a una politica di configurazione che abiliti Security Hub CSPM, abiliti AWS Foundational Security Best Practices e disabiliti .1. CloudTrail Le due impostazioni iniziali potrebbero avere esito positivo, ma l'impostazione .1 potrebbe fallire CloudTrail. In questo esempio, lo stato dell'associazione è valido `FAILED` anche se alcune impostazioni sono state configurate correttamente.

Lo stato di associazione di un'unità organizzativa principale o della radice dipende dallo stato dei relativi figli. Se lo status di associazione di tutti i figli è`SUCCESS`, lo stato dell'associazione del genitore è`SUCCESS`. Se lo status dell'associazione di uno o più figli è`FAILED`, lo stato dell'associazione del genitore è`FAILED`.

Il valore di `AssociationStatus` dipende dallo status di associazione della politica in tutte le regioni pertinenti. Se l'associazione ha successo nella regione d'origine e in tutte le regioni collegate, il valore di `AssociationStatus` è`SUCCESS`. Se l'associazione fallisce in una o più di queste regioni, il valore di `AssociationStatus` è`FAILED`.

Il seguente comportamento influisce anche sul valore di`AssociationStatus`:
+ Se la destinazione è un'unità organizzativa principale o la radice, ha uno stato `AssociationStatus` of `SUCCESS` o `FAILED` solo quando tutti i figli hanno uno `FAILED` stato `SUCCESS` or. Se lo stato di associazione di un account figlio o di un'unità organizzativa cambia (ad esempio, quando viene aggiunta o rimossa una regione collegata) dopo aver associato per la prima volta l'account principale a una configurazione, la modifica non aggiorna lo stato di associazione dell'unità principale a meno che non si richiami nuovamente l'`StartConfigurationPolicyAssociation`API.
+ Se la destinazione è un account, ha un `AssociationStatus` `SUCCESS` o o `FAILED` solo se l'associazione ha un risultato nella regione d'`SUCCESS`origine e `FAILED` in tutte le regioni collegate. Se lo stato dell'associazione di un account di destinazione cambia (ad esempio, quando viene aggiunta o rimossa una regione collegata) dopo averlo associato per la prima volta a una configurazione, lo stato dell'associazione viene aggiornato. Tuttavia, la modifica non aggiorna lo stato dell'associazione del genitore a meno che non si richiami nuovamente l'`StartConfigurationPolicyAssociation`API.

Se aggiungi una nuova regione collegata, Security Hub CSPM replica le associazioni esistenti che si trovano in una `PENDING` o in `FAILED` uno stato della nuova regione. `SUCCESS`

Anche quando lo status di associazione è lo`SUCCESS`, lo stato di abilitazione di uno standard che fa parte della politica può passare a uno stato incompleto. In tal caso, Security Hub CSPM non può generare risultati per i controlli dello standard. Per ulteriori informazioni, consulta [Verifica dello stato di uno standard](enable-standards.md#standard-subscription-status).

## Risoluzione dei problemi di associazione
<a name="failed-association-reasons"></a>

In AWS Security Hub CSPM, un'associazione di criteri di configurazione potrebbe fallire per i seguenti motivi comuni.
+ L'**account di gestione Organizations non è un membro**: se desideri associare una policy di configurazione all'account di gestione Organizations, tale account deve già avere AWS Security Hub CSPM abilitato. Questo rende l'account di gestione un account membro dell'organizzazione.
+ **AWS Config non è abilitato o configurato correttamente**: per abilitare gli standard in una politica di configurazione, AWS Config deve essere abilitato e configurato per registrare le risorse pertinenti.
+ **Deve essere associata da un account amministratore delegato**: puoi associare una policy solo agli account di destinazione e OUs quando hai effettuato l'accesso all'account amministratore CSPM di Security Hub delegato.
+ **È necessario associare una politica dalla propria regione d'origine**: puoi associare una politica solo agli account target e OUs quando hai effettuato l'accesso alla tua regione d'origine.
+ **Regione di attivazione non abilitata**: l'associazione delle politiche non riesce per un account membro o un'unità organizzativa in una regione collegata se si tratta di una regione opt-in che l'amministratore delegato non ha abilitato. È possibile riprovare dopo aver abilitato la regione dall'account amministratore delegato.
+ **Account membro sospeso**: l'associazione delle politiche fallisce se si tenta di associare una politica a un account membro sospeso.