翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# 設定ポリシーのステータスと詳細の確認
<a name="view-policy"></a>

委任 AWS Security Hub CSPM 管理者は、組織の設定ポリシーとその詳細を表示できます。これには、ポリシーが関連付けられているアカウントと組織単位 (OU) が含まれます。

中央設定の利点とその仕組みについては、「[Security Hub CSPM での中央設定について](central-configuration-intro.md)」を参照してください。

任意の方法を選択し、その手順に従って設定ポリシーを表示します。

------
#### [ Security Hub CSPM console ]

**設定ポリシーを表示するには (コンソール)**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。

   ホームリージョンの委任された Security Hub CSPM 管理者アカウントの認証情報を使用してサインインします。

1. ナビゲーションペインで、**[設定]**、**[設定]** の順に選択します。

1. 設定ポリシーの概要については、**[ポリシー]** タブを選択します。

1. 設定ポリシーを選択し、**[詳細を表示]** を選択すると、関連付けられているアカウントや OU など、そのポリシーに関するその他の詳細が表示されます。

------
#### [ Security Hub CSPM API ]

すべての設定ポリシーの概要リストを表示するには、Security Hub CSPM API の [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListConfigurationPolicies.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListConfigurationPolicies.html) オペレーションを使用します。を使用する場合は AWS CLI、 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-configuration-policies.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-configuration-policies.html) コマンドを実行します。委任 Security Hub CSPM 管理者アカウントは、ホームリージョンでオペレーションを呼び出す必要があります。

```
$ aws securityhub list-configuration-policies \
--max-items 5 \
--starting-token U2FsdGVkX19nUI2zoh+Pou9YyutlYJHWpn9xnG4hqSOhvw3o2JqjI23QDxdf
```

特定の設定ポリシーの詳細を表示するには、[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetConfigurationPolicy.html) オペレーションを使用します。を使用する場合は AWS CLI、 を実行します[https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-configuration-policy.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-configuration-policy.html)。委任管理者アカウントは、ホームリージョンでオペレーションを呼び出す必要があります。詳細を表示する設定ポリシーの Amazon リソースネーム (ARN) または ID を指定します。

```
$ aws securityhub get-configuration-policy \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
```

すべての設定ポリシーとそのアカウント関連付けの概要リストを表示するには、[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListConfigurationPolicyAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListConfigurationPolicyAssociations.html) オペレーションを使用します。を使用する場合は AWS CLI、 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-configuration-policy-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-configuration-policy-associations.html) コマンドを実行します。委任管理者アカウントは、ホームリージョンでオペレーションを呼び出す必要があります。オプションで、ページ分割パラメータを指定したり、特定のポリシー ID、関連付けタイプ、または関連付けステータスで結果をフィルタリングしたりできます。

```
$ aws securityhub list-configuration-policy-associations \
--filters '{"AssociationType": "APPLIED"}'
```

特定のアカウントの関連付けを表示するには、[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetConfigurationPolicyAssociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetConfigurationPolicyAssociation.html)オペレーションを使用します。を使用する場合は AWS CLI、 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-configuration-policy-association.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-configuration-policy-association.html) コマンドを実行します。委任管理者アカウントは、ホームリージョンでオペレーションを呼び出す必要があります。`target` の場合、アカウント番号、OU ID、またはルート ID を指定します。

```
$ aws securityhub get-configuration-policy-association \
--target '{"AccountId": "123456789012"}'
```

------

## 設定ポリシーの関連付けステータスの確認
<a name="configuration-association-status"></a>

以下の中央設定 API オペレーションは、`AssociationStatus` というフィールドを返します。
+ `BatchGetConfigurationPolicyAssociations`
+ `GetConfigurationPolicyAssociation`
+ `ListConfigurationPolicyAssociations`
+ `StartConfigurationPolicyAssociation`

このフィールドは、基礎となる設定が設定ポリシーの場合とセルフマネージド型の動作の場合の両方で返されます。

`AssociationStatus` の値は、特定のアカウントにおけるポリシーの関連付けが保留中か、成功または失敗の状態かを示します。ステータスが `PENDING` から `SUCCESS` または `FAILED` に変わるまで、最大 24 時間かかることがあります。ステータスが `SUCCESS` の場合、設定ポリシーで指定されたすべての設定がアカウントに関連付けられていることを意味します。ステータスが `FAILED` の場合、設定ポリシーで指定された 1 つ以上の設定がアカウントとの関連付けに失敗したことを意味します。`FAILED` ステータスにかかわらず、アカウントはポリシーに従って部分的に設定できます。たとえば、Security Hub CSPM を有効にし、 AWS 基本的なセキュリティのベストプラクティスを有効にし、CloudTrail.1. 最初の 2 つの設定は成功し、CloudTrail.1 の設定は失敗した場合、一部の設定が正しく設定されていても、関連付けステータスは `FAILED` になります。

親 OU またはルートの関連付けステータスは、子のステータスによって異なります。すべての子の関連付けステータスが `SUCCESS` の場合、親の関連付けステータスは `SUCCESS` です。1 人以上の子の関連付けステータスが `FAILED` の場合、親の関連付けステータスは `FAILED` です。

`AssociationStatus` の値は、関連するすべてのリージョンのポリシーの関連付けステータスによって異なります。ホームリージョンとリンクされているすべてのリージョンで関連付けが成功すると、`AssociationStatus` の値は `SUCCESS` になります。これらの 1 つ以上のリージョンで関連付けに失敗すると、`AssociationStatus` の値は `FAILED` になります。

以下の動作は、`AssociationStatus` の値にも影響します。
+ ターゲットが親 OU またはルートの場合、すべての子が `SUCCESS` または `FAILED` ステータスの場合にのみ `SUCCESS` または `FAILED` の `AssociationStatus` が含まれます。最初に親を設定に関連付けた後に、子アカウントまたは OU の関連付けステータスが変更された場合 (リンクされたリージョンが追加または削除された場合など)、`StartConfigurationPolicyAssociation` API を再度呼び出さない限り、その変更によって親の関連付けステータスは更新されません。
+ ターゲットがアカウントの場合、関連付けにホームリージョンとすべてのリンクされたリージョンの `SUCCESS` または `FAILED` の結果がある場合に限り、そのアカウントには `SUCCESS` または `FAILED` の `AssociationStatus` があります。ターゲットアカウントを初めて設定に関連付けた後に、ターゲットアカウントの関連付けステータスが変更された場合 (リンクされたリージョンが追加または削除された場合など)、その関連付けステータスは更新されます。ただし、`StartConfigurationPolicyAssociation` API を再度呼び出さない限り、変更によって親の関連付けステータスは更新されません。

リンクされた新しいリージョンを追加すると、Security Hub CSPM は、新しいリージョンの `PENDING`、`SUCCESS`、`FAILED` ステータスにある既存の関連付けをレプリケートします。

関連付けステータスが `SUCCESS` であっても、ポリシーの一部である標準の有効化ステータスは不完全な状態に移行する可能性があります。その場合、Security Hub CSPM は標準コントロールの検出結果を生成できません。詳細については、「[標準のステータスをチェックする](enable-standards.md#standard-subscription-status)」を参照してください。

## 関連付けの失敗のトラブルシューティング
<a name="failed-association-reasons"></a>

 AWS Security Hub CSPM では、以下の一般的な理由で設定ポリシーの関連付けが失敗することがあります。
+ **Organizations 管理アカウントはメンバーではありません** – 設定ポリシーを Organizations 管理アカウントに関連付ける場合は、そのアカウントで AWS Security Hub CSPM が有効になっている必要があります。これにより、管理アカウントが組織内のメンバーアカウントになります。
+ **AWS Config が有効になっていないか、正しく設定**されていない – 設定ポリシーで標準を有効にする AWS Config には、関連するリソースを記録するように有効化および設定する必要があります。
+ **委任管理者アカウントから関連付ける必要がある** – Security Hub CSPM 委任管理者アカウントにサインインすると、ポリシーをターゲットアカウントと OU にのみ関連付けることができます。
+ **ホームリージョンから関連付ける必要がある** — ホームリージョンにサインインすると、ポリシーをターゲットアカウントと OU にのみ関連付けることができます。
+ **オプトイン地域が有効化されていない** — 委任管理者が有効化していないオプトインリージョンの場合、リンクされたリージョンのメンバーアカウントまたは OU に対するポリシーの関連付けが失敗します。委任管理者アカウントからリージョンを有効化した後で再試行できます。
+ **メンバーアカウントが一時停止している** — 一時停止されたメンバーアカウントにポリシーを関連付けようとすると、ポリシーの関連付けが失敗します。