Visualizando o status e os detalhes da política de configuração - AWS Security Hub
Revisando o status de associação de uma política de configuraçãoSolução de problemas de falha de associação

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Visualizando o status e os detalhes da política de configuração

O AWS Security Hub administrador delegado pode visualizar as políticas de configuração de uma organização e seus detalhes. Isso inclui a quais contas e unidades organizacionais (OUs) uma política está associada.

Para obter informações básicas sobre os benefícios da configuração central e como ela funciona, consulteEntendendo a configuração central no Security Hub.

Escolha seu método preferido e siga as etapas para visualizar suas políticas de configuração.

Security Hub console
Para visualizar as políticas de configuração (console)

  1. Abra o AWS Security Hub console em https://console.aws.amazon.com/securityhub/.

    Faça login usando as credenciais da conta do administrador delegado do Security Hub na região inicial.

  2. No painel de navegação, escolha Configurações e Configuração.

  3. Escolha a guia Políticas para obter uma visão geral de suas políticas de configuração.

  4. Selecione uma política de configuração e escolha Exibir detalhes para ver detalhes adicionais sobre ela, incluindo a quais contas OUs ela está associada.

Security Hub API

Para ver uma lista resumida de todas as suas políticas de configuração, use o ListConfigurationPoliciesoperação do Security HubAPI. Se você usar o AWS CLI, execute o list-configuration-policiescomando. A conta delegada do administrador do Security Hub deve invocar a operação na região de origem.

$ aws securityhub list-configuration-policies \
--max-items 5 \
--starting-token U2FsdGVkX19nUI2zoh+Pou9YyutlYJHWpn9xnG4hqSOhvw3o2JqjI23QDxdf

Para ver detalhes sobre uma política de configuração específica, use o GetConfigurationPolicyoperação. Se você usar o AWS CLI, execute o get-configuration-policy. A conta de administrador delegado deve invocar a operação na região de origem. Forneça o nome de recurso da Amazon (ARN) ou o ID da política de configuração cujos detalhes você deseja ver.

$ aws securityhub get-configuration-policy \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"

Para ver uma lista resumida de todas as suas políticas de configuração e suas associações de conta, use o ListConfigurationPolicyAssociationsoperação. Se você usar o AWS CLI, execute o list-configuration-policy-associationscomando. A conta de administrador delegado deve invocar a operação na região de origem. Opcionalmente, é possível fornecer parâmetros de paginação ou filtrar os resultados por um ID de política específica, tipo de associação ou status de associação.

$ aws securityhub list-configuration-policy-associations \
--filters '{"AssociationType": "APPLIED"}'

Para ver as associações de uma conta específica, use o GetConfigurationPolicyAssociationoperação. Se você usar o AWS CLI, execute o get-configuration-policy-associationcomando. A conta de administrador delegado deve invocar a operação na região de origem. Em target, forneça o número da conta, ID da OU ou ID da raiz.

$ aws securityhub get-configuration-policy-association \
--target '{"AccountId": "123456789012"}'

Revisando o status de associação de uma política de configuração

As seguintes API operações de configuração central retornam um campo chamadoAssociationStatus:

  • BatchGetConfigurationPolicyAssociations

  • GetConfigurationPolicyAssociation

  • ListConfigurationPolicyAssociations

  • StartConfigurationPolicyAssociation

Esse campo é retornado quando a configuração subjacente é uma política de configuração e quando é um comportamento autogerenciado.

O valor de AssociationStatus indica se uma associação de política está pendente ou em estado de êxito ou fracasso. Pode demorar até 24 horas para que o status mude de PENDING para SUCCESS ou FAILURE. O status da associação de uma OU principal ou da raiz depende do status de seus filhos. Se o status de associação de todos os filhos for SUCCESS, o status de associação dos pais será SUCCESS. Se o status de associação de um ou mais filhos for FAILED, o status de associação dos pais será FAILED.

O valor de AssociationStatus também depende de todas as regiões. Se a associação obtiver êxito na região inicial e em todas as regiões vinculadas, o valor de AssociationStatus será SUCCESS. Se a associação falhar em uma ou mais dessas regiões, o valor de AssociationStatus será FAILED.

O comportamento a seguir também afeta o valor de AssociationStatus:

  • Se o destino for uma OU pai ou a raiz, ela terá um AssociationStatus de SUCCESS ou FAILED somente quando todos os filhos tiverem um status SUCCESS ou FAILED. Se o status de associação de uma conta secundária ou OU mudar (por exemplo, quando uma região vinculada for adicionada ou removida) depois que você associar o pai a uma configuração pela primeira vez, a alteração não atualizará o status de associação do pai, a menos que você a invoque StartConfigurationPolicyAssociation API novamente.

  • Se o destino for uma conta, ela terá um AssociationStatus de SUCCESS ou FAILED somente se a associação tiver um resultado de SUCCESS ou FAILED na região inicial e em todas as regiões vinculadas. Se o status de associação de uma conta de destino mudar (por exemplo, quando uma região vinculada for adicionada ou removida) depois que você a associar pela primeira vez a uma configuração, seu status de associação será atualizado. No entanto, a alteração não atualiza o status de associação do pai, a menos que você invoque o StartConfigurationPolicyAssociation API novamente.

Se você adicionar uma nova região vinculada, o Security Hub replicará suas associações existentes que estiverem em um estado PENDING, SUCCESS ou FAILED na nova região.

Solução de problemas de falha de associação

Em AWS Security Hub, uma associação de política de configuração pode falhar pelos seguintes motivos comuns.

  • A conta de gerenciamento da Organizations não é um membro — Se você quiser associar uma política de configuração à conta de gerenciamento da Organizations, essa conta já deve estar AWS Security Hub habilitada. Isso torna a conta de gerenciamento uma conta-membro na organização.

  • AWS Config não está habilitado ou configurado corretamente — Para habilitar padrões em uma política de configuração, AWS Config ela deve estar habilitada e configurada para registrar recursos relevantes.

  • É necessário associar a partir da conta de administrador delegado — Você só pode associar uma política às contas de destino e OUs quando estiver conectado à conta de administrador delegada do Security Hub.

  • É necessário associar a partir da região de origem — Você só pode associar uma política às contas de destino e OUs quando estiver conectado à sua região de origem.

  • Região de adesão não habilitada: a associação de políticas falhará para uma conta-membro ou OU em uma região vinculada se for uma região de adesão que o administrador delegado não tenha habilitado. É possível tentar novamente depois de habilitar a região a partir da conta de administrador delegado.

  • Conta-membro suspensa: a associação de políticas falhará se você tentar associar uma política a uma conta-membro suspensa.