As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Visualização do status e dos detalhes de políticas de configuração
<a name="view-policy"></a>

O administrador delegado do CSPM do AWS Security Hub pode visualizar as políticas de configuração de uma organização e seus detalhes. Isso inclui a quais contas e unidades organizacionais (OUs) uma política está associada.

Para obter informações contextuais sobre os benefícios da configuração central e como ela funciona, consulte [Noções básicas sobre a configuração central no CSPM do Security Hub](central-configuration-intro.md).

Escolha seu método preferido e siga as etapas para visualizar suas políticas de configuração.

------
#### [ Security Hub CSPM console ]

**Para visualizar políticas de configuração (console)**

1. Abra o console CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   Faça login usando as credenciais da conta do administrador do CSPM do Security Hub delegado na região inicial.

1. No painel de navegação, escolha **Configurações** e **Configuração**.

1. Escolha a guia **Políticas** para ter uma visão geral das políticas de configuração.

1. Selecione uma política de configuração e escolha **Exibir detalhes** para ver detalhes adicionais sobre ela, incluindo a quais contas OUs ela está associada.

------
#### [ Security Hub CSPM API ]

Para visualizar uma lista resumida de todas as suas políticas de configuração, use a operação [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListConfigurationPolicies.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListConfigurationPolicies.html) da API do CSPM do Security Hub. Se você usar o AWS CLI, execute o [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-configuration-policies.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-configuration-policies.html)comando. O administrador delegado do CSPM do Security Hub deve invocar a operação na região inicial.

```
$ aws securityhub list-configuration-policies \
--max-items 5 \
--starting-token U2FsdGVkX19nUI2zoh+Pou9YyutlYJHWpn9xnG4hqSOhvw3o2JqjI23QDxdf
```

Para visualizar detalhes sobre uma política de configuração específica, use a operação [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetConfigurationPolicy.html). Se você usar o AWS CLI, execute [https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-configuration-policy.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-configuration-policy.html)o. O administrador delegado deve invocar a operação na região inicial. Forneça o nome do recurso da Amazon (ARN) ou o ID da política de configuração cujos detalhes você deseja visualizar.

```
$ aws securityhub get-configuration-policy \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
```

Para visualizar uma lista resumida de todas as suas políticas de configuração e suas associações de conta, use a operação [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListConfigurationPolicyAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListConfigurationPolicyAssociations.html). Se você usar o AWS CLI, execute o [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-configuration-policy-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-configuration-policy-associations.html)comando. O administrador delegado deve invocar a operação na região inicial. Opcionalmente, é possível fornecer parâmetros de paginação ou filtrar os resultados por um ID de política específica, tipo de associação ou status de associação.

```
$ aws securityhub list-configuration-policy-associations \
--filters '{"AssociationType": "APPLIED"}'
```

Para visualizar as associações de uma conta específica, use a operação [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetConfigurationPolicyAssociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetConfigurationPolicyAssociation.html). Se você usar o AWS CLI, execute o [https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-configuration-policy-association.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-configuration-policy-association.html)comando. O administrador delegado deve invocar a operação na região inicial. Em `target`, forneça o número da conta, ID da UO ou ID da raiz.

```
$ aws securityhub get-configuration-policy-association \
--target '{"AccountId": "123456789012"}'
```

------

## Revisar o status da associação de uma política de configuração
<a name="configuration-association-status"></a>

As operações a seguir da API da configuração central retornam um campo chamado `AssociationStatus`:
+ `BatchGetConfigurationPolicyAssociations`
+ `GetConfigurationPolicyAssociation`
+ `ListConfigurationPolicyAssociations`
+ `StartConfigurationPolicyAssociation`

Esse campo é retornado quando a configuração subjacente é uma política de configuração e quando é um comportamento autogerenciado.

O valor de `AssociationStatus` indica se uma associação de política está pendente ou em estado de êxito ou falha para uma conta específica. Pode demorar até 24 horas para que o status mude de `PENDING` para `SUCCESS` ou `FAILED`. Um status `SUCCESS` significa que todas as configurações especificadas na política de configuração estão associadas à conta. Um status `FAILED` significa uma ou mais configurações especificadas na política de configuração falharam ao associar à conta. Apesar do status `FAILED`, a conta pode ser parcialmente configurada de acordo com a política. Por exemplo, você pode tentar associar uma conta a uma política de configuração que habilite o CSPM do Security Hub, habilite as melhores práticas de segurança AWS básicas e desabilite .1. CloudTrail As duas configurações iniciais podem ser bem-sucedidas, mas a configuração CloudTrail .1 pode falhar. Neste exemplo, o status da associação é `FAILED`, mesmo que algumas configurações tenham sido definidas corretamente.

O status da associação de uma UO principal ou da raiz depende do status de seus filhos. Se o status de associação de todos os filhos for `SUCCESS`, o status de associação dos pais será `SUCCESS`. Se o status de associação de um ou mais filhos for `FAILED`, o status de associação dos pais será `FAILED`.

O valor de `AssociationStatus` depende do status de associação da política em todas as regiões relevantes. Se a associação obtiver êxito na região inicial e em todas as regiões vinculadas, o valor de `AssociationStatus` será `SUCCESS`. Se a associação falhar em uma ou mais dessas regiões, o valor de `AssociationStatus` será `FAILED`.

O comportamento a seguir também afeta o valor de `AssociationStatus`:
+ Se o destino for uma UO pai ou a raiz, ela terá um `AssociationStatus` de `SUCCESS` ou `FAILED` somente quando todos os filhos tiverem um status `SUCCESS` ou `FAILED`. Se o status de associação de uma conta secundária ou UO mudar (por exemplo, quando uma região vinculada for adicionada ou removida) depois que você associar o pai a uma configuração pela primeira vez, a alteração não atualizará o status de associação do pai, a menos que você invoque a API `StartConfigurationPolicyAssociation` novamente.
+ Se o destino for uma conta, ela terá um `AssociationStatus` de `SUCCESS` ou `FAILED` somente se a associação tiver um resultado de `SUCCESS` ou `FAILED` na região inicial e em todas as regiões vinculadas. Se o status de associação de uma conta de destino mudar (por exemplo, quando uma região vinculada for adicionada ou removida) depois que você a associar pela primeira vez a uma configuração, seu status de associação será atualizado. Entretanto, a alteração não atualiza o status de associação do pai, a menos que você invoque a API `StartConfigurationPolicyAssociation` novamente.

Se você adicionar uma nova região vinculada, o CSPM do Security Hub replicará suas associações existentes que estiverem em um estado `PENDING`, `SUCCESS` ou `FAILED` na nova região.

Mesmo quando o status da associação for `SUCCESS`, o status de habilitação de um padrão que faz parte da política pode passar para um estado incompleto. Nesse caso, o CSPM do Security Hub não pode gerar descobertas para os controles do padrão. Para obter mais informações, consulte [Verificação do status de um padrão](enable-standards.md#standard-subscription-status).

## Solução de problemas de falha de associação
<a name="failed-association-reasons"></a>

No AWS Security Hub CSPM, uma associação de política de configuração pode falhar pelos seguintes motivos comuns.
+ A **conta de gerenciamento do Organizations não é um membro** — Se você quiser associar uma política de configuração à conta de gerenciamento do Organizations, essa conta já deve ter o CSPM do AWS Security Hub ativado. Isso torna a conta gerencial uma conta de membro na organização.
+ **AWS Config não está habilitado ou configurado corretamente** — Para habilitar padrões em uma política de configuração, AWS Config ela deve estar habilitada e configurada para registrar recursos relevantes.
+ **É necessário associar a partir da conta de administrador delegado** — Você só pode associar uma política às contas de destino e OUs quando estiver conectado à conta de administrador delegada do CSPM do Security Hub.
+ **É necessário associar a partir da região de origem** — Você só pode associar uma política às contas de destino e OUs quando estiver conectado à sua região de origem.
+ **Região de adesão não habilitada**: a associação de políticas falhará para uma conta de membro ou UO em uma região vinculada se for uma região de adesão que o administrador delegado não tenha habilitado. É possível tentar novamente depois de habilitar a região a partir da conta de administrador delegado.
+ **Conta de membro suspensa**: a associação de políticas falhará se você tentar associar uma política a uma conta de membro suspensa.