本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 查看配置策略的状态和详细信息
<a name="view-policy"></a>

授权的 S AWS ecurity Hub CSPM 管理员可以查看组织的配置策略及其详细信息。这包括策略与哪些账户和组织单位 (OUs) 相关联。

有关中心配置的好处及其工作原理的背景信息，请参阅[了解 Security Hub CSPM 中的中心配置](central-configuration-intro.md)。

选择首选方法，然后按照步骤查看配置策略。

------
#### [ Security Hub CSPM console ]

**查看配置策略（控制台）**

1. 打开 S AWS ecurity Hub CSPM 控制台，网址为。[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

   使用主区域中的 Security Hub CSPM 委派管理员账户的凭证登录。

1. 在导航窗格中，选择**设置**和**配置**。

1. 选择**策略**选项卡以查看配置策略概述。

1. 选择一个配置策略，然后选择 **View det** ails 以查看有关该策略的其他详细信息，包括与哪些账户及其 OUs 关联的账户。

------
#### [ Security Hub CSPM API ]

要查看所有配置策略的摘要列表，请使用 Security Hub CSPM API 的 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListConfigurationPolicies.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListConfigurationPolicies.html) 操作。如果您使用 AWS CLI，请运行该[https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-configuration-policies.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-configuration-policies.html)命令。Security Hub CSPM 委派管理员账户应在主区域调用该操作。

```
$ aws securityhub list-configuration-policies \
--max-items 5 \
--starting-token U2FsdGVkX19nUI2zoh+Pou9YyutlYJHWpn9xnG4hqSOhvw3o2JqjI23QDxdf
```

要查看有关特定配置策略的详细信息，请使用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetConfigurationPolicy.html) 操作。如果您使用 AWS CLI，请运行[https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-configuration-policy.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-configuration-policy.html)。委派管理员应在主区域调用此操作。提供要查看其详细信息的配置策略的 Amazon 资源名称（ARN）或 ID。

```
$ aws securityhub get-configuration-policy \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
```

要查看所有配置策略及其账户关联情况的摘要列表，请使用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListConfigurationPolicyAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListConfigurationPolicyAssociations.html) 操作。如果您使用 AWS CLI，请运行该[https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-configuration-policy-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-configuration-policy-associations.html)命令。委派管理员应在主区域调用此操作。或者，您可以提供分页参数，或者按特定策略 ID、关联类型或关联状态筛选结果。

```
$ aws securityhub list-configuration-policy-associations \
--filters '{"AssociationType": "APPLIED"}'
```

要查看特定账户的关联情况，请使用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetConfigurationPolicyAssociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetConfigurationPolicyAssociation.html) 操作。如果您使用 AWS CLI，请运行该[https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-configuration-policy-association.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-configuration-policy-association.html)命令。委派管理员应在主区域调用此操作。对于 `target`，请提供账户、OU ID 或根 ID。

```
$ aws securityhub get-configuration-policy-association \
--target '{"AccountId": "123456789012"}'
```

------

## 查看配置策略的关联状态
<a name="configuration-association-status"></a>

以下中心配置 API 操作将返回一个名为 `AssociationStatus` 的字段：
+ `BatchGetConfigurationPolicyAssociations`
+ `GetConfigurationPolicyAssociation`
+ `ListConfigurationPolicyAssociations`
+ `StartConfigurationPolicyAssociation`

当基础配置为配置策略，并且是自行管理行为时，都将返回此字段。

`AssociationStatus` 的值指明特定账户的策略关联是处于待定状态还是成功或失败状态。状态从 `PENDING` 变为 `SUCCESS` 或 `FAILED` 可能需要长达 24 小时的时间。状态 `SUCCESS` 表示配置策略中指定的所有设置都与账户相关联。状态 `FAILED` 表示配置策略中指定的一个或多个设置未能与账户关联。尽管处于 `FAILED` 状态，但可以根据策略对账户进行部分配置。例如，您可以尝试将账户与启用 Security Hub CSPM、启用 AWS 基础安全最佳实践和禁用 .1 的配置策略相关联。 CloudTrail最初的两个设置可能会成功，但是 CloudTrail .1 设置可能会失败。在此示例中，即使某些设置配置正确，关联状态仍为 `FAILED`。

父 OU 或根的关联状态取决于其子级的状态。如果所有子级的关联状态均为 `SUCCESS`，则父级的关联状态为 `SUCCESS`。如果一个或多个子级的关联状态均为 `FAILED`，则父级的关联状态为 `FAILED`。

值 `AssociationStatus` 取决于所有相关区域中该策略的关联状态。如果关联在主区域和所有关联区域成功，则 `AssociationStatus` 的值为 `SUCCESS`。如果关联在一个或多个区域失败，则 `AssociationStatus` 的值为 `FAILED`。

以下行为也会影响 `AssociationStatus` 的值：
+ 如果目标是父 OU 或根，则只有当所有子级的状态为 `SUCCESS` 或 `FAILED` 时，`AssociationStatus` 才具有 `SUCCESS` 或 `FAILED` 状态。在首次将父级与配置关联后，如果子账户或 OU 的关联状态变更（例如，添加或删除了关联区域时），则除非再次调用 `StartConfigurationPolicyAssociation` API，否则变更不会使父级的关联状态更新。
+ 如果目标是账户，则只有当主区域和所有关联区域的关联结果为 `SUCCESS` 或 `FAILED` 时，`AssociationStatus` 才具有 `SUCCESS` 或 `FAILED` 状态。在首次将目标账户与配置关联后，如果目标账户的关联状态变更（例如，添加或删除了关联区域时），则配置的关联状态也会随之更新。但除非再次调用 `StartConfigurationPolicyAssociation` API，否则变更不会使父级的关联状态更新。

如果您添加新的关联区域，Security Hub CSPM 会复制新区域中处于 `PENDING`、`SUCCESS` 或 `FAILED` 状态的现有关联。

即使关联状态为 `SUCCESS`，作为策略一部分的标准的启用状态也可能转变为未完成状态。在这种情况下，Security Hub CSPM 无法为标准的控件生成调查发现。有关更多信息，请参阅 [检查标准的状态](enable-standards.md#standard-subscription-status)。

## 关联失败问题排查
<a name="failed-association-reasons"></a>

在 S AWS ecurity Hub CSPM 中，配置策略关联可能由于以下常见原因而失败。
+ **组织管理账户不是成员** — 如果要将配置策略与组织管理账户关联，则该账户必须已启用 Sec AWS urity Hub CSPM。这将使管理账户成为组织的成员账户。
+ **AWS Config 未启用或未正确配置**-要在配置策略中启用标准， AWS Config 必须启用并配置为记录相关资源。
+ **必须从委托管理员账户进行关**联 — 只有在登录委派的 Security Hub CSPM 管理员账户 OUs 时，您才能将策略与目标账户相关联。
+ **必须从本地区进行关联** — 您只能将保单与目标账户相关联，也只能在您登录所在地区 OUs 时进行关联。
+ **未启用选择加入区域**：如果关联区域是委派管理员尚未启用的选择加入区域，则该区域中的成员账户或 OU 的策略关联将会失败。您可以在从委派管理员账户启用区域后重试。
+ **成员账户已暂停**：如果尝试将策略与暂停的成员账户关联，则策略关联将失败。