本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 檢閱組態政策的狀態和詳細資訊
<a name="view-policy"></a>

委派的 AWS Security Hub CSPM 管理員可以檢視組織的組態政策及其詳細資訊。這包括與政策相關聯的帳戶和組織單位 (OUs)。

如需中央組態優點及其運作方式的背景資訊，請參閱 [了解 Security Hub CSPM 中的中央組態](central-configuration-intro.md)。

選擇您偏好的方法，然後依照步驟檢視您的組態政策。

------
#### [ Security Hub CSPM console ]

**檢視組態政策 （主控台）**

1. 在 https：//[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) 開啟 AWS Security Hub CSPM 主控台。

   使用主要區域中委派 Security Hub CSPM 管理員帳戶的憑證登入。

1. 在導覽窗格中，選擇**設定**和**組態**。

1. 選擇**政策**索引標籤以取得組態政策的概觀。

1. 選取組態政策，然後選擇**檢視詳細資訊**以查看其相關其他詳細資訊，包括與其相關聯的帳戶和 OUs。

------
#### [ Security Hub CSPM API ]

若要檢視所有組態政策的摘要清單，請使用 Security Hub CSPM API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListConfigurationPolicies.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListConfigurationPolicies.html)的操作。如果您使用 AWS CLI，請執行 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-configuration-policies.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-configuration-policies.html)命令。委派的 Security Hub CSPM 管理員帳戶應該叫用主區域中的操作。

```
$ aws securityhub list-configuration-policies \
--max-items 5 \
--starting-token U2FsdGVkX19nUI2zoh+Pou9YyutlYJHWpn9xnG4hqSOhvw3o2JqjI23QDxdf
```

若要檢視特定組態政策的詳細資訊，請使用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetConfigurationPolicy.html)操作。如果您使用 AWS CLI，請執行 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-configuration-policy.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-configuration-policy.html)。委派的管理員帳戶應該叫用主區域中的 操作。提供您要查看其詳細資訊之組態政策的 Amazon Resource Name (ARN) 或 ID。

```
$ aws securityhub get-configuration-policy \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
```

若要檢視所有組態政策及其帳戶關聯的摘要清單，請使用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListConfigurationPolicyAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListConfigurationPolicyAssociations.html)操作。如果您使用 AWS CLI，請執行 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-configuration-policy-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-configuration-policy-associations.html)命令。委派的管理員帳戶應該叫用主區域中的 操作。或者，您可以提供分頁參數，或依特定政策 ID、關聯類型或關聯狀態篩選結果。

```
$ aws securityhub list-configuration-policy-associations \
--filters '{"AssociationType": "APPLIED"}'
```

若要檢視特定帳戶的關聯，請使用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetConfigurationPolicyAssociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetConfigurationPolicyAssociation.html)操作。如果您使用 AWS CLI，請執行 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-configuration-policy-association.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-configuration-policy-association.html)命令。委派的管理員帳戶應該叫用主區域中的 操作。針對 `target`，請提供帳戶號碼、OU ID 或根 ID。

```
$ aws securityhub get-configuration-policy-association \
--target '{"AccountId": "123456789012"}'
```

------

## 檢閱組態政策的關聯狀態
<a name="configuration-association-status"></a>

下列中央組態 API 操作會傳回名為 的欄位`AssociationStatus`：
+ `BatchGetConfigurationPolicyAssociations`
+ `GetConfigurationPolicyAssociation`
+ `ListConfigurationPolicyAssociations`
+ `StartConfigurationPolicyAssociation`

當基礎組態是組態政策和自我管理行為時，此欄位都會傳回。

的值`AssociationStatus`會告訴您政策關聯是擱置中，還是處於特定帳戶的成功或失敗狀態。狀態最多可能需要 24 小時才能從 變更為 `PENDING``SUCCESS`或 `FAILED`。狀態 `SUCCESS`表示組態政策中指定的所有設定都與帳戶相關聯。狀態 `FAILED`表示組態政策中指定的一或多個設定無法與帳戶建立關聯。儘管`FAILED`狀態為 ，仍可根據政策部分設定帳戶。例如，您可能嘗試將帳戶與啟用 Security Hub CSPM 的組態政策建立關聯，啟用 AWS 基礎安全最佳實務，並停用 CloudTrail.1. 最初的兩個設定可能會成功，但 CloudTrail.1 設定可能會失敗。在此範例中，`FAILED`即使部分設定已正確設定，關聯狀態仍為 。

父 OU 或根的關聯狀態取決於其子系的狀態。如果所有子系的關聯狀態為 `SUCCESS`，則父系的關聯狀態為 `SUCCESS`。如果一或多個子系的關聯狀態為 `FAILED`，則父系的關聯狀態為 `FAILED`。

的值`AssociationStatus`取決於所有相關區域中政策的關聯狀態。如果關聯在主要區域和所有連結區域中成功，則 的值`AssociationStatus`為 `SUCCESS`。如果其中一或多個區域中的關聯失敗，則 的值`AssociationStatus`為 `FAILED`。

下列行為也會影響 的值`AssociationStatus`：
+ 如果目標是父系 OU 或根，`FAILED`則只有在所有子系都有 `SUCCESS`或 `FAILED` 狀態時，目標才會有 `AssociationStatus` `SUCCESS`或 。如果在您第一次將父系與組態建立關聯之後，子帳戶或 OU 的關聯狀態變更 （例如，新增或移除連結區域時），除非您再次叫用 `StartConfigurationPolicyAssociation` API，否則變更不會更新父系的關聯狀態。
+ 如果目標是 帳戶，則`FAILED`只有在 關聯的結果為 `AssociationStatus``SUCCESS`或在`FAILED`主區域和所有連結區域中時，該目標才會有 `SUCCESS`或 。如果目標帳戶的關聯狀態在您第一次將其與組態建立關聯後變更 （例如，新增或移除連結區域時），則會更新其關聯狀態。不過，除非您再次叫用 `StartConfigurationPolicyAssociation` API，否則變更不會更新父系的關聯狀態。

如果您新增連結的區域，Security Hub CSPM 會複寫新區域中處於 `PENDING`、 `SUCCESS`或 `FAILED` 狀態的現有關聯。

即使關聯狀態為 `SUCCESS`，作為政策一部分的標準啟用狀態也可以轉換為不完整的狀態。在這種情況下，Security Hub CSPM 無法產生標準控制項的問題清單。如需詳細資訊，請參閱[檢查標準的狀態](enable-standards.md#standard-subscription-status)。

## 對關聯失敗進行故障診斷
<a name="failed-association-reasons"></a>

在 AWS Security Hub CSPM 中，組態政策關聯可能會失敗，原因如下。
+ **Organizations 管理帳戶不是成員** – 如果您想要將組態政策與 Organizations 管理帳戶建立關聯，則該帳戶必須已啟用 AWS Security Hub CSPM。這會使管理帳戶成為組織中的成員帳戶。
+ **AWS Config 未啟用或正確設定** – 若要在組態政策中啟用標準， AWS Config 必須啟用並設定 來記錄相關資源。
+ **必須從委派管理員帳戶建立關聯** – 只有在您登入委派 Security Hub CSPM 管理員帳戶時，才能將政策與目標帳戶和 OUs 建立關聯。
+ **必須從主要區域建立關聯** – 只有在您登入主要區域時，才能將政策與目標帳戶和 OUs 建立關聯。
+ **未啟用選擇加入區域** – 如果已連結區域中的成員帳戶或 OU 是尚未啟用委派管理員的選擇加入區域，則政策關聯會失敗。您可以在從委派的管理員帳戶啟用區域後重試。
+ **成員帳戶暫停** – 如果您嘗試將政策與暫停成員帳戶建立關聯，政策關聯會失敗。