Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Visualización de políticas de configuración de Security Hub
La cuenta de administrador delegado puede ver las políticas de configuración de AWS Security Hub que corresponden a una organización y sus detalles.
Elija su método preferido y siga estos pasos para ver las políticas de configuración.
Estado de asociación de una configuración
Las siguientes operaciones de la API de configuración centralizada devuelven un campo denominado AssociationStatus
:
BatchGetConfigurationPolicyAssociations
GetConfigurationPolicyAssociation
ListConfigurationPolicyAssociations
StartConfigurationPolicyAssociation
Este campo se devuelve cuando la configuración subyacente es una política de configuración y cuando se trata de un comportamiento autoadministrado.
El valor de AssociationStatus
indica si está pendiente la asociación de una política o si su estado es correcto o incorrecto. El estado puede tardar hasta 24 horas minutos en cambiar de PENDING
a SUCCESS
o FAILURE
. El estado de asociación de una unidad organizativa principal o de la raíz depende del estado de sus entidades secundarias. Si el estado de asociación de todas las entidades secundarias es SUCCESS
, el estado de asociación de la entidad principal es SUCCESS
. Si el estado de asociación de una o más entidades secundarias es FAILED
, el estado de asociación de la entidad principal es FAILED
.
El valor de AssociationStatus
también depende de todas las regiones. Si la asociación tiene éxito en la región de origen y en todas las regiones vinculadas, el valor de AssociationStatus
es SUCCESS
. Si se produce un error en la asociación en una o más de estas regiones, el valor de AssociationStatus
es FAILED
.
El siguiente comportamiento también afecta al valor de AssociationStatus
:
Si el destino es una unidad organizativa principal o de la raíz, tiene un
AssociationStatus
deSUCCESS
oFAILED
solo cuando todas las entidades secundarias tienen un estadoSUCCESS
oFAILED
. Si el estado de asociación de una cuenta o unidad organizativa secundaria cambia (por ejemplo, cuando se agrega o elimina una región vinculada) después de asociar por primera vez la entidad principal a una configuración, el cambio no actualiza el estado de asociación de la entidad principal a menos que vuelva a invocar la APIStartConfigurationPolicyAssociation
.Si el destino es una cuenta, tiene un
AssociationStatus
deSUCCESS
oFAILED
solo si la asociación tiene un resultado deSUCCESS
oFAILED
en la región de origen y en todas las regiones vinculadas. Si el estado de asociación de una cuenta de destino cambia (por ejemplo, cuando se agrega o elimina una región vinculada) después de asociarla por primera vez a una configuración, su estado de asociación se actualiza. Sin embargo, el cambio no actualiza el estado de asociación de la entidad principal a menos que vuelva a invocar la APIStartConfigurationPolicyAssociation
.
Si agrega una nueva región vinculada, Security Hub replica las asociaciones existentes que se encuentran en un estado PENDING
, SUCCESS
o FAILED
en la nueva región.
Motivos comunes de una asociación incorrecta
Una asociación de políticas de configuración puede dar un error por los siguientes motivos comunes:
La cuenta de administración de Organizations no es miembro: si desea asociar una política de configuración a la cuenta de administración de Organizations, esa cuenta ya debe tener habilitado Security Hub. Esto convierte a la cuenta de administración en una cuenta de miembro de la organización.
AWS Config no se ha habilitado o configurado correctamente: para habilitar estándares en una política de configuración, AWS Config debe estar habilitado y configurado para registrar los recursos relevantes.
Debe asociarse desde una cuenta de administrador delegado: solo puede asociar una política a las cuentas y unidades organizativas de destino si ha iniciado sesión en la cuenta de administrador delegado.
Debe asociarse desde la región de origen: solo puede asociar una política a las cuentas y unidades organizativas de destino si ha iniciado sesión en la región de origen.
La región optativa no está habilitada: no se puede asociar la política a una cuenta de miembro o unidad organizativa de una región vinculada si se trata de una región optativa que el administrador delegado no ha habilitado. Puede volver a intentarlo después de habilitar la región desde la cuenta de administrador delegado.
Cuenta de miembro suspendida: la asociación de políticas es muestra error si se intenta asociar una política a una cuenta de miembro suspendida.