As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Visualizando o status e os detalhes da política de configuração
O delegado AWS Security Hub o administrador pode visualizar as políticas de configuração de uma organização e seus detalhes. Isso inclui a quais contas e unidades organizacionais (OUs) uma política está associada.
Para obter informações básicas sobre os benefícios da configuração central e como ela funciona, consulteEntendendo a configuração central no Security Hub.
Escolha seu método preferido e siga as etapas para visualizar suas políticas de configuração.
- Console
-
Para visualizar as políticas de configuração
-
Abra as AWS Security Hub console em https://console.aws.amazon.com/securityhub/.
Faça login usando as credenciais da conta do administrador delegado do Security Hub na região inicial.
-
No painel de navegação, escolha Configurações e Configuração.
-
Escolha a guia Políticas para obter uma visão geral de suas políticas de configuração.
-
Selecione uma política de configuração e escolha Exibir detalhes para ver detalhes adicionais sobre ela, incluindo a quais contas OUs ela está associada.
- API
-
Para visualizar as políticas de configuração
Para ver uma lista resumida de todas as suas políticas de configuração, invoque a da conta ListConfigurationPolicies
APIde administrador delegado do Security Hub em sua região de origem. É possível fornecer parâmetros de paginação opcionais
Exemplo de API solicitação:
{
"MaxResults": 5,
"NextToken": "U2FsdGVkX19nUI2zoh+Pou9YyutlYJHWpn9xnG4hqSOhvw3o2JqjI23QDxdf"
}
Para ver detalhes sobre uma política de configuração específica, invoque a da conta GetConfigurationPolicy
APIde administrador delegado do Security Hub em sua região de origem. Forneça o nome de recurso da Amazon (ARN) ou o ID da política de configuração cujos detalhes você deseja ver.
Exemplo de API solicitação:
{
"Identifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
}
Para ver uma lista resumida de todas as suas políticas de configuração e suas associações, invoque a da conta ListConfigurationPolicyAssociations
APIde administrador delegado do Security Hub em sua região de origem. Opcionalmente, é possível fornecer parâmetros de paginação ou filtrar os resultados por um ID de política específica, tipo de associação ou status de associação.
Exemplo de API solicitação:
{
"AssociationType": "APPLIED"
}
Para visualizar associações para uma conta específica, OU ou a raiz, invoque o ou da GetConfigurationPolicyAssociation
conta de administrador delegado BatchGetConfigurationPolicyAssociations
APIdo Security Hub em sua região de origem. Em Target
, forneça o número da conta, ID da OU ou ID da raiz.
{
"Target": {"AccountId": "123456789012"}
}
- AWS CLI
-
Para visualizar as políticas de configuração
Para ver uma lista resumida de todas as suas políticas de configuração, execute o comando list-configuration-policies
na conta de administrador delegado do Security Hub em sua região inicial.
Exemplo de comando:
aws securityhub --region us-east-1 list-configuration-policies \
--max-items 5 \
--starting-token U2FsdGVkX19nUI2zoh+Pou9YyutlYJHWpn9xnG4hqSOhvw3o2JqjI23QDxdf
Para ver detalhes sobre uma política de configuração específica, execute o comando get-configuration-policy
da conta de administrador delegado do Security Hub em sua região inicial. Forneça o nome de recurso da Amazon (ARN) ou o ID da política de configuração cujos detalhes você deseja ver.
aws securityhub --region us-east-1 get-configuration-policy \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
Para ver uma lista resumida de todas as suas políticas de configuração e suas associações de conta, execute o comando list-configuration-policy-associations
na conta de administrador delegado do Security Hub em sua região inicial. Opcionalmente, é possível fornecer parâmetros de paginação ou filtrar os resultados por um ID de política específica, tipo de associação ou status de associação.
aws securityhub --region us-east-1 list-configuration-policy-associations \
--association-type "APPLIED"
Para ver as associações de uma conta específica, execute o comando get-configuration-policy-association
ou batch-get-configuration-policy-associations
na conta de administrador delegado do Security Hub em sua região inicial. Em target
, forneça o número da conta, ID da OU ou ID da raiz.
aws securityhub --region us-east-1 get-configuration-policy-association \
--target '{"AccountId": "123456789012"}'
Revisando o status de associação de uma política de configuração
As seguintes API operações de configuração central retornam um campo chamadoAssociationStatus
:
BatchGetConfigurationPolicyAssociations
GetConfigurationPolicyAssociation
ListConfigurationPolicyAssociations
StartConfigurationPolicyAssociation
Esse campo é retornado quando a configuração subjacente é uma política de configuração e quando é um comportamento autogerenciado.
O valor de AssociationStatus
indica se uma associação de política está pendente ou em estado de êxito ou fracasso. Pode demorar até 24 horas para que o status mude de PENDING
para SUCCESS
ou FAILURE
. O status da associação de uma OU principal ou da raiz depende do status de seus filhos. Se o status de associação de todos os filhos for SUCCESS
, o status de associação dos pais será SUCCESS
. Se o status de associação de um ou mais filhos for FAILED
, o status de associação dos pais será FAILED
.
O valor de AssociationStatus
também depende de todas as regiões. Se a associação obtiver êxito na região inicial e em todas as regiões vinculadas, o valor de AssociationStatus
será SUCCESS
. Se a associação falhar em uma ou mais dessas regiões, o valor de AssociationStatus
será FAILED
.
O comportamento a seguir também afeta o valor de AssociationStatus
:
Se o destino for uma OU pai ou a raiz, ela terá um AssociationStatus
de SUCCESS
ou FAILED
somente quando todos os filhos tiverem um status SUCCESS
ou FAILED
. Se o status de associação de uma conta secundária ou OU mudar (por exemplo, quando uma região vinculada for adicionada ou removida) depois que você associar o pai a uma configuração pela primeira vez, a alteração não atualizará o status de associação do pai, a menos que você a invoque StartConfigurationPolicyAssociation
API novamente.
Se o destino for uma conta, ela terá um AssociationStatus
de SUCCESS
ou FAILED
somente se a associação tiver um resultado de SUCCESS
ou FAILED
na região inicial e em todas as regiões vinculadas. Se o status de associação de uma conta de destino mudar (por exemplo, quando uma região vinculada for adicionada ou removida) depois que você a associar pela primeira vez a uma configuração, seu status de associação será atualizado. No entanto, a alteração não atualiza o status de associação do pai, a menos que você invoque o StartConfigurationPolicyAssociation
API novamente.
Se você adicionar uma nova região vinculada, o Security Hub replicará suas associações existentes que estiverem em um estado PENDING
, SUCCESS
ou FAILED
na nova região.