Visualizando o status e os detalhes da política de configuração - AWS Security Hub
Revisando o status de associação de uma política de configuração

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Visualizando o status e os detalhes da política de configuração

O delegado AWS Security Hub o administrador pode visualizar as políticas de configuração de uma organização e seus detalhes. Isso inclui a quais contas e unidades organizacionais (OUs) uma política está associada.

Para obter informações básicas sobre os benefícios da configuração central e como ela funciona, consulteEntendendo a configuração central no Security Hub.

Escolha seu método preferido e siga as etapas para visualizar suas políticas de configuração.

Console
Para visualizar as políticas de configuração

  1. Abra as AWS Security Hub console em https://console.aws.amazon.com/securityhub/.

    Faça login usando as credenciais da conta do administrador delegado do Security Hub na região inicial.

  2. No painel de navegação, escolha Configurações e Configuração.

  3. Escolha a guia Políticas para obter uma visão geral de suas políticas de configuração.

  4. Selecione uma política de configuração e escolha Exibir detalhes para ver detalhes adicionais sobre ela, incluindo a quais contas OUs ela está associada.

API

Para visualizar as políticas de configuração

Para ver uma lista resumida de todas as suas políticas de configuração, invoque a da conta ListConfigurationPoliciesAPIde administrador delegado do Security Hub em sua região de origem. É possível fornecer parâmetros de paginação opcionais

Exemplo de API solicitação:

{
    "MaxResults": 5,
    "NextToken": "U2FsdGVkX19nUI2zoh+Pou9YyutlYJHWpn9xnG4hqSOhvw3o2JqjI23QDxdf"
}

Para ver detalhes sobre uma política de configuração específica, invoque a da conta GetConfigurationPolicyAPIde administrador delegado do Security Hub em sua região de origem. Forneça o nome de recurso da Amazon (ARN) ou o ID da política de configuração cujos detalhes você deseja ver.

Exemplo de API solicitação:

{
    "Identifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
}

Para ver uma lista resumida de todas as suas políticas de configuração e suas associações, invoque a da conta ListConfigurationPolicyAssociationsAPIde administrador delegado do Security Hub em sua região de origem. Opcionalmente, é possível fornecer parâmetros de paginação ou filtrar os resultados por um ID de política específica, tipo de associação ou status de associação.

Exemplo de API solicitação:

{
    "AssociationType": "APPLIED"
}

Para visualizar associações para uma conta específica, OU ou a raiz, invoque o ou da GetConfigurationPolicyAssociationconta de administrador delegado BatchGetConfigurationPolicyAssociationsAPIdo Security Hub em sua região de origem. Em Target, forneça o número da conta, ID da OU ou ID da raiz.

{
    "Target": {"AccountId": "123456789012"}
}
AWS CLI

Para visualizar as políticas de configuração

Para ver uma lista resumida de todas as suas políticas de configuração, execute o comando list-configuration-policies na conta de administrador delegado do Security Hub em sua região inicial.

Exemplo de comando:

aws securityhub --region us-east-1 list-configuration-policies \
--max-items 5 \
--starting-token U2FsdGVkX19nUI2zoh+Pou9YyutlYJHWpn9xnG4hqSOhvw3o2JqjI23QDxdf

Para ver detalhes sobre uma política de configuração específica, execute o comando get-configuration-policy da conta de administrador delegado do Security Hub em sua região inicial. Forneça o nome de recurso da Amazon (ARN) ou o ID da política de configuração cujos detalhes você deseja ver.

aws securityhub --region us-east-1 get-configuration-policy \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"

Para ver uma lista resumida de todas as suas políticas de configuração e suas associações de conta, execute o comando list-configuration-policy-associations na conta de administrador delegado do Security Hub em sua região inicial. Opcionalmente, é possível fornecer parâmetros de paginação ou filtrar os resultados por um ID de política específica, tipo de associação ou status de associação.

aws securityhub --region us-east-1 list-configuration-policy-associations \
--association-type "APPLIED"

Para ver as associações de uma conta específica, execute o comando get-configuration-policy-association ou batch-get-configuration-policy-associations na conta de administrador delegado do Security Hub em sua região inicial. Em target, forneça o número da conta, ID da OU ou ID da raiz.

aws securityhub --region us-east-1 get-configuration-policy-association \
--target '{"AccountId": "123456789012"}'

Revisando o status de associação de uma política de configuração

As seguintes API operações de configuração central retornam um campo chamadoAssociationStatus:

  • BatchGetConfigurationPolicyAssociations

  • GetConfigurationPolicyAssociation

  • ListConfigurationPolicyAssociations

  • StartConfigurationPolicyAssociation

Esse campo é retornado quando a configuração subjacente é uma política de configuração e quando é um comportamento autogerenciado.

O valor de AssociationStatus indica se uma associação de política está pendente ou em estado de êxito ou fracasso. Pode demorar até 24 horas para que o status mude de PENDING para SUCCESS ou FAILURE. O status da associação de uma OU principal ou da raiz depende do status de seus filhos. Se o status de associação de todos os filhos for SUCCESS, o status de associação dos pais será SUCCESS. Se o status de associação de um ou mais filhos for FAILED, o status de associação dos pais será FAILED.

O valor de AssociationStatus também depende de todas as regiões. Se a associação obtiver êxito na região inicial e em todas as regiões vinculadas, o valor de AssociationStatus será SUCCESS. Se a associação falhar em uma ou mais dessas regiões, o valor de AssociationStatus será FAILED.

O comportamento a seguir também afeta o valor de AssociationStatus:

  • Se o destino for uma OU pai ou a raiz, ela terá um AssociationStatus de SUCCESS ou FAILED somente quando todos os filhos tiverem um status SUCCESS ou FAILED. Se o status de associação de uma conta secundária ou OU mudar (por exemplo, quando uma região vinculada for adicionada ou removida) depois que você associar o pai a uma configuração pela primeira vez, a alteração não atualizará o status de associação do pai, a menos que você a invoque StartConfigurationPolicyAssociation API novamente.

  • Se o destino for uma conta, ela terá um AssociationStatus de SUCCESS ou FAILED somente se a associação tiver um resultado de SUCCESS ou FAILED na região inicial e em todas as regiões vinculadas. Se o status de associação de uma conta de destino mudar (por exemplo, quando uma região vinculada for adicionada ou removida) depois que você a associar pela primeira vez a uma configuração, seu status de associação será atualizado. No entanto, a alteração não atualiza o status de associação do pai, a menos que você invoque o StartConfigurationPolicyAssociation API novamente.

Se você adicionar uma nova região vinculada, o Security Hub replicará suas associações existentes que estiverem em um estado PENDING, SUCCESS ou FAILED na nova região.