Revisión del estado y los detalles de las políticas de configuración - AWS Security Hub
Revisión del estado de asociación de una política de configuraciónSolución de problemas de la asociación

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Revisión del estado y los detalles de las políticas de configuración

El administrador delegado de AWS Security Hub Cloud Security Posture Management (CSPM) puede ver las políticas de configuración de una organización y sus detalles. Esto incluye las cuentas y unidades organizativas (OUs) a las que está asociada una política.

Para obtener información general sobre las ventajas de la configuración centralizada y su funcionamiento, consulte Descripción de la configuración central en Security Hub (CSPM).

Elija su método preferido y siga estos pasos para ver las políticas de configuración.

Security Hub CSPM console
Para ver políticas de configuración (consola)

  1. Abra la consola AWS de Security Hub Cloud Security Posture Management (CSPM) en. https://console.aws.amazon.com/securityhub/

    Inicie sesión con las credenciales de la cuenta de administrador CSPM de Security Hub delegada en la región de origen.

  2. En el panel de navegación, seleccione Configuración y Configuración.

  3. Seleccione la pestaña Políticas para obtener un resumen de las políticas de configuración.

  4. Seleccione una política de configuración y elija Ver detalles para ver detalles adicionales sobre ella, incluidas las cuentas a las que OUs está asociada.

Security Hub CSPM API

Para ver una lista resumida de todas sus políticas de configuración, utilice el ListConfigurationPoliciesfuncionamiento de la API CSPM de Security Hub. Si usa el AWS CLI, ejecute el list-configuration-policiescomando. La cuenta de administrador de CSPM de Security Hub delegada debe invocar la operación en la región de origen.

$ aws securityhub list-configuration-policies \
--max-items 5 \
--starting-token U2FsdGVkX19nUI2zoh+Pou9YyutlYJHWpn9xnG4hqSOhvw3o2JqjI23QDxdf

Para ver los detalles sobre una política de configuración específica, utilice la operación GetConfigurationPolicy. Si usa el, ejecute el AWS CLI. get-configuration-policy La cuenta de administrador delegado debe invocar la operación en la región de origen. Proporcione el nombre de recurso de Amazon (ARN) o el ID de la política de configuración cuyos detalles desea ver.

$ aws securityhub get-configuration-policy \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"

Para ver una lista resumida de todas las políticas de configuración y sus respectivas asociaciones de cuentas, utilice la operación de configuración ListConfigurationPolicyAssociations. Si usa el AWS CLI, ejecute el list-configuration-policy-associationscomando. La cuenta de administrador delegado debe invocar la operación en la región de origen. Si lo desea, puede proporcionar parámetros de paginación o filtrar los resultados por un ID de política, un tipo de asociación o un estado de asociación específico.

$ aws securityhub list-configuration-policy-associations \
--filters '{"AssociationType": "APPLIED"}'

Para ver las asociaciones de una cuenta específica, utilice la operación GetConfigurationPolicyAssociation. Si usa el AWS CLI, ejecute el get-configuration-policy-associationcomando. La cuenta de administrador delegado debe invocar la operación en la región de origen. En target, indique el número de cuenta, el ID de unidad organizativa o el ID de raíz.

$ aws securityhub get-configuration-policy-association \
--target '{"AccountId": "123456789012"}'

Revisión del estado de asociación de una política de configuración

Las siguientes operaciones de la API de configuración centralizada devuelven un campo denominado AssociationStatus:

  • BatchGetConfigurationPolicyAssociations

  • GetConfigurationPolicyAssociation

  • ListConfigurationPolicyAssociations

  • StartConfigurationPolicyAssociation

Este campo se devuelve cuando la configuración subyacente es una política de configuración y cuando se trata de un comportamiento autoadministrado.

El valor de AssociationStatus indica si una asociación de políticas está pendiente o se encuentra en un estado de éxito o fracaso para una cuenta específica. El estado puede tardar hasta 24 horas minutos en cambiar de PENDING a SUCCESS o FAILED. Un estado de SUCCESS significa que todos los ajustes especificados en la política de configuración están asociados a la cuenta. Un estado de FAILED significa que una o más opciones especificadas en la política de configuración no se pudieron asociar a la cuenta. A pesar FAILED del estado, la cuenta podría configurarse parcialmente de acuerdo con la política. Por ejemplo, puede intentar asociar una cuenta a una política de configuración que habilite el CSPM de Security Hub, habilite las prácticas recomendadas de seguridad AWS fundamentales y deshabilite .1. CloudTrail Las dos configuraciones iniciales podrían funcionar correctamente, pero la configuración CloudTrail .1 podría fallar. En este ejemplo, el estado de la asociación es igual a FAILED pesar de que algunos ajustes se configuraron correctamente.

El estado de asociación de una unidad organizativa principal o de la raíz depende del estado de sus entidades secundarias. Si el estado de asociación de todas las entidades secundarias es SUCCESS, el estado de asociación de la entidad principal es SUCCESS. Si el estado de asociación de una o más entidades secundarias es FAILED, el estado de asociación de la entidad principal es FAILED.

El valor de AssociationStatus depende del estado de asociación de la política en todas las regiones pertinentes. Si la asociación tiene éxito en la región de origen y en todas las regiones vinculadas, el valor de AssociationStatus es SUCCESS. Si se produce un error en la asociación en una o más de estas regiones, el valor de AssociationStatus es FAILED.

El siguiente comportamiento también afecta al valor de AssociationStatus:

  • Si el destino es una unidad organizativa principal o de la raíz, tiene un AssociationStatus de SUCCESS o FAILED solo cuando todas las entidades secundarias tienen un estado SUCCESS o FAILED. Si el estado de asociación de una cuenta o unidad organizativa secundaria cambia (por ejemplo, cuando se agrega o elimina una región vinculada) después de asociar por primera vez la entidad principal a una configuración, el cambio no actualiza el estado de asociación de la entidad principal a menos que vuelva a invocar la API StartConfigurationPolicyAssociation.

  • Si el destino es una cuenta, tiene un AssociationStatus de SUCCESS o FAILED solo si la asociación tiene un resultado de SUCCESS o FAILED en la región de origen y en todas las regiones vinculadas. Si el estado de asociación de una cuenta de destino cambia (por ejemplo, cuando se agrega o elimina una región vinculada) después de asociarla por primera vez a una configuración, su estado de asociación se actualiza. Sin embargo, el cambio no actualiza el estado de asociación de la entidad principal a menos que vuelva a invocar la API StartConfigurationPolicyAssociation.

Si agrega una nueva región vinculada, Security Hub CSPM replica las asociaciones existentes que se encuentran en una o en un PENDING FAILED estado de la nueva región. SUCCESS

Incluso si el estado de la asociación es el SUCCESS mismo, el estado de habilitación de un estándar que forma parte de la política puede pasar a un estado incompleto. En ese caso, Security Hub CSPM no puede generar resultados para los controles del estándar. Para obtener más información, consulte Comprobar el estado de un estándar.

Solución de problemas de la asociación

En AWS Security Hub Cloud Security Posture Management (CSPM), la asociación de una política de configuración puede fallar por los siguientes motivos habituales.

  • La cuenta de administración de Organizations no es miembro: si quieres asociar una política de configuración a la cuenta de administración de Organizations, esa cuenta ya debe tener AWS habilitada la Administración de Postura de Seguridad (CSPM) de Security Hub Cloud. Esto convierte a la cuenta de administración en una cuenta de miembro de la organización.

  • AWS Config no está habilitada o configurada correctamente: para habilitar los estándares en una política de configuración, AWS Config debe estar habilitada y configurada para registrar los recursos relevantes.

  • Debe asociarse desde una cuenta de administrador delegada: solo puede asociar una política a las cuentas de destino y OUs cuando haya iniciado sesión en la cuenta de administrador delegada de CSPM de Security Hub.

  • Debe asociarse desde la región de origen: solo puede asociar una política a las cuentas de destino y OUs cuando haya iniciado sesión en su región de origen.

  • La región optativa no está habilitada: no se puede asociar la política a una cuenta de miembro o unidad organizativa de una región vinculada si se trata de una región optativa que el administrador delegado no ha habilitado. Puede volver a intentarlo después de habilitar la región desde la cuenta de administrador delegado.

  • Cuenta de miembro suspendida: la asociación de políticas es muestra error si se intenta asociar una política a una cuenta de miembro suspendida.