Visualização do status e dos detalhes de políticas de configuração - AWS Security Hub
Revisar o status da associação de uma política de configuraçãoSolução de problemas de falha de associação

Visualização do status e dos detalhes de políticas de configuração

A conta de administrador delegado do CSPM do AWS Security Hub pode visualizar as políticas de configuração de uma organização e seus detalhes. Isso inclui a quais contas e unidades organizacionais (UOs) uma política está associada.

Para obter informações contextuais sobre os benefícios da configuração central e como ela funciona, consulte Noções básicas sobre a configuração central no CSPM do Security Hub.

Escolha seu método preferido e siga as etapas para visualizar suas políticas de configuração.

Security Hub CSPM console
Para visualizar políticas de configuração (console)

  1. Abra o console do CSPM do AWS Security Hub em https://console.aws.amazon.com/securityhub/.

    Faça login usando as credenciais da conta do administrador do CSPM do Security Hub delegado na região inicial.

  2. No painel de navegação, escolha Configurações e Configuração.

  3. Escolha a guia Políticas para ter uma visão geral das políticas de configuração.

  4. Selecione uma política de configuração e escolha Visualizar detalhes para ver detalhes adicionais sobre ela, incluindo a que contas e UOs ela está associada.

Security Hub CSPM API

Para visualizar uma lista resumida de todas as suas políticas de configuração, use a operação ListConfigurationPolicies da API do CSPM do Security Hub. Se você usar a AWS CLI, execute o comando list-configuration-policies. O administrador delegado do CSPM do Security Hub deve invocar a operação na região inicial.

$ aws securityhub list-configuration-policies \
--max-items 5 \
--starting-token U2FsdGVkX19nUI2zoh+Pou9YyutlYJHWpn9xnG4hqSOhvw3o2JqjI23QDxdf

Para visualizar detalhes sobre uma política de configuração específica, use a operação GetConfigurationPolicy. Se você usar a AWS CLI, execute o comando get-configuration-policy. O administrador delegado deve invocar a operação na região inicial. Forneça o nome do recurso da Amazon (ARN) ou o ID da política de configuração cujos detalhes você deseja visualizar.

$ aws securityhub get-configuration-policy \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"

Para visualizar uma lista resumida de todas as suas políticas de configuração e suas associações de conta, use a operação ListConfigurationPolicyAssociations. Se você usar a AWS CLI, execute o comando list-configuration-policy-associations. O administrador delegado deve invocar a operação na região inicial. Opcionalmente, é possível fornecer parâmetros de paginação ou filtrar os resultados por um ID de política específica, tipo de associação ou status de associação.

$ aws securityhub list-configuration-policy-associations \
--filters '{"AssociationType": "APPLIED"}'

Para visualizar as associações de uma conta específica, use a operação GetConfigurationPolicyAssociation. Se você usar a AWS CLI, execute o comando get-configuration-policy-association. O administrador delegado deve invocar a operação na região inicial. Em target, forneça o número da conta, ID da UO ou ID da raiz.

$ aws securityhub get-configuration-policy-association \
--target '{"AccountId": "123456789012"}'

Revisar o status da associação de uma política de configuração

As operações a seguir da API da configuração central retornam um campo chamado AssociationStatus:

  • BatchGetConfigurationPolicyAssociations

  • GetConfigurationPolicyAssociation

  • ListConfigurationPolicyAssociations

  • StartConfigurationPolicyAssociation

Esse campo é retornado quando a configuração subjacente é uma política de configuração e quando é um comportamento autogerenciado.

O valor de AssociationStatus indica se uma associação de política está pendente ou em estado de êxito ou falha para uma conta específica. Pode demorar até 24 horas para que o status mude de PENDING para SUCCESS ou FAILED. Um status SUCCESS significa que todas as configurações especificadas na política de configuração estão associadas à conta. Um status FAILED significa uma ou mais configurações especificadas na política de configuração falharam ao associar à conta. Apesar do status FAILED, a conta pode ser parcialmente configurada de acordo com a política. Por exemplo, é possível tentar associar uma conta a uma política de configuração que habilite o CSPM do Security Hub, habilite as Práticas Recomendadas de Segurança Básica da AWS e desabilite o CloudTrail.1. As duas configurações iniciais podem ter êxito, mas a configuração do CloudTrail.1 pode falhar. Neste exemplo, o status da associação é FAILED, mesmo que algumas configurações tenham sido definidas corretamente.

O status da associação de uma UO principal ou da raiz depende do status de seus filhos. Se o status de associação de todos os filhos for SUCCESS, o status de associação dos pais será SUCCESS. Se o status de associação de um ou mais filhos for FAILED, o status de associação dos pais será FAILED.

O valor de AssociationStatus depende do status de associação da política em todas as regiões relevantes. Se a associação obtiver êxito na região inicial e em todas as regiões vinculadas, o valor de AssociationStatus será SUCCESS. Se a associação falhar em uma ou mais dessas regiões, o valor de AssociationStatus será FAILED.

O comportamento a seguir também afeta o valor de AssociationStatus:

  • Se o destino for uma UO pai ou a raiz, ela terá um AssociationStatus de SUCCESS ou FAILED somente quando todos os filhos tiverem um status SUCCESS ou FAILED. Se o status de associação de uma conta secundária ou UO mudar (por exemplo, quando uma região vinculada for adicionada ou removida) depois que você associar o pai a uma configuração pela primeira vez, a alteração não atualizará o status de associação do pai, a menos que você invoque a API StartConfigurationPolicyAssociation novamente.

  • Se o destino for uma conta, ela terá um AssociationStatus de SUCCESS ou FAILED somente se a associação tiver um resultado de SUCCESS ou FAILED na região inicial e em todas as regiões vinculadas. Se o status de associação de uma conta de destino mudar (por exemplo, quando uma região vinculada for adicionada ou removida) depois que você a associar pela primeira vez a uma configuração, seu status de associação será atualizado. Entretanto, a alteração não atualiza o status de associação do pai, a menos que você invoque a API StartConfigurationPolicyAssociation novamente.

Se você adicionar uma nova região vinculada, o CSPM do Security Hub replicará suas associações existentes que estiverem em um estado PENDING, SUCCESS ou FAILED na nova região.

Mesmo quando o status da associação for SUCCESS, o status de habilitação de um padrão que faz parte da política pode passar para um estado incompleto. Nesse caso, o CSPM do Security Hub não pode gerar descobertas para os controles do padrão. Para obter mais informações, consulte Verificação do status de um padrão.

Solução de problemas de falha de associação

No CSPM do AWS Security Hub, a associação de uma política de configuração pode não funcionar pelos motivos comuns a seguir.

  • A conta gerencial do Organizations não é membro: se você quiser associar uma política de configuração à conta gerencial do Organizations, essa conta já deverá ter o CSPM do AWS Security Hub habilitado. Isso torna a conta gerencial uma conta de membro na organização.

  • A AWS Config não está habilitada ou configurada corretamente: para habilitar padrões em uma política de configuração, a AWS Config deve estar habilitada e configurada para registrar recursos relevantes.

  • É necessário fazer a associação em uma conta de administrador delegado: você só pode associar uma política a contas e UOs alvos depois de fazer login na conta de administrador delegado do CSPM do Security Hub.

  • É necessário associar na região inicial: você só pode associar uma política às contas e UOs alvos depois de fazer login na região inicial.

  • Região de adesão não habilitada: a associação de políticas falhará para uma conta de membro ou UO em uma região vinculada se for uma região de adesão que o administrador delegado não tenha habilitado. É possível tentar novamente depois de habilitar a região a partir da conta de administrador delegado.

  • Conta de membro suspensa: a associação de políticas falhará se você tentar associar uma política a uma conta de membro suspensa.