Sintaxis y ejemplos de políticas de Security Hub - AWS Organizations
ConsideracionesEstructura de políticas básicaComponentes de políticaEjemplos de políticas de Security Hub

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Sintaxis y ejemplos de políticas de Security Hub

Las políticas de Security Hub siguen una sintaxis JSON estandarizada que define cómo se habilita y configura Security Hub en toda la organización. Comprender la estructura de las políticas le ayuda a crear políticas eficaces para sus requisitos de seguridad.

Consideraciones

Antes de crear políticas de Security Hub, comprenda estos puntos clave sobre la sintaxis de las políticas:

  • Ambas enable_in_regions disable_in_regions listas son obligatorias en la política, aunque pueden estar vacías

  • Al procesar políticas efectivas, disable_in_regions tiene prioridad sobre enable_in_regions

  • Las políticas secundarias pueden modificar las políticas principales mediante operadores de herencia, a menos que estén explícitamente restringidas

  • La ALL_SUPPORTED designación incluye las regiones actuales y futuras.

  • Los nombres de las regiones deben ser válidos y estar disponibles en Security Hub

Estructura de políticas básica

Una política de Security Hub utiliza esta estructura básica:

{
   "securityhub":{
      "enable_in_regions":[
         "us-east-1",
         "us-west-2"
      ],
      "disable_in_regions":[
         "eu-central-1"
      ]
   }
}

Componentes de política

Las políticas de Security Hub contienen estos componentes clave:

securityhub

El contenedor de nivel superior para la configuración de políticas

Necesario para todas las políticas de Security Hub

enable_in_regions

Lista de regiones en las que se debe habilitar Security Hub

Puede contener nombres de regiones específicos o ALL_SUPPORTED

Campo obligatorio, pero puede estar vacío

Cuando se usaALL_SUPPORTED, incluye regiones futuras

disable_in_regions

Lista de regiones en las que Security Hub debería estar deshabilitado

Puede contener nombres de regiones específicos o ALL_SUPPORTED

Campo obligatorio, pero puede estar vacío

Tiene prioridad sobre enable_in_regions cuando las regiones aparecen en ambas listas

Operadores de herencia

@ @assign: sobrescribe los valores heredados

@ @append - Añade valores nuevos a los existentes

@ @remove: elimina valores específicos de la configuración heredada

Ejemplos de políticas de Security Hub

Los siguientes ejemplos muestran las configuraciones de políticas comunes de Security Hub.

El siguiente ejemplo habilita Security Hub en todas las regiones actuales y futuras. Al utilizarla ALL_SUPPORTED en la enable_in_regions lista y dejarla disable_in_regions vacía, esta política garantiza una cobertura de seguridad integral a medida que haya nuevas regiones disponibles.

{
   "securityhub":{
      "enable_in_regions":{
         "@@assign":[
            "ALL_SUPPORTED"
         ]
      },
      "disable_in_regions":{
         "@@assign":[
            
         ]
      }
   }
}

En este ejemplo, se deshabilita Security Hub en todas las regiones, incluidas las regiones futuras, ya que la disable_in_regions lista tiene prioridad sobre ella. enable_in_regions

{
   "securityhub":{
      "enable_in_regions":{
         "@@assign":[
            "us-east-1",
            "us-west-2"
         ]
      },
      "disable_in_regions":{
         "@@assign":[
            "ALL_SUPPORTED"
         ]
      }
   }
}

El siguiente ejemplo demuestra cómo las políticas secundarias pueden modificar la configuración de la política principal mediante operadores de herencia. Este enfoque permite un control detallado y, al mismo tiempo, mantiene la estructura general de la política. La política de menores agrega una nueva región enable_in_regions y elimina una región de elladisable_in_regions.

{
   "securityhub":{
      "enable_in_regions":{
         "@@append":[
            "eu-central-1"
         ]
      },
      "disable_in_regions":{
         "@@remove":[
            "us-west-2"
         ]
      }
   }
}

En este ejemplo se muestra cómo habilitar Security Hub en varias regiones específicas sin usarALL_SUPPORTED. Esto proporciona un control preciso sobre qué regiones tienen activado Security Hub y, al mismo tiempo, deja las regiones no especificadas sin administrar por la política.

{
   "securityhub":{
      "enable_in_regions":{
         "@@assign":[
            "us-east-1",
            "us-west-2",
            "eu-west-1",
            "ap-southeast-1"
         ]
      },
      "disable_in_regions":{
         "@@assign":[
            
         ]
      }
   }
}

En el siguiente ejemplo, se muestra cómo gestionar los requisitos de conformidad regionales mediante la activación de Security Hub en la mayoría de las regiones y, al mismo tiempo, su desactivación explícita en ubicaciones específicas. La disable_in_regions lista tiene prioridad, lo que garantiza que Security Hub permanezca deshabilitado en esas regiones independientemente de otras configuraciones de políticas.

{
   "securityhub":{
      "enable_in_regions":{
         "@@assign":[
            "ALL_SUPPORTED"
         ]
      },
      "disable_in_regions":{
         "@@assign":[
            "ap-east-1",
            "me-south-1"
         ]
      }
   }
}