Consideraciones Estructura básica de las políticas Componentes de política Ejemplos de políticas de CSPM de Security Hub

Sintaxis y ejemplos de políticas de CSPM de Security Hub

Las políticas de CSPM de Security Hub siguen una sintaxis JSON estandarizada que define cómo se habilita y configura el CSPM de Security Hub en toda la organización. La comprensión de la estructura de las políticas permite crear políticas eficaces para sus requisitos de seguridad.

Consideraciones

Antes de crear las políticas CSPM de Security Hub, comprenda estos puntos clave sobre la sintaxis de las políticas:

Las listas enable_in_regions y disable_in_regions son obligatorias en la política, aunque puedan estar vacías
A la hora de procesar políticas en vigor, disable_in_regions prevalece sobre enable_in_regions
Las políticas secundarias pueden modificar las principales mediante operadores de herencia, a menos que estén explícitamente restringidas
La designación ALL_SUPPORTED incluye las regiones actuales y futuras
Los nombres de las regiones deben ser válidos y estar disponibles en Security Hub (CSPM).

Estructura básica de las políticas

Una política CSPM de Security Hub utiliza esta estructura básica:


{
  "securityhub": {
    "enable_in_regions": {
      "@@append": ["ALL_SUPPORTED"],
      "@@operators_allowed_for_child_policies": ["@@all"]
    },
    "disable_in_regions": {
      "@@append": [],
      "@@operators_allowed_for_child_policies": ["@@all"]
    }
  }
}

Componentes de política

Las políticas CSPM de Security Hub contienen estos componentes clave:

securityhub

Contenedor de nivel superior para configurar políticas

Necesario para todas las políticas de CSPM de Security Hub

enable_in_regions

Lista de regiones en las que se debe habilitar Security Hub CSPM

Puede contener nombres de regiones específicos o ALL_SUPPORTED

Campo obligatorio, pero puede quedar vacío

Al utilizar ALL_SUPPORTED, significa que incluye regiones futuras

disable_in_regions

Lista de regiones en las que Security Hub CSPM debe estar deshabilitado

Puede contener nombres de regiones específicos o ALL_SUPPORTED

Campo obligatorio, pero puede quedar vacío

Tiene prioridad sobre enable_in_regions cuando las regiones aparecen en ambas listas

Operadores de herencia

@@assign: Sobrescribe los valores heredados

@@append: Agrega valores nuevos a los existentes

@@remove: Elimina valores específicos de la configuración heredada

Ejemplos de políticas de CSPM de Security Hub

Los siguientes ejemplos muestran las configuraciones de políticas CSPM comunes de Security Hub.

El siguiente ejemplo habilita el CSPM de Security Hub en todas las regiones actuales y futuras. Con el uso de ALL_SUPPORTED en la lista enable_in_regions y al dejar disable_in_regions vacío, esta política garantizará una cobertura de seguridad integral a medida que haya nuevas regiones disponibles.


{
   "securityhub":{
      "enable_in_regions":{
         "@@assign":[
            "ALL_SUPPORTED"
         ]
      },
      "disable_in_regions":{
         "@@assign":[
            
         ]
      }
   }
}

En este ejemplo, se deshabilita el CSPM de Security Hub en todas las regiones, incluidas las regiones futuras, ya que la disable_in_regions lista tiene prioridad sobre ella. enable_in_regions


{
   "securityhub":{
      "enable_in_regions":{
         "@@assign":[
            "us-east-1",
            "us-west-2"
         ]
      },
      "disable_in_regions":{
         "@@assign":[
            "ALL_SUPPORTED"
         ]
      }
   }
}

El siguiente ejemplo demuestra cómo las políticas secundarias pueden modificar la configuración de la política principal mediante operadores de herencia. Este enfoque permite un control detallado, mientras se mantiene la estructura general de la política. La política secundaria agrega una nueva región a enable_in_regions y elimina una región de disable_in_regions.


{
   "securityhub":{
      "enable_in_regions":{
         "@@append":[
            "eu-central-1"
         ]
      },
      "disable_in_regions":{
         "@@remove":[
            "us-west-2"
         ]
      }
   }
}

En este ejemplo se muestra cómo habilitar el CSPM de Security Hub en varias regiones específicas sin usarlo. ALL_SUPPORTED Esto proporciona un control preciso sobre qué regiones tienen activado el CSPM de Security Hub y, al mismo tiempo, deja las regiones no especificadas sin administrar por la política.


{
   "securityhub":{
      "enable_in_regions":{
         "@@assign":[
            "us-east-1",
            "us-west-2",
            "eu-west-1",
            "ap-southeast-1"
         ]
      },
      "disable_in_regions":{
         "@@assign":[
            
         ]
      }
   }
}

El siguiente ejemplo demuestra cómo gestionar los requisitos de conformidad regionales mediante la activación de Security Hub CSPM en la mayoría de las regiones y, al mismo tiempo, su desactivación explícita en ubicaciones específicas. La disable_in_regions lista tiene prioridad, lo que garantiza que el CSPM de Security Hub permanezca desactivado en esas regiones independientemente de otras configuraciones de políticas.


{
   "securityhub":{
      "enable_in_regions":{
         "@@assign":[
            "ALL_SUPPORTED"
         ]
      },
      "disable_in_regions":{
         "@@assign":[
            "ap-east-1",
            "me-south-1"
         ]
      }
   }
}

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Prácticas recomendadas

Políticas de Amazon Bedrock