Considérations Structure politique de base Composantes de la politique Exemples de politiques relatives au Security Hub

Syntaxe et exemples de politiques du Security Hub

Les politiques de Security Hub suivent une syntaxe JSON standardisée qui définit la manière dont Security Hub est activé et configuré au sein de votre organisation. La compréhension de la structure des politiques vous aide à créer des politiques efficaces répondant à vos exigences de sécurité.

Considérations

Avant de créer des politiques Security Hub, comprenez les points essentiels suivants concernant la syntaxe des politiques :

Les deux enable_in_regions disable_in_regions listes sont obligatoires dans la politique, bien qu'elles puissent être vides
Lors du traitement de politiques efficacesdisable_in_regions, a priorité sur enable_in_regions
Les politiques relatives aux enfants peuvent modifier les politiques parentales à l'aide d'opérateurs d'héritage, sauf si elles sont explicitement limitées
La ALL_SUPPORTED désignation inclut à la fois les régions actuelles et futures
Les noms de région doivent être valides et disponibles dans Security Hub

Structure politique de base

Une politique Security Hub utilise cette structure de base :


{
   "securityhub":{
      "enable_in_regions":[
         "us-east-1",
         "us-west-2"
      ],
      "disable_in_regions":[
         "eu-central-1"
      ]
   }
}

Composantes de la politique

Les politiques du Security Hub contiennent les éléments clés suivants :

securityhub

Le conteneur de premier niveau pour les paramètres de politique

Obligatoire pour toutes les politiques du Security Hub

enable_in_regions

Liste des régions dans lesquelles Security Hub doit être activé

Peut contenir des noms de régions spécifiques ou ALL_SUPPORTED

Champ obligatoire mais peut être vide

Lors de l'utilisationALL_SUPPORTED, inclut les futures régions

disable_in_regions

Liste des régions dans lesquelles Security Hub doit être désactivé

Peut contenir des noms de régions spécifiques ou ALL_SUPPORTED

Champ obligatoire mais peut être vide

A priorité sur le enable_in_regions cas où les régions apparaissent dans les deux listes

Opérateurs d'héritage

@ @assign - Remplace les valeurs héritées

@ @append - Ajoute de nouvelles valeurs aux valeurs existantes

@ @remove - Supprime des valeurs spécifiques des paramètres hérités

Exemples de politiques relatives au Security Hub

Les exemples suivants illustrent les configurations de politique courantes du Security Hub.

L'exemple ci-dessous active Security Hub dans toutes les régions actuelles et futures. En l'utilisant ALL_SUPPORTED dans la enable_in_regions liste et en la laissant disable_in_regions vide, cette politique garantit une couverture de sécurité complète à mesure que de nouvelles régions deviennent disponibles.


{
   "securityhub":{
      "enable_in_regions":{
         "@@assign":[
            "ALL_SUPPORTED"
         ]
      },
      "disable_in_regions":{
         "@@assign":[
            
         ]
      }
   }
}

Cet exemple désactive Security Hub dans toutes les régions, y compris dans les régions futures, car disable_in_regions la liste a priorité sur. enable_in_regions


{
   "securityhub":{
      "enable_in_regions":{
         "@@assign":[
            "us-east-1",
            "us-west-2"
         ]
      },
      "disable_in_regions":{
         "@@assign":[
            "ALL_SUPPORTED"
         ]
      }
   }
}

L'exemple suivant montre comment les politiques relatives aux enfants peuvent modifier les paramètres des politiques parentes à l'aide d'opérateurs d'héritage. Cette approche permet un contrôle granulaire tout en préservant la structure globale des politiques. La politique relative aux enfants ajoute une nouvelle région enable_in_regions et en supprime unedisable_in_regions.


{
   "securityhub":{
      "enable_in_regions":{
         "@@append":[
            "eu-central-1"
         ]
      },
      "disable_in_regions":{
         "@@remove":[
            "us-west-2"
         ]
      }
   }
}

Cet exemple montre comment activer Security Hub dans plusieurs régions spécifiques sans l'utiliserALL_SUPPORTED. Cela permet de contrôler avec précision les régions dans lesquelles Security Hub est activé, tout en laissant les régions non spécifiées non gérées par la politique.


{
   "securityhub":{
      "enable_in_regions":{
         "@@assign":[
            "us-east-1",
            "us-west-2",
            "eu-west-1",
            "ap-southeast-1"
         ]
      },
      "disable_in_regions":{
         "@@assign":[
            
         ]
      }
   }
}

L'exemple suivant montre comment gérer les exigences de conformité régionales en activant Security Hub dans la plupart des régions tout en le désactivant explicitement dans des emplacements spécifiques. La disable_in_regions liste est prioritaire, ce qui garantit que Security Hub reste désactivé dans ces régions, quels que soient les autres paramètres de politique.


{
   "securityhub":{
      "enable_in_regions":{
         "@@assign":[
            "ALL_SUPPORTED"
         ]
      },
      "disable_in_regions":{
         "@@assign":[
            "ap-east-1",
            "me-south-1"
         ]
      }
   }
}

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Bonnes pratiques

Administrateur délégué pour AWS Organizations