Considérations Structure politique de base Composants de politique Exemples de politiques CSPM de Security Hub

Syntaxe de la politique CSPM de Security Hub et exemples

Les politiques CSPM de Security Hub suivent une syntaxe JSON standardisée qui définit la manière dont le Security Hub CSPM est activé et configuré au sein de votre organisation. La compréhension de la structure des politiques vous aide à créer des politiques efficaces répondant à vos exigences de sécurité.

Considérations

Avant de créer des politiques Security Hub CSPM, comprenez les points essentiels suivants concernant la syntaxe des politiques :

Les deux enable_in_regions disable_in_regions listes sont obligatoires dans la politique, bien qu'elles puissent être vides
Lors du traitement de politiques efficacesdisable_in_regions, a priorité sur enable_in_regions
Les politiques relatives aux enfants peuvent modifier les politiques parentales à l'aide d'opérateurs d'héritage, sauf si elles sont explicitement limitées
La ALL_SUPPORTED désignation inclut à la fois les régions actuelles et futures
Les noms de région doivent être valides et disponibles dans Security Hub CSPM

Structure politique de base

Une politique Security Hub CSPM utilise cette structure de base :


{
  "securityhub": {
    "enable_in_regions": {
      "@@append": ["ALL_SUPPORTED"],
      "@@operators_allowed_for_child_policies": ["@@all"]
    },
    "disable_in_regions": {
      "@@append": [],
      "@@operators_allowed_for_child_policies": ["@@all"]
    }
  }
}

Composants de politique

Les politiques CSPM du Security Hub contiennent les éléments clés suivants :

securityhub

Le conteneur de premier niveau pour les paramètres de politique

Obligatoire pour toutes les politiques CSPM de Security Hub

enable_in_regions

Liste des régions dans lesquelles Security Hub CSPM doit être activé

Peut contenir des noms de régions spécifiques ou ALL_SUPPORTED

Champ obligatoire mais peut être vide

Lors de l'utilisationALL_SUPPORTED, inclut les futures régions

disable_in_regions

Liste des régions dans lesquelles Security Hub CSPM doit être désactivé

Peut contenir des noms de régions spécifiques ou ALL_SUPPORTED

Champ obligatoire mais peut être vide

A priorité sur le enable_in_regions cas où les régions apparaissent dans les deux listes

Opérateurs d'héritage

@ @assign - Remplace les valeurs héritées

@ @append - Ajoute de nouvelles valeurs aux valeurs existantes

@ @remove - Supprime des valeurs spécifiques des paramètres hérités

Exemples de politiques CSPM de Security Hub

Les exemples suivants illustrent les configurations de politique CSPM courantes du Security Hub.

L'exemple ci-dessous active le Security Hub CSPM dans toutes les régions actuelles et futures. En l'utilisant ALL_SUPPORTED dans la enable_in_regions liste et en la laissant disable_in_regions vide, cette politique garantit une couverture de sécurité complète à mesure que de nouvelles régions deviennent disponibles.


{
   "securityhub":{
      "enable_in_regions":{
         "@@assign":[
            "ALL_SUPPORTED"
         ]
      },
      "disable_in_regions":{
         "@@assign":[
            
         ]
      }
   }
}

Cet exemple désactive Security Hub CSPM dans toutes les régions, y compris dans les régions futures, car la disable_in_regions liste a priorité sur. enable_in_regions


{
   "securityhub":{
      "enable_in_regions":{
         "@@assign":[
            "us-east-1",
            "us-west-2"
         ]
      },
      "disable_in_regions":{
         "@@assign":[
            "ALL_SUPPORTED"
         ]
      }
   }
}

L'exemple suivant montre comment les politiques relatives aux enfants peuvent modifier les paramètres des politiques parentes à l'aide d'opérateurs d'héritage. Cette approche permet un contrôle granulaire tout en préservant la structure globale des politiques. La politique relative aux enfants ajoute une nouvelle région enable_in_regions et en supprime unedisable_in_regions.


{
   "securityhub":{
      "enable_in_regions":{
         "@@append":[
            "eu-central-1"
         ]
      },
      "disable_in_regions":{
         "@@remove":[
            "us-west-2"
         ]
      }
   }
}

Cet exemple montre comment activer Security Hub CSPM dans plusieurs régions spécifiques sans utiliser. ALL_SUPPORTED Cela permet de contrôler avec précision les régions dans lesquelles Security Hub CSPM est activé, tout en laissant les régions non spécifiées non gérées par la politique.


{
   "securityhub":{
      "enable_in_regions":{
         "@@assign":[
            "us-east-1",
            "us-west-2",
            "eu-west-1",
            "ap-southeast-1"
         ]
      },
      "disable_in_regions":{
         "@@assign":[
            
         ]
      }
   }
}

L'exemple suivant montre comment gérer les exigences de conformité régionales en activant Security Hub CSPM dans la plupart des régions tout en le désactivant explicitement dans des emplacements spécifiques. La disable_in_regions liste est prioritaire, ce qui garantit que Security Hub CSPM reste désactivé dans ces régions, quels que soient les autres paramètres de politique.


{
   "securityhub":{
      "enable_in_regions":{
         "@@assign":[
            "ALL_SUPPORTED"
         ]
      },
      "disable_in_regions":{
         "@@assign":[
            "ap-east-1",
            "me-south-1"
         ]
      }
   }
}

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Bonnes pratiques

Politiques d'Amazon Bedrock