Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Syntaxe et exemples de politiques du Security Hub
Les politiques de Security Hub suivent une syntaxe JSON standardisée qui définit la manière dont Security Hub est activé et configuré au sein de votre organisation. La compréhension de la structure des politiques vous aide à créer des politiques efficaces répondant à vos exigences de sécurité.
Considérations
Avant de créer des politiques Security Hub, comprenez les points essentiels suivants concernant la syntaxe des politiques :
-
Les deux
enable_in_regions
disable_in_regions
listes sont obligatoires dans la politique, bien qu'elles puissent être vides -
Lors du traitement de politiques efficaces
disable_in_regions
, a priorité surenable_in_regions
-
Les politiques relatives aux enfants peuvent modifier les politiques parentales à l'aide d'opérateurs d'héritage, sauf si elles sont explicitement limitées
-
La
ALL_SUPPORTED
désignation inclut à la fois les régions actuelles et futures -
Les noms de région doivent être valides et disponibles dans Security Hub
Structure politique de base
Une politique Security Hub utilise cette structure de base :
{ "securityhub":{ "enable_in_regions":[ "us-east-1", "us-west-2" ], "disable_in_regions":[ "eu-central-1" ] } }
Composantes de la politique
Les politiques du Security Hub contiennent les éléments clés suivants :
securityhub
-
Le conteneur de premier niveau pour les paramètres de politique
Obligatoire pour toutes les politiques du Security Hub
enable_in_regions
-
Liste des régions dans lesquelles Security Hub doit être activé
Peut contenir des noms de régions spécifiques ou
ALL_SUPPORTED
Champ obligatoire mais peut être vide
Lors de l'utilisation
ALL_SUPPORTED
, inclut les futures régions disable_in_regions
-
Liste des régions dans lesquelles Security Hub doit être désactivé
Peut contenir des noms de régions spécifiques ou
ALL_SUPPORTED
Champ obligatoire mais peut être vide
A priorité sur le
enable_in_regions
cas où les régions apparaissent dans les deux listes - Opérateurs d'héritage
-
@ @assign - Remplace les valeurs héritées
@ @append - Ajoute de nouvelles valeurs aux valeurs existantes
@ @remove - Supprime des valeurs spécifiques des paramètres hérités
Exemples de politiques relatives au Security Hub
Les exemples suivants illustrent les configurations de politique courantes du Security Hub.
L'exemple ci-dessous active Security Hub dans toutes les régions actuelles et futures. En l'utilisant ALL_SUPPORTED
dans la enable_in_regions
liste et en la laissant disable_in_regions
vide, cette politique garantit une couverture de sécurité complète à mesure que de nouvelles régions deviennent disponibles.
{ "securityhub":{ "enable_in_regions":{ "@@assign":[ "ALL_SUPPORTED" ] }, "disable_in_regions":{ "@@assign":[ ] } } }
Cet exemple désactive Security Hub dans toutes les régions, y compris dans les régions futures, car disable_in_regions
la liste a priorité sur. enable_in_regions
{ "securityhub":{ "enable_in_regions":{ "@@assign":[ "us-east-1", "us-west-2" ] }, "disable_in_regions":{ "@@assign":[ "ALL_SUPPORTED" ] } } }
L'exemple suivant montre comment les politiques relatives aux enfants peuvent modifier les paramètres des politiques parentes à l'aide d'opérateurs d'héritage. Cette approche permet un contrôle granulaire tout en préservant la structure globale des politiques. La politique relative aux enfants ajoute une nouvelle région enable_in_regions
et en supprime unedisable_in_regions
.
{ "securityhub":{ "enable_in_regions":{ "@@append":[ "eu-central-1" ] }, "disable_in_regions":{ "@@remove":[ "us-west-2" ] } } }
Cet exemple montre comment activer Security Hub dans plusieurs régions spécifiques sans l'utiliserALL_SUPPORTED
. Cela permet de contrôler avec précision les régions dans lesquelles Security Hub est activé, tout en laissant les régions non spécifiées non gérées par la politique.
{ "securityhub":{ "enable_in_regions":{ "@@assign":[ "us-east-1", "us-west-2", "eu-west-1", "ap-southeast-1" ] }, "disable_in_regions":{ "@@assign":[ ] } } }
L'exemple suivant montre comment gérer les exigences de conformité régionales en activant Security Hub dans la plupart des régions tout en le désactivant explicitement dans des emplacements spécifiques. La disable_in_regions
liste est prioritaire, ce qui garantit que Security Hub reste désactivé dans ces régions, quels que soient les autres paramètres de politique.
{ "securityhub":{ "enable_in_regions":{ "@@assign":[ "ALL_SUPPORTED" ] }, "disable_in_regions":{ "@@assign":[ "ap-east-1", "me-south-1" ] } } }