Sintaks kebijakan CSPM Security Hub dan contoh - AWS Organizations
Pertimbangan-pertimbanganStruktur kebijakan dasarKomponen kebijakanContoh kebijakan CSPM Security Hub

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Sintaks kebijakan CSPM Security Hub dan contoh

Kebijakan CSPM Security Hub mengikuti sintaks JSON standar yang menentukan cara CSPM Security Hub diaktifkan dan dikonfigurasi di seluruh organisasi Anda. Memahami struktur kebijakan membantu Anda membuat kebijakan yang efektif untuk persyaratan keamanan Anda.

Pertimbangan-pertimbangan

Sebelum membuat kebijakan CSPM Security Hub, pahami poin-poin penting ini tentang sintaks kebijakan:

  • Keduanya enable_in_regions dan disable_in_regions daftar diperlukan dalam kebijakan, meskipun mereka bisa kosong

  • Saat memproses kebijakan yang efektif, disable_in_regions lebih diutamakan enable_in_regions

  • Kebijakan anak dapat mengubah kebijakan induk menggunakan operator pewarisan kecuali dibatasi secara eksplisit

  • ALL_SUPPORTEDPenunjukan tersebut mencakup wilayah saat ini dan masa depan

  • Nama wilayah harus valid dan tersedia di Security Hub CSPM

Struktur kebijakan dasar

Kebijakan CSPM Security Hub menggunakan struktur dasar ini:

{
  "securityhub": {
    "enable_in_regions": {
      "@@append": ["ALL_SUPPORTED"],
      "@@operators_allowed_for_child_policies": ["@@all"]
    },
    "disable_in_regions": {
      "@@append": [],
      "@@operators_allowed_for_child_policies": ["@@all"]
    }
  }
}

Komponen kebijakan

Kebijakan CSPM Security Hub berisi komponen-komponen utama berikut:

securityhub

Kontainer tingkat atas untuk setelan kebijakan

Diperlukan untuk semua kebijakan CSPM Security Hub

enable_in_regions

Daftar wilayah di mana Security Hub CSPM harus diaktifkan

Dapat berisi nama wilayah tertentu atau ALL_SUPPORTED

Bidang wajib tetapi bisa kosong

Saat menggunakanALL_SUPPORTED, termasuk wilayah future

disable_in_regions

Daftar wilayah di mana Security Hub CSPM harus dinonaktifkan

Dapat berisi nama wilayah tertentu atau ALL_SUPPORTED

Bidang wajib tetapi bisa kosong

Diutamakan daripada enable_in_regions ketika wilayah muncul di kedua daftar

Operator pewarisan

@ @assign - Menimpa nilai yang diwariskan

@ @append - Menambahkan nilai baru ke yang sudah ada

@ @remove - Menghapus nilai tertentu dari pengaturan yang diwariskan

Contoh kebijakan CSPM Security Hub

Contoh berikut menunjukkan konfigurasi kebijakan CSPM Security Hub yang umum.

Contoh di bawah ini memungkinkan Security Hub CSPM di semua wilayah saat ini dan masa depan. Dengan menggunakan ALL_SUPPORTED dalam enable_in_regions daftar dan membiarkan disable_in_regions kosong, kebijakan ini memastikan cakupan keamanan yang komprehensif saat wilayah baru tersedia.

{
   "securityhub":{
      "enable_in_regions":{
         "@@assign":[
            "ALL_SUPPORTED"
         ]
      },
      "disable_in_regions":{
         "@@assign":[
            
         ]
      }
   }
}

Contoh ini menonaktifkan CSPM Security Hub di semua wilayah termasuk wilayah masa depan karena disable_in_regions daftar lebih diutamakan. enable_in_regions

{
   "securityhub":{
      "enable_in_regions":{
         "@@assign":[
            "us-east-1",
            "us-west-2"
         ]
      },
      "disable_in_regions":{
         "@@assign":[
            "ALL_SUPPORTED"
         ]
      }
   }
}

Contoh berikut menunjukkan bagaimana kebijakan anak dapat mengubah pengaturan kebijakan induk menggunakan operator warisan. Pendekatan ini memungkinkan kontrol granular sambil mempertahankan struktur kebijakan secara keseluruhan. Kebijakan anak menambahkan wilayah baru ke enable_in_regions dan menghapus wilayahdisable_in_regions.

{
   "securityhub":{
      "enable_in_regions":{
         "@@append":[
            "eu-central-1"
         ]
      },
      "disable_in_regions":{
         "@@remove":[
            "us-west-2"
         ]
      }
   }
}

Contoh ini menunjukkan cara mengaktifkan Security Hub CSPM di beberapa wilayah tertentu tanpa menggunakan. ALL_SUPPORTED Ini memberikan kontrol yang tepat atas wilayah mana yang mengaktifkan CSPM Security Hub, sementara wilayah yang tidak ditentukan tidak dikelola oleh kebijakan.

{
   "securityhub":{
      "enable_in_regions":{
         "@@assign":[
            "us-east-1",
            "us-west-2",
            "eu-west-1",
            "ap-southeast-1"
         ]
      },
      "disable_in_regions":{
         "@@assign":[
            
         ]
      }
   }
}

Contoh berikut menunjukkan cara menangani persyaratan kepatuhan regional dengan mengaktifkan CSPM Security Hub di sebagian besar wilayah sambil menonaktifkannya secara eksplisit di lokasi tertentu. disable_in_regionsDaftar ini diutamakan, memastikan CSPM Security Hub tetap dinonaktifkan di wilayah tersebut terlepas dari pengaturan kebijakan lainnya.

{
   "securityhub":{
      "enable_in_regions":{
         "@@assign":[
            "ALL_SUPPORTED"
         ]
      },
      "disable_in_regions":{
         "@@assign":[
            "ap-east-1",
            "me-south-1"
         ]
      }
   }
}