Pertimbangan Struktur kebijakan dasar Komponen kebijakan Contoh kebijakan Security Hub

Sintaks kebijakan Security Hub dan contoh

Kebijakan Security Hub mengikuti sintaks JSON standar yang menentukan cara Security Hub diaktifkan dan dikonfigurasi di seluruh organisasi Anda. Memahami struktur kebijakan membantu Anda membuat kebijakan yang efektif untuk persyaratan keamanan Anda.

Pertimbangan

Sebelum membuat kebijakan Security Hub, pahami poin-poin penting ini tentang sintaks kebijakan:

Keduanya enable_in_regions dan disable_in_regions daftar diperlukan dalam kebijakan, meskipun mereka bisa kosong
Saat memproses kebijakan yang efektif, disable_in_regions lebih diutamakan enable_in_regions
Kebijakan anak dapat mengubah kebijakan induk menggunakan operator pewarisan kecuali dibatasi secara eksplisit
ALL_SUPPORTEDPenunjukan tersebut mencakup wilayah saat ini dan masa depan
Nama wilayah harus valid dan tersedia di Security Hub

Struktur kebijakan dasar

Kebijakan Security Hub menggunakan struktur dasar ini:


{
   "securityhub":{
      "enable_in_regions":[
         "us-east-1",
         "us-west-2"
      ],
      "disable_in_regions":[
         "eu-central-1"
      ]
   }
}

Komponen kebijakan

Kebijakan Security Hub berisi komponen-komponen utama berikut:

securityhub

Kontainer tingkat atas untuk setelan kebijakan

Diperlukan untuk semua kebijakan Security Hub

enable_in_regions

Daftar wilayah di mana Security Hub harus diaktifkan

Dapat berisi nama wilayah tertentu atau ALL_SUPPORTED

Bidang wajib tetapi bisa kosong

Saat menggunakanALL_SUPPORTED, termasuk wilayah future

disable_in_regions

Daftar wilayah di mana Security Hub harus dinonaktifkan

Dapat berisi nama wilayah tertentu atau ALL_SUPPORTED

Bidang wajib tetapi bisa kosong

Diutamakan daripada enable_in_regions ketika wilayah muncul di kedua daftar

Operator pewarisan

@ @assign - Menimpa nilai yang diwariskan

@ @append - Menambahkan nilai baru ke yang sudah ada

@ @remove - Menghapus nilai tertentu dari pengaturan yang diwariskan

Contoh kebijakan Security Hub

Contoh berikut menunjukkan konfigurasi kebijakan Security Hub yang umum.

Contoh di bawah ini memungkinkan Security Hub di semua wilayah saat ini dan masa depan. Dengan menggunakan ALL_SUPPORTED dalam enable_in_regions daftar dan membiarkan disable_in_regions kosong, kebijakan ini memastikan cakupan keamanan yang komprehensif saat wilayah baru tersedia.


{
   "securityhub":{
      "enable_in_regions":{
         "@@assign":[
            "ALL_SUPPORTED"
         ]
      },
      "disable_in_regions":{
         "@@assign":[
            
         ]
      }
   }
}

Contoh ini menonaktifkan Security Hub di semua wilayah termasuk wilayah masa depan karena disable_in_regions daftar lebih diutamakan. enable_in_regions


{
   "securityhub":{
      "enable_in_regions":{
         "@@assign":[
            "us-east-1",
            "us-west-2"
         ]
      },
      "disable_in_regions":{
         "@@assign":[
            "ALL_SUPPORTED"
         ]
      }
   }
}

Contoh berikut menunjukkan bagaimana kebijakan anak dapat mengubah pengaturan kebijakan induk menggunakan operator warisan. Pendekatan ini memungkinkan kontrol granular sambil mempertahankan struktur kebijakan secara keseluruhan. Kebijakan anak menambahkan wilayah baru ke enable_in_regions dan menghapus wilayahdisable_in_regions.


{
   "securityhub":{
      "enable_in_regions":{
         "@@append":[
            "eu-central-1"
         ]
      },
      "disable_in_regions":{
         "@@remove":[
            "us-west-2"
         ]
      }
   }
}

Contoh ini menunjukkan cara mengaktifkan Security Hub di beberapa wilayah tertentu tanpa menggunakanALL_SUPPORTED. Ini memberikan kontrol yang tepat atas wilayah mana yang mengaktifkan Security Hub, sementara wilayah yang tidak ditentukan tidak dikelola oleh kebijakan.


{
   "securityhub":{
      "enable_in_regions":{
         "@@assign":[
            "us-east-1",
            "us-west-2",
            "eu-west-1",
            "ap-southeast-1"
         ]
      },
      "disable_in_regions":{
         "@@assign":[
            
         ]
      }
   }
}

Contoh berikut menunjukkan cara menangani persyaratan kepatuhan regional dengan mengaktifkan Security Hub di sebagian besar wilayah sambil menonaktifkannya secara eksplisit di lokasi tertentu. disable_in_regionsDaftar ini diutamakan, memastikan Security Hub tetap dinonaktifkan di wilayah tersebut terlepas dari pengaturan kebijakan lainnya.


{
   "securityhub":{
      "enable_in_regions":{
         "@@assign":[
            "ALL_SUPPORTED"
         ]
      },
      "disable_in_regions":{
         "@@assign":[
            "ap-east-1",
            "me-south-1"
         ]
      }
   }
}

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Praktik terbaik

Administrator yang didelegasikan untuk AWS Organizations