Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Sintaks kebijakan Security Hub dan contoh
<a name="orgs_manage_policies_security_hub_syntax"></a>

Kebijakan Security Hub mengikuti sintaks JSON standar yang menentukan cara Security Hub diaktifkan dan dikonfigurasi di seluruh organisasi Anda. Memahami struktur kebijakan membantu Anda membuat kebijakan yang efektif untuk persyaratan keamanan Anda.

## Pertimbangan-pertimbangan
<a name="security-hub-policy-considerations"></a>

Sebelum membuat kebijakan Security Hub, pahami poin-poin penting ini tentang sintaks kebijakan:
+ Keduanya `enable_in_regions` dan `disable_in_regions` daftar diperlukan dalam kebijakan, meskipun mereka bisa kosong
+ Saat memproses kebijakan yang efektif, `disable_in_regions` lebih diutamakan `enable_in_regions`
+ Kebijakan anak dapat mengubah kebijakan induk menggunakan operator pewarisan kecuali dibatasi secara eksplisit
+ `ALL_SUPPORTED`Penunjukan tersebut mencakup wilayah saat ini dan masa depan
+ Nama wilayah harus valid dan tersedia di Security Hub

## Struktur kebijakan dasar
<a name="security-hub-basic-structure"></a>

Kebijakan Security Hub menggunakan struktur dasar ini:

```
{
  "securityhub": {
    "enable_in_regions": {
      "@@append": ["ALL_SUPPORTED"],
      "@@operators_allowed_for_child_policies": ["@@all"]
    },
    "disable_in_regions": {
      "@@append": [],
      "@@operators_allowed_for_child_policies": ["@@all"]
    }
  }
}
```

## Komponen kebijakan
<a name="security-hub-policy-components"></a>

Kebijakan Security Hub berisi komponen-komponen utama berikut:

`securityhub`  
Kontainer tingkat atas untuk setelan kebijakan  
Diperlukan untuk semua kebijakan Security Hub

`enable_in_regions`  
Daftar wilayah di mana Security Hub harus diaktifkan  
Dapat berisi nama wilayah tertentu atau `ALL_SUPPORTED`  
Bidang wajib tetapi bisa kosong  
Saat menggunakan`ALL_SUPPORTED`, termasuk wilayah future

`disable_in_regions`  
Daftar wilayah di mana Security Hub harus dinonaktifkan  
Dapat berisi nama wilayah tertentu atau `ALL_SUPPORTED`  
Bidang wajib tetapi bisa kosong  
Diutamakan daripada `enable_in_regions` ketika wilayah muncul di kedua daftar

Operator pewarisan  
@ @assign - Menimpa nilai yang diwariskan  
@ @append - Menambahkan nilai baru ke yang sudah ada  
@ @remove - Menghapus nilai tertentu dari pengaturan yang diwariskan

## Contoh kebijakan Security Hub
<a name="security-hub-policy-examples"></a>

Contoh berikut menunjukkan konfigurasi kebijakan Security Hub yang umum. 

Contoh di bawah ini memungkinkan Security Hub di semua wilayah saat ini dan masa depan. Dengan menggunakan `ALL_SUPPORTED` dalam `enable_in_regions` daftar dan membiarkan `disable_in_regions` kosong, kebijakan ini memastikan cakupan keamanan yang komprehensif saat wilayah baru tersedia.

```
{
   "securityhub":{
      "enable_in_regions":{
         "@@assign":[
            "ALL_SUPPORTED"
         ]
      },
      "disable_in_regions":{
         "@@assign":[
            
         ]
      }
   }
}
```

Contoh ini menonaktifkan Security Hub di semua wilayah termasuk wilayah masa depan karena `disable_in_regions` daftar lebih diutamakan. `enable_in_regions`

```
{
   "securityhub":{
      "enable_in_regions":{
         "@@assign":[
            "us-east-1",
            "us-west-2"
         ]
      },
      "disable_in_regions":{
         "@@assign":[
            "ALL_SUPPORTED"
         ]
      }
   }
}
```

Contoh berikut menunjukkan bagaimana kebijakan anak dapat mengubah pengaturan kebijakan induk menggunakan operator warisan. Pendekatan ini memungkinkan kontrol granular sambil mempertahankan struktur kebijakan secara keseluruhan. Kebijakan anak menambahkan wilayah baru ke `enable_in_regions` dan menghapus wilayah`disable_in_regions`.

```
{
   "securityhub":{
      "enable_in_regions":{
         "@@append":[
            "eu-central-1"
         ]
      },
      "disable_in_regions":{
         "@@remove":[
            "us-west-2"
         ]
      }
   }
}
```

Contoh ini menunjukkan cara mengaktifkan Security Hub di beberapa wilayah tertentu tanpa menggunakan`ALL_SUPPORTED`. Ini memberikan kontrol yang tepat atas wilayah mana yang mengaktifkan Security Hub, sementara wilayah yang tidak ditentukan tidak dikelola oleh kebijakan.

```
{
   "securityhub":{
      "enable_in_regions":{
         "@@assign":[
            "us-east-1",
            "us-west-2",
            "eu-west-1",
            "ap-southeast-1"
         ]
      },
      "disable_in_regions":{
         "@@assign":[
            
         ]
      }
   }
}
```

Contoh berikut menunjukkan cara menangani persyaratan kepatuhan regional dengan mengaktifkan Security Hub di sebagian besar wilayah sambil menonaktifkannya secara eksplisit di lokasi tertentu. `disable_in_regions`Daftar ini diutamakan, memastikan Security Hub tetap dinonaktifkan di wilayah tersebut terlepas dari pengaturan kebijakan lainnya.

```
{
   "securityhub":{
      "enable_in_regions":{
         "@@assign":[
            "ALL_SUPPORTED"
         ]
      },
      "disable_in_regions":{
         "@@assign":[
            "ap-east-1",
            "me-south-1"
         ]
      }
   }
}
```