Sintassi ed esempi delle policy di Security Hub - AWS Organizations
ConsiderazioniStruttura politica di baseComponenti della politicaEsempi di policy di Security Hub

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Sintassi ed esempi delle policy di Security Hub

Le policy di Security Hub seguono una sintassi JSON standardizzata che definisce il modo in cui Security Hub è abilitato e configurato all'interno dell'organizzazione. La comprensione della struttura delle politiche consente di creare politiche efficaci per i requisiti di sicurezza.

Considerazioni

Prima di creare le policy di Security Hub, comprendi questi punti chiave sulla sintassi delle policy:

  • Entrambi enable_in_regions gli disable_in_regions elenchi sono obbligatori nella policy, sebbene possano essere vuoti

  • Nell'elaborazione di politiche efficaci, ha la disable_in_regions precedenza su enable_in_regions

  • Le politiche secondarie possono modificare le politiche principali utilizzando operatori di ereditarietà, a meno che non siano esplicitamente limitate

  • La ALL_SUPPORTED designazione include regioni attuali e future

  • I nomi delle aree devono essere validi e disponibili in Security Hub

Struttura politica di base

Una policy Security Hub utilizza questa struttura di base:

{
   "securityhub":{
      "enable_in_regions":[
         "us-east-1",
         "us-west-2"
      ],
      "disable_in_regions":[
         "eu-central-1"
      ]
   }
}

Componenti della politica

Le policy di Security Hub contengono questi componenti chiave:

securityhub

Il contenitore di primo livello per le impostazioni delle politiche

Obbligatorio per tutte le policy di Security Hub

enable_in_regions

Elenco delle regioni in cui deve essere abilitato Security Hub

Può contenere nomi di regioni specifici o ALL_SUPPORTED

Campo obbligatorio ma può essere vuoto

In caso di utilizzoALL_SUPPORTED, include le regioni future

disable_in_regions

Elenco delle regioni in cui il Security Hub deve essere disabilitato

Può contenere nomi di regioni specifici o ALL_SUPPORTED

Campo obbligatorio ma può essere vuoto

Ha la precedenza su enable_in_regions quando le regioni appaiono in entrambi gli elenchi

Operatori di ereditarietà

@ @assign - Sovrascrive i valori ereditati

@ @append - Aggiunge nuovi valori a quelli esistenti

@ @remove - Rimuove valori specifici dalle impostazioni ereditate

Esempi di policy di Security Hub

Gli esempi seguenti mostrano configurazioni comuni delle policy di Security Hub.

L'esempio seguente abilita Security Hub in tutte le regioni attuali e future. Inserendola ALL_SUPPORTED nell'enable_in_regionselenco e lasciandola disable_in_regions vuota, questa politica garantisce una copertura di sicurezza completa man mano che nuove regioni diventano disponibili.

{
   "securityhub":{
      "enable_in_regions":{
         "@@assign":[
            "ALL_SUPPORTED"
         ]
      },
      "disable_in_regions":{
         "@@assign":[
            
         ]
      }
   }
}

Questo esempio disabilita Security Hub in tutte le regioni, comprese le aree future, poiché l'disable_in_regionselenco ha la precedenza su. enable_in_regions

{
   "securityhub":{
      "enable_in_regions":{
         "@@assign":[
            "us-east-1",
            "us-west-2"
         ]
      },
      "disable_in_regions":{
         "@@assign":[
            "ALL_SUPPORTED"
         ]
      }
   }
}

L'esempio seguente dimostra come le politiche secondarie possono modificare le impostazioni delle politiche principali utilizzando operatori di ereditarietà. Questo approccio consente un controllo granulare mantenendo al contempo la struttura generale delle politiche. La politica per i bambini aggiunge una nuova regione enable_in_regions e ne rimuove una dadisable_in_regions.

{
   "securityhub":{
      "enable_in_regions":{
         "@@append":[
            "eu-central-1"
         ]
      },
      "disable_in_regions":{
         "@@remove":[
            "us-west-2"
         ]
      }
   }
}

Questo esempio mostra come abilitare Security Hub in più aree specifiche senza utilizzarloALL_SUPPORTED. Ciò fornisce un controllo preciso su quali aree hanno il Security Hub abilitato, lasciando le aree non specificate non gestite dalla policy.

{
   "securityhub":{
      "enable_in_regions":{
         "@@assign":[
            "us-east-1",
            "us-west-2",
            "eu-west-1",
            "ap-southeast-1"
         ]
      },
      "disable_in_regions":{
         "@@assign":[
            
         ]
      }
   }
}

L'esempio seguente dimostra come gestire i requisiti di conformità regionali abilitando Security Hub nella maggior parte delle regioni e disabilitandolo esplicitamente in posizioni specifiche. L'disable_in_regionselenco ha la precedenza, garantendo che Security Hub rimanga disabilitato in quelle aree indipendentemente dalle altre impostazioni dei criteri.

{
   "securityhub":{
      "enable_in_regions":{
         "@@assign":[
            "ALL_SUPPORTED"
         ]
      },
      "disable_in_regions":{
         "@@assign":[
            "ap-east-1",
            "me-south-1"
         ]
      }
   }
}