AWSSecurity Hub e endpoint VPC di interfaccia () AWS PrivateLink - AWSSecurity Hub
Considerazioni sugli endpoint VPC di Security HubCreazione di un endpoint VPC di interfaccia per Security HubCreazione di una policy per gli endpoint VPC per Security HubSottoreti condivise

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWSSecurity Hub e endpoint VPC di interfaccia () AWS PrivateLink

Puoi stabilire una connessione privata tra il tuo VPC e AWS Security Hub creando un endpoint VPC di interfaccia. Gli endpoint di interfaccia sono alimentati da AWS PrivateLink, una tecnologia che consente di accedere in modo privato a Security Hub APIs senza un gateway Internet, un dispositivo NAT, una connessione VPN o una connessione AWS Direct Connect. Le istanze nel tuo VPC non necessitano di indirizzi IP pubblici per comunicare con Security Hub. APIs Il traffico tra il tuo VPC e Security Hub non esce dalla rete Amazon.

Ogni endpoint dell'interfaccia è rappresentato da una o più interfacce di rete elastiche nelle sottoreti. Per ulteriori informazioni, consulta Accedere a un endpoint VPC Servizio AWS con interfaccia nella Amazon Virtual Private Cloud Guide.

Considerazioni sugli endpoint VPC di Security Hub

Prima di configurare un endpoint VPC di interfaccia per Security Hub, assicurati di rivedere i prerequisiti e altre informazioni nella Amazon Virtual Private Cloud Guide.

Security Hub supporta le chiamate a tutte le sue azioni API dal tuo VPC.

Creazione di un endpoint VPC di interfaccia per Security Hub

Puoi creare un endpoint VPC per il servizio Security Hub utilizzando la console Amazon VPC o il (). AWS Command Line Interface AWS CLI Per ulteriori informazioni, consulta Creare un endpoint VPC nella Amazon Virtual Private Cloud Guide.

Crea un endpoint VPC per Security Hub utilizzando il seguente nome di servizio:

com.amazonaws.region.securityhub

regionDov'è il codice regionale applicabile. Regione AWS

Se abiliti il DNS privato per l'endpoint, puoi effettuare richieste API a Security Hub utilizzando il nome DNS predefinito per la regione, securityhub.us-east-1.amazonaws.com ad esempio per la regione Stati Uniti orientali (Virginia settentrionale).

Creazione di una policy per gli endpoint VPC per Security Hub

Puoi allegare una policy per gli endpoint al tuo endpoint VPC che controlla l'accesso a Security Hub. La policy specifica le informazioni riportate di seguito:

  • Il principale che può eseguire operazioni.

  • Le azioni che possono essere eseguite.

  • Le risorse sui cui si possono eseguire azioni.

Per ulteriori informazioni, consulta Controllare l'accesso agli endpoint VPC utilizzando le policy degli endpoint nella Amazon Virtual Private Cloud Guide.

Esempio: policy degli endpoint VPC per le azioni di Security Hub

Di seguito è riportato un esempio di policy sugli endpoint per Security Hub. Se collegata a un endpoint, questa politica consente l'accesso alle azioni elencate del Security Hub per tutti i principali su tutte le risorse.

{
   "Statement":[
      {
         "Principal":"*",
         "Effect":"Allow",
         "Action":[
            "securityhub:getFindings",
            "securityhub:getEnabledStandards",
            "securityhub:getInsights"
         ],
         "Resource":"*"
      }
   ]
}

Sottoreti condivise

Non puoi creare, descrivere, modificare o eliminare gli endpoint VPC nelle sottoreti condivise con te. Tuttavia, puoi utilizzare gli endpoint VPC in sottoreti condivise con te. Per informazioni sulla condivisione VPC, consulta Condividi le tue sottoreti VPC con altri account nella Amazon Virtual Private Cloud Guide.