Security Hub ポリシーの構文と例 - AWS Organizations
考慮事項基本的なポリシー構造ポリシーの構成要素Security Hub ポリシーの例

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Security Hub ポリシーの構文と例

Security Hub ポリシーは、組織全体で Security Hub を有効にして設定する方法を定義する標準化された JSON 構文に従います。ポリシー構造を理解することで、セキュリティ要件に合った効果的なポリシーを作成できます。

考慮事項

Security Hub ポリシーを作成する前に、ポリシー構文に関する以下の重要なポイントを理解してください。

  • enable_in_regions と の両方disable_in_regionsのリストはポリシーで必要ですが、空にすることができます

  • 有効なポリシーを処理する場合、 disable_in_regionsが優先されます。 enable_in_regions

  • 子ポリシーは、明示的に制限されていない限り、継承演算子を使用して親ポリシーを変更できます

  • ALL_SUPPORTED 指定には、現在および将来のリージョンの両方が含まれます。

  • リージョン名は有効で、Security Hub で使用できる必要があります

基本的なポリシー構造

Security Hub ポリシーは、次の基本構造を使用します。

{
   "securityhub":{
      "enable_in_regions":[
         "us-east-1",
         "us-west-2"
      ],
      "disable_in_regions":[
         "eu-central-1"
      ]
   }
}

ポリシーの構成要素

Security Hub ポリシーには、次の主要なコンポーネントが含まれています。

securityhub

ポリシー設定の最上位コンテナ

すべての Security Hub ポリシーに必須

enable_in_regions

Security Hub を有効にする必要があるリージョンのリスト

特定のリージョン名または を含めることができます ALL_SUPPORTED

必須フィールドですが、空にすることができます

を使用する場合ALL_SUPPORTED、 には将来のリージョンが含まれます。

disable_in_regions

Security Hub を無効にする必要があるリージョンのリスト

特定のリージョン名または を含めることができます ALL_SUPPORTED

必須フィールドですが、空にすることができます

両方のリストにリージョンが表示されるenable_in_regions場合よりも優先されます

継承演算子

@@assign - 継承された値を上書きします

@@append - 既存の値に新しい値を追加します

@@remove - 継承された設定から特定の値を削除します

Security Hub ポリシーの例

次の例は、一般的な Security Hub ポリシー設定を示しています。

以下の例では、現在および将来のすべてのリージョンで Security Hub を有効にします。enable_in_regions リストALL_SUPPORTEDで を使用し、disable_in_regions空のままにすることで、このポリシーは新しいリージョンが利用可能になったときに包括的なセキュリティカバレッジを確保します。

{
   "securityhub":{
      "enable_in_regions":{
         "@@assign":[
            "ALL_SUPPORTED"
         ]
      },
      "disable_in_regions":{
         "@@assign":[
            
         ]
      }
   }
}

この例では、disable_in_regionsリストが よりも優先されるため、将来のリージョンを含むすべてのリージョンで Security Hub を無効にしますenable_in_regions

{
   "securityhub":{
      "enable_in_regions":{
         "@@assign":[
            "us-east-1",
            "us-west-2"
         ]
      },
      "disable_in_regions":{
         "@@assign":[
            "ALL_SUPPORTED"
         ]
      }
   }
}

次の例は、子ポリシーが継承演算子を使用して親ポリシー設定を変更する方法を示しています。このアプローチにより、ポリシー構造全体を維持しながらきめ細かな制御が可能になります。子ポリシーは、 に新しいリージョンを追加enable_in_regionsし、 からリージョンを削除しますdisable_in_regions

{
   "securityhub":{
      "enable_in_regions":{
         "@@append":[
            "eu-central-1"
         ]
      },
      "disable_in_regions":{
         "@@remove":[
            "us-west-2"
         ]
      }
   }
}

この例では、 を使用せずに複数の特定のリージョンで Security Hub を有効にする方法を示しますALL_SUPPORTED。これにより、Security Hub が有効になっているリージョンを正確に制御できますが、指定されていないリージョンはポリシーによって管理されません。

{
   "securityhub":{
      "enable_in_regions":{
         "@@assign":[
            "us-east-1",
            "us-west-2",
            "eu-west-1",
            "ap-southeast-1"
         ]
      },
      "disable_in_regions":{
         "@@assign":[
            
         ]
      }
   }
}

次の例は、ほとんどのリージョンで Security Hub を有効にし、特定の場所で明示的に無効にすることで、リージョンのコンプライアンス要件を処理する方法を示しています。disable_in_regions リストが優先されるため、他のポリシー設定に関係なく、これらのリージョンで Security Hub が無効のままになります。

{
   "securityhub":{
      "enable_in_regions":{
         "@@assign":[
            "ALL_SUPPORTED"
         ]
      },
      "disable_in_regions":{
         "@@assign":[
            "ap-east-1",
            "me-south-1"
         ]
      }
   }
}