고려 사항 기본 정책 구조 정책 구성 요소 Security Hub 정책 예제

Security Hub 정책 구문 및 예제

Security Hub 정책은 조직 전체에서 Security Hub를 활성화하고 구성하는 방법을 정의하는 표준화된 JSON 구문을 따릅니다. 정책 구조를 이해하면 보안 요구 사항에 맞는 효과적인 정책을 생성하는 데 도움이 됩니다.

고려 사항

Security Hub 정책을 생성하기 전에 정책 구문에 대한 다음 주요 사항을 이해합니다.

정책에 enable_in_regions 및 disable_in_regions 목록이 모두 필요하지만 비어 있을 수 있습니다.
유효 정책을 처리할 때 disable_in_regions가 우선합니다. enable_in_regions
하위 정책은 명시적으로 제한되지 않는 한 상속 연산자를 사용하여 상위 정책을 수정할 수 있습니다.
ALL_SUPPORTED 지정에는 현재 리전과 미래 리전이 모두 포함됩니다.
리전 이름은 유효해야 하며 Security Hub에서 사용할 수 있어야 합니다.

기본 정책 구조

Security Hub 정책은 다음과 같은 기본 구조를 사용합니다.


{
   "securityhub":{
      "enable_in_regions":[
         "us-east-1",
         "us-west-2"
      ],
      "disable_in_regions":[
         "eu-central-1"
      ]
   }
}

정책 구성 요소

Security Hub 정책에는 다음과 같은 주요 구성 요소가 포함되어 있습니다.

securityhub

정책 설정을 위한 최상위 컨테이너

모든 Security Hub 정책에 필요

enable_in_regions

Security Hub를 활성화해야 하는 리전 목록

특정 리전 이름 또는를 포함할 수 있습니다. ALL_SUPPORTED

필수 필드이지만 비어 있을 수 있음

사용 시 향후 리전 ALL_SUPPORTED포함

disable_in_regions

Security Hub를 비활성화해야 하는 리전 목록

특정 리전 이름 또는를 포함할 수 있습니다. ALL_SUPPORTED

필수 필드이지만 비어 있을 수 있음

리전이 두 목록에 모두 나타날 enable_in_regions 때 우선합니다.

상속 연산자

@@assign - 상속된 값을 덮어씁니다.

@@append - 기존 값에 새 값 추가

@@remove - 상속된 설정에서 특정 값을 제거합니다.

Security Hub 정책 예제

다음 예제에서는 일반적인 Security Hub 정책 구성을 보여줍니다.

아래 예제에서는 모든 현재 및 향후 리전에서 Security Hub를 활성화합니다. enable_in_regions 목록에서 ALL_SUPPORTED를 사용하고 disable_in_regions 비워 두면 새 리전을 사용할 수 있을 때 포괄적인 보안 적용 범위가 보장됩니다.


{
   "securityhub":{
      "enable_in_regions":{
         "@@assign":[
            "ALL_SUPPORTED"
         ]
      },
      "disable_in_regions":{
         "@@assign":[
            
         ]
      }
   }
}

이 예제에서는 disable_in_regions 목록이 보다 우선하므로 향후 리전을 포함한 모든 리전에서 Security Hub를 비활성화합니다enable_in_regions.


{
   "securityhub":{
      "enable_in_regions":{
         "@@assign":[
            "us-east-1",
            "us-west-2"
         ]
      },
      "disable_in_regions":{
         "@@assign":[
            "ALL_SUPPORTED"
         ]
      }
   }
}

다음 예제에서는 하위 정책이 상속 연산자를 사용하여 상위 정책 설정을 수정하는 방법을 보여줍니다. 이 접근 방식을 사용하면 전체 정책 구조를 유지하면서 세부적으로 제어할 수 있습니다. 하위 정책은에 새 리전을 추가enable_in_regions하고에서 리전을 제거합니다disable_in_regions.


{
   "securityhub":{
      "enable_in_regions":{
         "@@append":[
            "eu-central-1"
         ]
      },
      "disable_in_regions":{
         "@@remove":[
            "us-west-2"
         ]
      }
   }
}

이 예제에서는를 사용하지 않고 여러 특정 리전에서 Security Hub를 활성화하는 방법을 보여줍니다ALL_SUPPORTED. 이렇게 하면 Security Hub가 활성화된 리전을 정확하게 제어할 수 있으며, 지정되지 않은 리전은 정책에 의해 관리되지 않습니다.


{
   "securityhub":{
      "enable_in_regions":{
         "@@assign":[
            "us-east-1",
            "us-west-2",
            "eu-west-1",
            "ap-southeast-1"
         ]
      },
      "disable_in_regions":{
         "@@assign":[
            
         ]
      }
   }
}

다음 예제에서는 대부분의 리전에서 Security Hub를 활성화하고 특정 위치에서 명시적으로 비활성화하여 리전 규정 준수 요구 사항을 처리하는 방법을 보여줍니다. 이 disable_in_regions 목록이 우선하므로 다른 정책 설정에 관계없이 해당 리전에서 Security Hub가 비활성화된 상태로 유지됩니다.


{
   "securityhub":{
      "enable_in_regions":{
         "@@assign":[
            "ALL_SUPPORTED"
         ]
      },
      "disable_in_regions":{
         "@@assign":[
            "ap-east-1",
            "me-south-1"
         ]
      }
   }
}

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

모범 사례

에 대한 위임된 관리자 AWS Organizations