기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# Security Hub 정책 구문 및 예제
<a name="orgs_manage_policies_security_hub_syntax"></a>

Security Hub 정책은 조직 전체에서 Security Hub를 활성화하고 구성하는 방법을 정의하는 표준화된 JSON 구문을 따릅니다. 정책 구조를 이해하면 보안 요구 사항에 맞는 효과적인 정책을 생성하는 데 도움이 됩니다.

## 고려 사항
<a name="security-hub-policy-considerations"></a>

Security Hub 정책을 생성하기 전에 정책 구문에 대한 다음 주요 사항을 이해합니다.
+ 정책에는 `enable_in_regions` 및 `disable_in_regions` 목록이 모두 필요하지만 비어 있을 수 있습니다.
+ 유효 정책을 처리할 때 `enable_in_regions`보다 `disable_in_regions`가 우선합니다.
+ 명시적으로 제한되지 않는 한 하위 정책이 상속 연산자를 사용하여 상위 정책을 수정할 수 있습니다.
+ `ALL_SUPPORTED` 지정에는 현재 리전과 미래 리전이 모두 포함됩니다.
+ 리전 이름은 유효해야 하며 Security Hub에서 사용할 수 있어야 합니다.

## 기본 정책 구조
<a name="security-hub-basic-structure"></a>

Security Hub 정책은 다음과 같은 기본 구조를 사용합니다.

```
{
  "securityhub": {
    "enable_in_regions": {
      "@@append": ["ALL_SUPPORTED"],
      "@@operators_allowed_for_child_policies": ["@@all"]
    },
    "disable_in_regions": {
      "@@append": [],
      "@@operators_allowed_for_child_policies": ["@@all"]
    }
  }
}
```

## 정책 구성 요소
<a name="security-hub-policy-components"></a>

Security Hub 정책에는 다음과 같은 주요 구성 요소가 포함되어 있습니다.

`securityhub`  
정책 설정을 위한 최상위 컨테이너  
모든 Security Hub 정책에 필요

`enable_in_regions`  
Security Hub를 활성화해야 하는 리전 목록  
특정 리전 이름 또는 `ALL_SUPPORTED` 포함 가능  
필수 필드이지만 비어 있을 수 있음  
`ALL_SUPPORTED` 사용 시 향후 리전 포함

`disable_in_regions`  
Security Hub를 비활성화해야 하는 리전 목록  
특정 리전 이름 또는 `ALL_SUPPORTED` 포함 가능  
필수 필드이지만 비어 있을 수 있음  
리전이 두 목록에 모두 나타날 `enable_in_regions`보다 우선함

상속 연산자  
@@assign - 상속된 값을 덮어씀  
@@append - 기존 값에 새 값 추가  
@@remove - 상속된 설정에서 특정 값을 제거

## Security Hub 정책 예제
<a name="security-hub-policy-examples"></a>

다음 예제에서는 일반적인 Security Hub 정책 구성을 보여줍니다.

아래 예제에서는 모든 현재 및 향후 리전에서 Security Hub를 활성화합니다. `enable_in_regions` 목록에서 `ALL_SUPPORTED`을(를) 사용하고 `disable_in_regions`을(를) 비워 두면 새 리전을 사용할 수 있게 될 때 이 정책이 포괄적인 보안 적용 범위를 보장합니다.

```
{
   "securityhub":{
      "enable_in_regions":{
         "@@assign":[
            "ALL_SUPPORTED"
         ]
      },
      "disable_in_regions":{
         "@@assign":[
            
         ]
      }
   }
}
```

이 예제에서는 `disable_in_regions` 목록이 `enable_in_regions`보다 우선하므로 향후 리전을 포함한 모든 리전에서 Security Hub를 비활성화합니다.

```
{
   "securityhub":{
      "enable_in_regions":{
         "@@assign":[
            "us-east-1",
            "us-west-2"
         ]
      },
      "disable_in_regions":{
         "@@assign":[
            "ALL_SUPPORTED"
         ]
      }
   }
}
```

다음 예제에서는 하위 정책이 상속 연산자를 사용하여 상위 정책 설정을 수정하는 방법을 보여줍니다. 이 접근 방식을 사용하면 전체 정책 구조를 유지하면서 세부적으로 제어할 수 있습니다. 하위 정책은 `enable_in_regions`에 새 리전을 추가하고 `disable_in_regions`에서 리전을 제거합니다.

```
{
   "securityhub":{
      "enable_in_regions":{
         "@@append":[
            "eu-central-1"
         ]
      },
      "disable_in_regions":{
         "@@remove":[
            "us-west-2"
         ]
      }
   }
}
```

이 예제에서는 `ALL_SUPPORTED`을(를) 사용하지 않고 여러 특정 리전에서 Security Hub를 활성화하는 방법을 보여줍니다. 이를 통해 Security Hub가 활성화된 리전을 정밀하게 제어할 수 있으며, 지정되지 않은 리전은 정책의 적용을 받지 않게 됩니다.

```
{
   "securityhub":{
      "enable_in_regions":{
         "@@assign":[
            "us-east-1",
            "us-west-2",
            "eu-west-1",
            "ap-southeast-1"
         ]
      },
      "disable_in_regions":{
         "@@assign":[
            
         ]
      }
   }
}
```

다음 예제에서는 대부분의 리전에서 Security Hub를 활성화하고 특정 위치에서는 명시적으로 비활성화하여 리전 규정 준수 요구 사항을 처리하는 방법을 보여줍니다. 이 `disable_in_regions` 목록이 우선하므로 다른 정책 설정에 관계없이 해당 리전에서 Security Hub가 비활성화된 상태로 유지됩니다.

```
{
   "securityhub":{
      "enable_in_regions":{
         "@@assign":[
            "ALL_SUPPORTED"
         ]
      },
      "disable_in_regions":{
         "@@assign":[
            "ap-east-1",
            "me-south-1"
         ]
      }
   }
}
```