Considerações Estrutura política básica Componentes da política Exemplos de políticas do Security Hub

Sintaxe e exemplos da política do Security Hub

As políticas do Security Hub seguem uma sintaxe JSON padronizada que define como o Security Hub é habilitado e configurado em toda a organização. Compreender a estrutura de políticas ajuda você a criar políticas eficazes para seus requisitos de segurança.

Considerações

Antes de criar políticas do Security Hub, entenda estes pontos-chave sobre a sintaxe da política:

enable_in_regionsTanto as disable_in_regions listas quanto as listas são obrigatórias na política, embora possam estar vazias.
Ao processar políticas efetivas, disable_in_regions tem precedência sobre enable_in_regions
As políticas secundárias podem modificar as políticas principais usando operadores de herança, a menos que sejam explicitamente restritas
A ALL_SUPPORTED designação inclui regiões atuais e futuras.
Os nomes das regiões devem ser válidos e estar disponíveis no Security Hub

Estrutura política básica

Uma política do Security Hub usa essa estrutura básica:


{
   "securityhub":{
      "enable_in_regions":[
         "us-east-1",
         "us-west-2"
      ],
      "disable_in_regions":[
         "eu-central-1"
      ]
   }
}

Componentes da política

As políticas do Security Hub contêm esses componentes principais:

securityhub

O contêiner de nível superior para configurações de políticas

Obrigatório para todas as políticas do Security Hub

enable_in_regions

Lista de regiões em que o Security Hub deve ser ativado

Pode conter nomes de regiões específicos ou ALL_SUPPORTED

Campo obrigatório, mas pode estar vazio

Ao usarALL_SUPPORTED, inclui futuras regiões

disable_in_regions

Lista de regiões onde o Security Hub deve ser desativado

Pode conter nomes de regiões específicos ou ALL_SUPPORTED

Campo obrigatório, mas pode estar vazio

Tem precedência sobre enable_in_regions quando as regiões aparecem nas duas listas

Operadores de herança

@ @assign - Substitui valores herdados

@ @append - Adiciona novos valores aos existentes

@ @remove - Remove valores específicos das configurações herdadas

Exemplos de políticas do Security Hub

Os exemplos a seguir demonstram configurações comuns de políticas do Security Hub.

O exemplo abaixo ativa o Security Hub em todas as regiões atuais e futuras. Ao usar ALL_SUPPORTED na enable_in_regions lista e deixar em disable_in_regions branco, essa política garante uma cobertura de segurança abrangente à medida que novas regiões se tornam disponíveis.


{
   "securityhub":{
      "enable_in_regions":{
         "@@assign":[
            "ALL_SUPPORTED"
         ]
      },
      "disable_in_regions":{
         "@@assign":[
            
         ]
      }
   }
}

Este exemplo desativa o Security Hub em todas as regiões, incluindo qualquer região futura, já que a disable_in_regions lista tem precedência. enable_in_regions


{
   "securityhub":{
      "enable_in_regions":{
         "@@assign":[
            "us-east-1",
            "us-west-2"
         ]
      },
      "disable_in_regions":{
         "@@assign":[
            "ALL_SUPPORTED"
         ]
      }
   }
}

O exemplo a seguir demonstra como as políticas secundárias podem modificar as configurações da política principal usando operadores de herança. Essa abordagem permite um controle granular enquanto mantém a estrutura geral da política. A política secundária adiciona uma nova região enable_in_regions e remove uma região dedisable_in_regions.


{
   "securityhub":{
      "enable_in_regions":{
         "@@append":[
            "eu-central-1"
         ]
      },
      "disable_in_regions":{
         "@@remove":[
            "us-west-2"
         ]
      }
   }
}

Este exemplo mostra como habilitar o Security Hub em várias regiões específicas sem usarALL_SUPPORTED. Isso fornece controle preciso sobre quais regiões têm o Security Hub ativado, enquanto deixa regiões não especificadas não gerenciadas pela política.


{
   "securityhub":{
      "enable_in_regions":{
         "@@assign":[
            "us-east-1",
            "us-west-2",
            "eu-west-1",
            "ap-southeast-1"
         ]
      },
      "disable_in_regions":{
         "@@assign":[
            
         ]
      }
   }
}

O exemplo a seguir demonstra como lidar com os requisitos de conformidade regionais ativando o Security Hub na maioria das regiões e, ao mesmo tempo, desativando-o explicitamente em locais específicos. A disable_in_regions lista tem precedência, garantindo que o Security Hub permaneça desativado nessas regiões, independentemente de outras configurações de política.


{
   "securityhub":{
      "enable_in_regions":{
         "@@assign":[
            "ALL_SUPPORTED"
         ]
      },
      "disable_in_regions":{
         "@@assign":[
            "ap-east-1",
            "me-south-1"
         ]
      }
   }
}

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Práticas recomendadas

Administrador delegado para AWS Organizations