Security Hub 策略语法和示例 - AWS Organizations
注意事项基本策略结构策略组件Security Hub 策略示例

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Security Hub 策略语法和示例

Security Hub 策略遵循标准化的 JSON 语法,该语法定义了如何在整个组织中启用和配置 Security Hub。了解策略结构有助于您针对自己的安全需求创建有效的策略。

注意事项

在创建 Security Hub 策略之前,请了解有关策略语法的以下要点:

  • 策略中必须同时包含enable_in_regionsdisable_in_regions列表,但它们可以为空

  • 处理有效策略时,disable_in_regions优先于 enable_in_regions

  • 除非明确限制,否则子策略可以使用继承运算符修改父策略

  • ALL_SUPPORTED名称包括当前和将来的区域

  • 区域名称必须有效且在 Security Hub 中可用

基本策略结构

Security Hub 策略使用以下基本结构:

{
   "securityhub":{
      "enable_in_regions":[
         "us-east-1",
         "us-west-2"
      ],
      "disable_in_regions":[
         "eu-central-1"
      ]
   }
}

策略组件

Security Hub 策略包含以下关键组件:

securityhub

策略设置的顶级容器

所有 Security Hub 策略均为必填项

enable_in_regions

应启用 Security Hub 的区域列表

可以包含特定的区域名称或 ALL_SUPPORTED

必填字段,但可以为空

使用时ALL_SUPPORTED,包括 future 区域

disable_in_regions

应禁用 Security Hub 的区域列表

可以包含特定的区域名称或 ALL_SUPPORTED

必填字段,但可以为空

优先于两个列表中都enable_in_regions出现区域的情况

继承运算符

@ @assign-覆盖继承的值

@ @append-为现有值添加新值

@ @remove-从继承的设置中移除特定值

Security Hub 策略示例

以下示例演示了常见的 Security Hub 策略配置。

以下示例在所有当前和将来的区域中启用 Security Hub。通过在enable_in_regions列表ALL_SUPPORTED中使用并留disable_in_regions空,此策略可确保在新区域可用时提供全面的安全保障。

{
   "securityhub":{
      "enable_in_regions":{
         "@@assign":[
            "ALL_SUPPORTED"
         ]
      },
      "disable_in_regions":{
         "@@assign":[
            
         ]
      }
   }
}

此示例禁用所有区域的 Security Hub,包括任何 future 区域,因为disable_in_regions列表优先enable_in_regions于。

{
   "securityhub":{
      "enable_in_regions":{
         "@@assign":[
            "us-east-1",
            "us-west-2"
         ]
      },
      "disable_in_regions":{
         "@@assign":[
            "ALL_SUPPORTED"
         ]
      }
   }
}

以下示例演示了子策略如何使用继承运算符修改父策略设置。这种方法允许在保持整体策略结构的同时进行精细控制。子政策向其中添加一个新区域,enable_in_regions并从中删除一个区域disable_in_regions

{
   "securityhub":{
      "enable_in_regions":{
         "@@append":[
            "eu-central-1"
         ]
      },
      "disable_in_regions":{
         "@@remove":[
            "us-west-2"
         ]
      }
   }
}

此示例说明如何在不使用的情况下在多个特定区域启用 Security Hub ALL_SUPPORTED。这可以精确控制哪些区域启用了 Security Hub,同时使未指定的区域不受策略的管理。

{
   "securityhub":{
      "enable_in_regions":{
         "@@assign":[
            "us-east-1",
            "us-west-2",
            "eu-west-1",
            "ap-southeast-1"
         ]
      },
      "disable_in_regions":{
         "@@assign":[
            
         ]
      }
   }
}

以下示例演示了如何通过在大多数地区启用 Security Hub,同时在特定位置明确禁用 Security Hub 来处理区域合规性要求。该disable_in_regions列表优先,确保无论其他策略设置如何,这些区域的 Security Hub 仍处于禁用状态。

{
   "securityhub":{
      "enable_in_regions":{
         "@@assign":[
            "ALL_SUPPORTED"
         ]
      },
      "disable_in_regions":{
         "@@assign":[
            "ap-east-1",
            "me-south-1"
         ]
      }
   }
}