Security Hub 政策語法和範例 - AWS Organizations

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Security Hub 政策語法和範例

Security Hub 政策遵循標準化的 JSON 語法,該語法定義了在整個組織中啟用和設定 Security Hub 的方式。了解政策結構可協助您為您的安全需求建立有效的政策。

考量事項

建立 Security Hub 政策之前,請先了解政策語法的這些要點:

  • 政策中需要 enable_in_regionsdisable_in_regions清單,但它們可以是空的

  • 處理有效政策時, disable_in_regions 優先於 enable_in_regions

  • 除非明確限制,否則子政策可以使用繼承運算子修改父政策

  • ALL_SUPPORTED 指定項目包括目前和未來的區域

  • 區域名稱必須在 Security Hub 中有效且可用

基本政策結構

Security Hub 政策使用以下基本結構:

{ "securityhub":{ "enable_in_regions":[ "us-east-1", "us-west-2" ], "disable_in_regions":[ "eu-central-1" ] } }

政策元件

Security Hub 政策包含下列重要元件:

securityhub

政策設定的頂層容器

所有 Security Hub 政策都需要

enable_in_regions

應啟用 Security Hub 的區域清單

可包含特定區域名稱或 ALL_SUPPORTED

必要欄位,但可為空白

使用 時ALL_SUPPORTED, 包含未來的區域

disable_in_regions

應停用 Security Hub 的區域清單

可包含特定區域名稱或 ALL_SUPPORTED

必要欄位,但可為空白

當區域出現在兩個清單中enable_in_regions時,優先考慮

繼承運算子

@@指派 - 覆寫繼承的值

@@附加 - 將新值新增至現有值

@@移除 - 從繼承的設定中移除特定值

Security Hub 政策範例

下列範例示範常見的 Security Hub 政策組態。

以下範例會在所有目前和未來的區域中啟用 Security Hub。透過ALL_SUPPORTEDenable_in_regions清單中使用 並保持disable_in_regions空白,此政策可在新區域可用時確保全面的安全涵蓋範圍。

{ "securityhub":{ "enable_in_regions":{ "@@assign":[ "ALL_SUPPORTED" ] }, "disable_in_regions":{ "@@assign":[ ] } } }

此範例會在所有區域中停用 Security Hub,包括任何未來區域,因為disable_in_regions清單的優先順序高於 enable_in_regions

{ "securityhub":{ "enable_in_regions":{ "@@assign":[ "us-east-1", "us-west-2" ] }, "disable_in_regions":{ "@@assign":[ "ALL_SUPPORTED" ] } } }

下列範例示範子政策如何使用繼承運算子修改父政策設定。此方法允許精細控制,同時維護整體政策結構。子政策會將新區域新增至 ,enable_in_regions並從 中移除區域disable_in_regions

{ "securityhub":{ "enable_in_regions":{ "@@append":[ "eu-central-1" ] }, "disable_in_regions":{ "@@remove":[ "us-west-2" ] } } }

此範例示範如何在多個特定區域中啟用 Security Hub,而不使用 ALL_SUPPORTED。這可讓您精確控制哪些區域已啟用 Security Hub,同時讓未指定的區域不受政策管理。

{ "securityhub":{ "enable_in_regions":{ "@@assign":[ "us-east-1", "us-west-2", "eu-west-1", "ap-southeast-1" ] }, "disable_in_regions":{ "@@assign":[ ] } } }

下列範例示範如何透過在大多數區域中啟用 Security Hub 來處理區域合規要求,同時在特定位置明確停用它。disable_in_regions 清單優先,確保 Security Hub 在這些區域中保持停用狀態,無論其他政策設定為何。

{ "securityhub":{ "enable_in_regions":{ "@@assign":[ "ALL_SUPPORTED" ] }, "disable_in_regions":{ "@@assign":[ "ap-east-1", "me-south-1" ] } } }