本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Security Hub 政策語法和範例
Security Hub 政策遵循標準化的 JSON 語法,該語法定義了在整個組織中啟用和設定 Security Hub 的方式。了解政策結構可協助您為您的安全需求建立有效的政策。
考量事項
建立 Security Hub 政策之前,請先了解政策語法的這些要點:
-
政策中需要
enable_in_regions
和disable_in_regions
清單,但它們可以是空的 -
處理有效政策時,
disable_in_regions
優先於enable_in_regions
-
除非明確限制,否則子政策可以使用繼承運算子修改父政策
-
ALL_SUPPORTED
指定項目包括目前和未來的區域 -
區域名稱必須在 Security Hub 中有效且可用
基本政策結構
Security Hub 政策使用以下基本結構:
{ "securityhub":{ "enable_in_regions":[ "us-east-1", "us-west-2" ], "disable_in_regions":[ "eu-central-1" ] } }
政策元件
Security Hub 政策包含下列重要元件:
securityhub
-
政策設定的頂層容器
所有 Security Hub 政策都需要
enable_in_regions
-
應啟用 Security Hub 的區域清單
可包含特定區域名稱或
ALL_SUPPORTED
必要欄位,但可為空白
使用 時
ALL_SUPPORTED
, 包含未來的區域 disable_in_regions
-
應停用 Security Hub 的區域清單
可包含特定區域名稱或
ALL_SUPPORTED
必要欄位,但可為空白
當區域出現在兩個清單中
enable_in_regions
時,優先考慮 - 繼承運算子
-
@@指派 - 覆寫繼承的值
@@附加 - 將新值新增至現有值
@@移除 - 從繼承的設定中移除特定值
Security Hub 政策範例
下列範例示範常見的 Security Hub 政策組態。
以下範例會在所有目前和未來的區域中啟用 Security Hub。透過ALL_SUPPORTED
在enable_in_regions
清單中使用 並保持disable_in_regions
空白,此政策可在新區域可用時確保全面的安全涵蓋範圍。
{ "securityhub":{ "enable_in_regions":{ "@@assign":[ "ALL_SUPPORTED" ] }, "disable_in_regions":{ "@@assign":[ ] } } }
此範例會在所有區域中停用 Security Hub,包括任何未來區域,因為disable_in_regions
清單的優先順序高於 enable_in_regions
。
{ "securityhub":{ "enable_in_regions":{ "@@assign":[ "us-east-1", "us-west-2" ] }, "disable_in_regions":{ "@@assign":[ "ALL_SUPPORTED" ] } } }
下列範例示範子政策如何使用繼承運算子修改父政策設定。此方法允許精細控制,同時維護整體政策結構。子政策會將新區域新增至 ,enable_in_regions
並從 中移除區域disable_in_regions
。
{ "securityhub":{ "enable_in_regions":{ "@@append":[ "eu-central-1" ] }, "disable_in_regions":{ "@@remove":[ "us-west-2" ] } } }
此範例示範如何在多個特定區域中啟用 Security Hub,而不使用 ALL_SUPPORTED
。這可讓您精確控制哪些區域已啟用 Security Hub,同時讓未指定的區域不受政策管理。
{ "securityhub":{ "enable_in_regions":{ "@@assign":[ "us-east-1", "us-west-2", "eu-west-1", "ap-southeast-1" ] }, "disable_in_regions":{ "@@assign":[ ] } } }
下列範例示範如何透過在大多數區域中啟用 Security Hub 來處理區域合規要求,同時在特定位置明確停用它。disable_in_regions
清單優先,確保 Security Hub 在這些區域中保持停用狀態,無論其他政策設定為何。
{ "securityhub":{ "enable_in_regions":{ "@@assign":[ "ALL_SUPPORTED" ] }, "disable_in_regions":{ "@@assign":[ "ap-east-1", "me-south-1" ] } } }