Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Politiques du Security Hub
AWS Security Hub les politiques fournissent aux équipes de sécurité une approche centralisée pour gérer les configurations de sécurité au sein de leurs équipes AWS Organizations. En tirant parti de ces politiques, vous pouvez établir et maintenir des contrôles de sécurité cohérents grâce à un mécanisme de configuration central. Cette intégration vous permet de combler les lacunes en matière de couverture de sécurité en créant des politiques conformes aux exigences de sécurité de votre entreprise et en les appliquant de manière centralisée à tous les comptes et unités organisationnelles (OUs).
Les politiques du Security Hub sont entièrement intégrées AWS Organizations, ce qui permet aux comptes de gestion ou aux administrateurs délégués de définir et d'appliquer les configurations de sécurité. Lorsque des comptes rejoignent votre organisation, ils héritent automatiquement des politiques applicables en fonction de leur emplacement dans la hiérarchie organisationnelle. Cela garantit que vos normes de sécurité sont appliquées de manière cohérente au fur et à mesure que votre organisation se développe. Les politiques respectent les structures organisationnelles existantes et offrent de la flexibilité dans la manière dont les configurations de sécurité sont distribuées, tout en maintenant le contrôle centralisé des paramètres de sécurité critiques.
## Caractéristiques et avantages clés
Les politiques du Security Hub fournissent un ensemble complet de fonctionnalités qui vous aident à gérer et à appliquer les configurations de sécurité au sein de votre AWS entreprise. Ces fonctionnalités rationalisent la gestion de la sécurité tout en garantissant un contrôle constant de votre environnement multi-comptes.
+ [Activez Security Hub de](https://docs.aws.amazon.com/securityhub/latest/userguide/security-hub-adv-getting-started-enable.html#security-hub-adv-getting-started-enable-org-account) manière centralisée sur tous les comptes et régions de votre organisation
+ Créez des politiques de sécurité qui définissent votre configuration de sécurité pour tous les comptes et OUs
+ Appliquez automatiquement des configurations de sécurité aux nouveaux comptes lorsqu'ils rejoignent votre organisation
+ Garantissez des paramètres de sécurité cohérents au sein de votre entreprise
+ Empêcher les comptes membres de modifier les configurations de sécurité au niveau de l'organisation
## Quelles sont les politiques de Security Hub ?
Les politiques du Security Hub sont des AWS Organizations politiques qui fournissent un contrôle centralisé des configurations de sécurité des comptes de votre entreprise. Ces politiques fonctionnent parfaitement pour vous aider AWS Organizations à établir et à maintenir des normes de sécurité cohérentes dans l'ensemble de votre environnement multi-comptes.
Lorsque vous implémentez les politiques du Security Hub, vous pouvez définir des configurations de sécurité spécifiques qui se propagent automatiquement au sein de votre organisation. Cela garantit que tous les comptes, y compris les comptes nouvellement créés, sont conformes aux exigences de sécurité et aux meilleures pratiques de votre organisation.
Ces politiques vous aident également à maintenir la conformité en appliquant des contrôles de sécurité cohérents et en empêchant les comptes individuels de modifier les paramètres de sécurité au niveau de l'organisation. Cette approche centralisée réduit considérablement les frais administratifs liés à la gestion des configurations de sécurité dans des AWS environnements complexes et de grande envergure.
## Comment fonctionnent les politiques du Security Hub
Lorsque vous associez une politique Security Hub à votre organisation ou unité organisationnelle, elle est AWS Organizations automatiquement évaluée et appliquée en fonction du périmètre que vous définissez. Le processus d'application des politiques suit des règles spécifiques de résolution des conflits :
Lorsque des régions apparaissent à la fois dans les listes d'activation et de désactivation, la configuration de désactivation est prioritaire. Par exemple, si une région est répertoriée dans les configurations d'activation et de désactivation, Security Hub sera désactivé dans cette région.
Lorsque l'activation `ALL_SUPPORTED` est spécifiée, Security Hub est activé dans toutes les régions actuelles et futures, sauf s'il est explicitement désactivé. Cela vous permet de maintenir une couverture de sécurité complète à mesure que vous vous AWS étendez dans de nouvelles régions.
Les politiques relatives aux enfants peuvent modifier les paramètres des politiques parentales à l'aide d'opérateurs d'héritage, ce qui permet un contrôle granulaire à différents niveaux organisationnels. Cette approche hiérarchique garantit que les unités organisationnelles spécifiques peuvent personnaliser leurs paramètres de sécurité tout en maintenant les contrôles de base.
## Terminologie
Cette rubrique utilise les termes suivants pour aborder les politiques du Security Hub.
**Terminologie des politiques du Security Hub**
| Durée | Définition |
| --- | --- |
| Stratégie effective | Politique finale qui s'applique à un compte après avoir combiné toutes les politiques héritées. |
| Héritage de politique | Processus par lequel les comptes héritent des politiques des unités organisationnelles parentes. |
| Administrateur délégué | Un compte désigné pour gérer les politiques du Security Hub au nom de l'organisation. |
| Rôle lié à un service | Rôle IAM qui permet à Security Hub d'interagir avec d'autres AWS services. |
## Cas d'utilisation des politiques du Security Hub
Les politiques du Security Hub répondent aux défis courants de gestion de la sécurité dans les environnements multi-comptes. Les cas d'utilisation suivants montrent comment les entreprises mettent généralement en œuvre ces politiques pour améliorer leur posture de sécurité.
### Exemple de cas d'utilisation : exigences de conformité régionales
Une multinationale a besoin de différentes configurations de Security Hub pour différentes régions géographiques. Ils créent une politique parent qui active Security Hub dans toutes les régions en utilisant`ALL_SUPPORTED`, puis utilisent des politiques relatives aux enfants pour désactiver des régions spécifiques où différents contrôles de sécurité sont requis. Cela leur permet de respecter les réglementations régionales tout en garantissant une couverture de sécurité complète.
### Exemple de cas d'utilisation : normes de sécurité pour les équipes de développement
Une organisation de développement de logiciels met en œuvre les politiques du Security Hub qui permettent de surveiller les régions de production tout en préservant la gestion des régions de développement. Ils utilisent des listes de régions explicites dans leurs politiques plutôt que `ALL_SUPPORTED` pour maintenir un contrôle précis sur la couverture de surveillance de la sécurité. Cette approche leur permet d'appliquer des contrôles de sécurité plus stricts dans les environnements de production tout en préservant la flexibilité dans les domaines de développement.
## Héritage et application des politiques
Comprendre comment les politiques sont héritées et appliquées est essentiel pour une gestion efficace de la sécurité au sein de votre entreprise. Le modèle d'héritage suit la AWS Organizations hiérarchie, garantissant ainsi une application prévisible et cohérente des politiques.
+ Les politiques associées au niveau racine s'appliquent à tous les comptes
+ Les comptes héritent des politiques de leurs unités organisationnelles mères
+ Plusieurs politiques peuvent s'appliquer à un seul compte
+ Les politiques plus spécifiques (plus proches du compte dans la hiérarchie) ont priorité
## Validation de politique
Lors de la création des politiques Security Hub, les validations suivantes ont lieu :
+ Les noms de région doivent être des identifiants de AWS région valides
+ Les régions doivent être prises en charge par Security Hub
+ La structure des politiques doit suivre les règles AWS Organizations de syntaxe des politiques
+ Les deux `enable_in_regions` et `disable_in_regions` les listes doivent être présentes, bien qu'elles puissent être vides
## Considérations régionales et régions prises en charge
Les politiques du Security Hub s'appliquent à plusieurs régions, ce qui nécessite un examen attentif de vos exigences de sécurité globales. Comprendre le comportement régional vous aide à mettre en œuvre des contrôles de sécurité efficaces sur l'ensemble du territoire mondial de votre entreprise.
+ L'application des politiques se fait indépendamment dans chaque région
+ Vous pouvez spécifier les régions à inclure ou à exclure dans vos politiques
+ Les nouvelles régions sont automatiquement incluses lorsque vous utilisez l'`ALL_SUPPORTED`option
+ Les politiques s'appliquent uniquement aux régions où Security Hub est disponible
## Étapes suivantes
Pour commencer à utiliser les politiques du Security Hub, procédez comme suit :
1. Consultez les conditions préalables dans les politiques de Getting Started with Security Hub
1. Planifiez votre stratégie politique à l'aide de notre guide des meilleures pratiques
1. En savoir plus sur la syntaxe des politiques et consulter des exemples de politiques
# Commencer à utiliser les politiques du Security Hub
Avant de configurer les politiques de Security Hub, assurez-vous de bien comprendre les prérequis et les exigences de mise en œuvre. Cette rubrique vous guide tout au long du processus de configuration et de gestion de ces politiques dans votre organisation.
## Avant de commencer
Passez en revue les exigences suivantes avant de mettre en œuvre les politiques du Security Hub :
+ Votre compte doit faire partie d'une AWS Organizations organisation
+ Vous devez être connecté en tant que :
+ Le compte de gestion de l'organisation
+ Un compte d'administrateur délégué autorisé à gérer les politiques du Security Hub
+ Vous devez activer l'accès sécurisé pour Security Hub dans votre organisation
+ Vous devez activer le type de politique Security Hub à la racine de votre organisation
Vérifiez également que :
+ Security Hub est pris en charge dans les régions où vous souhaitez appliquer des politiques
+ Le rôle `AWSServiceRoleForSecurityHubV2` lié au service est configuré dans votre compte de gestion. Pour vérifier que ce rôle existe, exécutez`aws iam get-role --role-name AWSServiceRoleForSecurityHubV2`. Si vous devez créer ce rôle, vous pouvez exécuter ce rôle `aws securityhub enable-security-hub-v2` dans n'importe quelle région à partir de votre compte de gestion ou le créer directement en exécutant`aws iam create-service-linked-role --aws-service-name securityhubv2.amazonaws.com`.
## Étapes d’implémentation
Pour mettre en œuvre efficacement les politiques du Security Hub, suivez ces étapes dans l'ordre. Chaque étape garantit une configuration correcte et permet d'éviter les problèmes courants lors de l'installation. Le compte de gestion ou l'administrateur délégué peut effectuer ces étapes via la AWS Organizations console, l'interface de ligne de AWS commande (AWS CLI) ou AWS SDKs.
1. [Activez un accès sécurisé pour Security Hub](orgs_integrate_services.md#orgs_how-to-enable-disable-trusted-access).
1. [Activez les politiques du Security Hub pour votre organisation](enable-policy-type.md).
1. [Créez une politique Security Hub](orgs_policies_create.md#create-security-hub-policy-procedure).
1. [Associez la politique Security Hub à la racine, à l'unité d'organisation ou au compte de votre organisation](orgs_policies_attach.md).
1. [Consultez la politique Security Hub combinée et efficace qui s'applique à un compte](orgs_manage_policies_effective.md).
Pour toutes ces étapes, vous devez vous connecter en tant qu'utilisateur Gestion des identités et des accès AWS (IAM), assumer un rôle IAM ou vous connecter en tant qu'utilisateur root (ce n'est [pas recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.
**Autres informations**
+ [Apprenez la syntaxe des politiques du Security Hub et consultez des exemples de politiques](orgs_manage_policies_security_hub_syntax.md)
# Bonnes pratiques relatives à l'utilisation des politiques du Security Hub
Lorsque vous mettez en œuvre les politiques du Security Hub au sein de votre organisation, le respect des meilleures pratiques établies permet de garantir le déploiement et la maintenance réussis de vos configurations de sécurité. Ces directives abordent spécifiquement les aspects uniques de la gestion et de l'application des politiques du Security Hub au sein de ce dernier AWS Organizations.
## Principes de conception des politiques
Avant de créer des politiques Security Hub, définissez des principes clairs pour votre structure de politique. Simplifiez les politiques et évitez les règles complexes à attributs croisés ou imbriquées qui compliquent la détermination du résultat final. Commencez par des politiques générales au niveau de la racine de l'organisation et affinez-les au besoin par le biais de politiques relatives aux enfants.
Envisagez d'utiliser des listes de régions vides de manière stratégique. Vous pouvez laisser ce `enable_in_regions` champ vide lorsque vous devez uniquement désactiver Security Hub dans des régions spécifiques, ou le laisser `disable_in_regions` vide pour éviter que les régions ne soient gérées par des règles. Cette flexibilité vous permet de garder un contrôle précis sur votre couverture de surveillance de sécurité.
## Stratégies de gestion des régions
Lorsque vous gérez des régions par le biais des politiques du Security Hub, tenez compte de ces approches éprouvées. À utiliser `ALL_SUPPORTED` lorsque vous souhaitez inclure automatiquement les futures régions dans votre couverture de sécurité. Pour un contrôle plus précis, listez explicitement les régions plutôt que de vous fier à celles-ci`ALL_SUPPORTED`, en particulier lorsque différentes régions nécessitent des configurations de sécurité différentes.
Documentez les exigences spécifiques à votre région, en particulier pour :
+ Régions soumises à des obligations de conformité qui nécessitent des configurations spécifiques
+ Différences entre environnement de développement et environnement de production
+ Régions optionnelles soumises à des considérations spéciales
+ Régions dans lesquelles Security Hub doit rester désactivé
## Politique de planification successorale
Planifiez soigneusement la structure d'héritage de vos polices afin de maintenir un contrôle de sécurité efficace tout en garantissant la flexibilité nécessaire. Documentez quelles unités organisationnelles peuvent modifier les politiques héritées et quelles modifications sont autorisées. Envisagez de restreindre les opérateurs d'héritage (@ @assign, @ @append, @ @remove) au niveau des parents lorsque vous devez appliquer des contrôles de sécurité stricts.
## Surveillance et validation
Mettez en œuvre des pratiques de surveillance régulières pour garantir l'efficacité de vos politiques. Passez régulièrement en revue les pièces jointes aux politiques, en particulier après des changements organisationnels. Vérifiez que les configurations régionales correspondent à la couverture de sécurité prévue, en particulier lors de l'utilisation `ALL_SUPPORTED` ou de la gestion de plusieurs listes de régions.
## Stratégies de dépannage
Lors de la résolution des problèmes liés aux politiques du Security Hub, concentrez-vous d'abord sur la priorité et l'héritage des politiques. N'oubliez pas que les configurations de désactivation ont priorité sur les configurations d'activation lorsque les régions apparaissent dans les deux listes. Consultez les chaînes d'héritage des politiques pour comprendre comment les politiques relatives aux parents et aux enfants se combinent pour créer une politique efficace pour chaque compte.
# Syntaxe et exemples de politiques du Security Hub
Les politiques de Security Hub suivent une syntaxe JSON standardisée qui définit la manière dont Security Hub est activé et configuré au sein de votre organisation. La compréhension de la structure des politiques vous aide à créer des politiques efficaces répondant à vos exigences de sécurité.
## Considérations
Avant de créer des politiques Security Hub, comprenez les points essentiels suivants concernant la syntaxe des politiques :
+ Les deux `enable_in_regions` `disable_in_regions` listes sont obligatoires dans la politique, bien qu'elles puissent être vides
+ Lors du traitement de politiques efficaces`disable_in_regions`, a priorité sur `enable_in_regions`
+ Les politiques relatives aux enfants peuvent modifier les politiques parentales à l'aide d'opérateurs d'héritage, sauf si elles sont explicitement limitées
+ La `ALL_SUPPORTED` désignation inclut à la fois les régions actuelles et futures
+ Les noms de région doivent être valides et disponibles dans Security Hub
## Structure politique de base
Une politique Security Hub utilise cette structure de base :
```
{
"securityhub": {
"enable_in_regions": {
"@@append": ["ALL_SUPPORTED"],
"@@operators_allowed_for_child_policies": ["@@all"]
},
"disable_in_regions": {
"@@append": [],
"@@operators_allowed_for_child_policies": ["@@all"]
}
}
}
```
## Composants de politique
Les politiques du Security Hub contiennent les éléments clés suivants :
`securityhub`
Le conteneur de premier niveau pour les paramètres de politique
Obligatoire pour toutes les politiques du Security Hub
`enable_in_regions`
Liste des régions dans lesquelles Security Hub doit être activé
Peut contenir des noms de régions spécifiques ou `ALL_SUPPORTED`
Champ obligatoire mais peut être vide
Lors de l'utilisation`ALL_SUPPORTED`, inclut les futures régions
`disable_in_regions`
Liste des régions dans lesquelles Security Hub doit être désactivé
Peut contenir des noms de régions spécifiques ou `ALL_SUPPORTED`
Champ obligatoire mais peut être vide
A priorité sur le `enable_in_regions` cas où les régions apparaissent dans les deux listes
Opérateurs d'héritage
@ @assign - Remplace les valeurs héritées
@ @append - Ajoute de nouvelles valeurs aux valeurs existantes
@ @remove - Supprime des valeurs spécifiques des paramètres hérités
## Exemples de politiques relatives au Security Hub
Les exemples suivants illustrent les configurations de politique courantes du Security Hub.
L'exemple ci-dessous active Security Hub dans toutes les régions actuelles et futures. En l'utilisant `ALL_SUPPORTED` dans la `enable_in_regions` liste et en la laissant `disable_in_regions` vide, cette politique garantit une couverture de sécurité complète à mesure que de nouvelles régions deviennent disponibles.
```
{
"securityhub":{
"enable_in_regions":{
"@@assign":[
"ALL_SUPPORTED"
]
},
"disable_in_regions":{
"@@assign":[
]
}
}
}
```
Cet exemple désactive Security Hub dans toutes les régions, y compris dans les régions futures, car `disable_in_regions` la liste a priorité sur. `enable_in_regions`
```
{
"securityhub":{
"enable_in_regions":{
"@@assign":[
"us-east-1",
"us-west-2"
]
},
"disable_in_regions":{
"@@assign":[
"ALL_SUPPORTED"
]
}
}
}
```
L'exemple suivant montre comment les politiques relatives aux enfants peuvent modifier les paramètres des politiques parentes à l'aide d'opérateurs d'héritage. Cette approche permet un contrôle granulaire tout en préservant la structure globale des politiques. La politique relative aux enfants ajoute une nouvelle région `enable_in_regions` et en supprime une`disable_in_regions`.
```
{
"securityhub":{
"enable_in_regions":{
"@@append":[
"eu-central-1"
]
},
"disable_in_regions":{
"@@remove":[
"us-west-2"
]
}
}
}
```
Cet exemple montre comment activer Security Hub dans plusieurs régions spécifiques sans l'utiliser`ALL_SUPPORTED`. Cela permet de contrôler avec précision les régions dans lesquelles Security Hub est activé, tout en laissant les régions non spécifiées non gérées par la politique.
```
{
"securityhub":{
"enable_in_regions":{
"@@assign":[
"us-east-1",
"us-west-2",
"eu-west-1",
"ap-southeast-1"
]
},
"disable_in_regions":{
"@@assign":[
]
}
}
}
```
L'exemple suivant montre comment gérer les exigences de conformité régionales en activant Security Hub dans la plupart des régions tout en le désactivant explicitement dans des emplacements spécifiques. La `disable_in_regions` liste est prioritaire, ce qui garantit que Security Hub reste désactivé dans ces régions, quels que soient les autres paramètres de politique.
```
{
"securityhub":{
"enable_in_regions":{
"@@assign":[
"ALL_SUPPORTED"
]
},
"disable_in_regions":{
"@@assign":[
"ap-east-1",
"me-south-1"
]
}
}
}
```