Considerações Estrutura básica da política Componentes da política Exemplos de política do Security Hub

Sintaxe e exemplos de política do Security Hub

As políticas do Security Hub seguem uma sintaxe JSON padronizada que define como o Security Hub é habilitado e configurado em toda a sua organização. Compreender a estrutura de políticas ajuda você a criar políticas eficazes para seus requisitos de segurança.

Considerações

Antes de criar políticas do Security Hub, entenda estes pontos-chave sobre a sintaxe da política:

As listas enable_in_regions e disable_in_regions são obrigatórias na política, embora possam estar vazias
Ao processar políticas efetivas, disable_in_regions tem precedência sobre enable_in_regions
As políticas secundárias podem modificar as políticas principais usando operadores de herança, a menos que sejam explicitamente restritas
A designação ALL_SUPPORTED inclui regiões atuais e futuras
Os nomes das regiões devem ser válidos e estar disponíveis no Security Hub

Estrutura básica da política

Uma política do Security Hub usa essa estrutura básica:


{
  "securityhub": {
    "enable_in_regions": {
      "@@append": ["ALL_SUPPORTED"],
      "@@operators_allowed_for_child_policies": ["@@all"]
    },
    "disable_in_regions": {
      "@@append": [],
      "@@operators_allowed_for_child_policies": ["@@all"]
    }
  }
}

Componentes da política

As políticas do Security Hub contêm esses componentes principais:

securityhub

O contêiner de nível superior para configurações de política

Necessário para todas as políticas do Security Hub

enable_in_regions

Lista de regiões em que o Security Hub deve ser ativado

Pode conter nomes de regiões específicos ou ALL_SUPPORTED

Campo obrigatório, mas pode estar vazio

Ao usar ALL_SUPPORTED, inclui futuras regiões

disable_in_regions

Lista de regiões em que o Security Hub deve ser desativado

Pode conter nomes de regiões específicos ou ALL_SUPPORTED

Campo obrigatório, mas pode estar vazio

Tem precedência sobre enable_in_regions quando as regiões aparecem nas duas listas

Operadores de herança

@@assign: substitui valores herdados

@@append: adiciona novos valores aos existentes

@@remove: remove valores específicos das configurações herdadas

Exemplos de política do Security Hub

Os exemplos a seguir demonstram configurações comuns de política do Security Hub.

O exemplo abaixo ativa o Security Hub em todas as regiões atuais e futuras. Ao usar ALL_SUPPORTED na lista enable_in_regions e deixar disable_in_regions em branco, essa política garante uma cobertura de segurança abrangente à medida que novas regiões se tornam disponíveis.


{
   "securityhub":{
      "enable_in_regions":{
         "@@assign":[
            "ALL_SUPPORTED"
         ]
      },
      "disable_in_regions":{
         "@@assign":[
            
         ]
      }
   }
}

Este exemplo desativa o Security Hub em todas as regiões, incluindo qualquer região futura, já que a lista disable_in_regions tem precedência sobre enable_in_regions.


{
   "securityhub":{
      "enable_in_regions":{
         "@@assign":[
            "us-east-1",
            "us-west-2"
         ]
      },
      "disable_in_regions":{
         "@@assign":[
            "ALL_SUPPORTED"
         ]
      }
   }
}

O exemplo a seguir demonstra como as políticas secundárias podem modificar as configurações da política principal usando operadores de herança. Essa abordagem permite um controle granular e, ao mesmo tempo, manter a estrutura geral da política. A política secundária adiciona uma nova região para enable_in_regions e remove uma região de disable_in_regions.


{
   "securityhub":{
      "enable_in_regions":{
         "@@append":[
            "eu-central-1"
         ]
      },
      "disable_in_regions":{
         "@@remove":[
            "us-west-2"
         ]
      }
   }
}

Este exemplo mostra como habilitar o Security Hub em várias regiões específicas sem usar ALL_SUPPORTED. Isso fornece controle preciso sobre quais regiões têm o Security Hub ativado, enquanto deixa regiões não especificadas não gerenciadas pela política.


{
   "securityhub":{
      "enable_in_regions":{
         "@@assign":[
            "us-east-1",
            "us-west-2",
            "eu-west-1",
            "ap-southeast-1"
         ]
      },
      "disable_in_regions":{
         "@@assign":[
            
         ]
      }
   }
}

O exemplo a seguir demonstra como lidar com os requisitos de conformidade regionais ativando o Security Hub na maioria das regiões e, ao mesmo tempo, desativando-o explicitamente em locais específicos. A lista disable_in_regions tem precedência, garantindo que o Security Hub permaneça desativado nessas regiões, independentemente de outras configurações de política.


{
   "securityhub":{
      "enable_in_regions":{
         "@@assign":[
            "ALL_SUPPORTED"
         ]
      },
      "disable_in_regions":{
         "@@assign":[
            "ap-east-1",
            "me-south-1"
         ]
      }
   }
}

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Práticas recomendadas

Políticas do Amazon Bedrock