As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Sintaxe e exemplos de política do Security Hub
<a name="orgs_manage_policies_security_hub_syntax"></a>

As políticas do Security Hub seguem uma sintaxe JSON padronizada que define como o Security Hub é habilitado e configurado em toda a sua organização. Compreender a estrutura de políticas ajuda você a criar políticas eficazes para seus requisitos de segurança.

## Considerações
<a name="security-hub-policy-considerations"></a>

Antes de criar políticas do Security Hub, entenda estes pontos-chave sobre a sintaxe da política:
+ As listas `enable_in_regions` e `disable_in_regions` são obrigatórias na política, embora possam estar vazias
+ Ao processar políticas efetivas, `disable_in_regions` tem precedência sobre `enable_in_regions`
+ As políticas secundárias podem modificar as políticas principais usando operadores de herança, a menos que sejam explicitamente restritas
+ A designação `ALL_SUPPORTED` inclui regiões atuais e futuras
+ Os nomes das regiões devem ser válidos e estar disponíveis no Security Hub

## Estrutura básica da política
<a name="security-hub-basic-structure"></a>

Uma política do Security Hub usa essa estrutura básica:

```
{
  "securityhub": {
    "enable_in_regions": {
      "@@append": ["ALL_SUPPORTED"],
      "@@operators_allowed_for_child_policies": ["@@all"]
    },
    "disable_in_regions": {
      "@@append": [],
      "@@operators_allowed_for_child_policies": ["@@all"]
    }
  }
}
```

## Componentes da política
<a name="security-hub-policy-components"></a>

As políticas do Security Hub contêm esses componentes principais:

`securityhub`  
O contêiner de nível superior para configurações de política  
Necessário para todas as políticas do Security Hub

`enable_in_regions`  
Lista de regiões em que o Security Hub deve ser ativado  
Pode conter nomes de regiões específicos ou `ALL_SUPPORTED`  
Campo obrigatório, mas pode estar vazio  
Ao usar `ALL_SUPPORTED`, inclui futuras regiões

`disable_in_regions`  
Lista de regiões em que o Security Hub deve ser desativado  
Pode conter nomes de regiões específicos ou `ALL_SUPPORTED`  
Campo obrigatório, mas pode estar vazio  
Tem precedência sobre `enable_in_regions` quando as regiões aparecem nas duas listas

Operadores de herança  
@@assign: substitui valores herdados  
@@append: adiciona novos valores aos existentes  
@@remove: remove valores específicos das configurações herdadas

## Exemplos de política do Security Hub
<a name="security-hub-policy-examples"></a>

Os exemplos a seguir demonstram configurações comuns de política do Security Hub. 

O exemplo abaixo ativa o Security Hub em todas as regiões atuais e futuras. Ao usar `ALL_SUPPORTED` na lista `enable_in_regions` e deixar `disable_in_regions` em branco, essa política garante uma cobertura de segurança abrangente à medida que novas regiões se tornam disponíveis.

```
{
   "securityhub":{
      "enable_in_regions":{
         "@@assign":[
            "ALL_SUPPORTED"
         ]
      },
      "disable_in_regions":{
         "@@assign":[
            
         ]
      }
   }
}
```

Este exemplo desativa o Security Hub em todas as regiões, incluindo qualquer região futura, já que a lista `disable_in_regions` tem precedência sobre `enable_in_regions`.

```
{
   "securityhub":{
      "enable_in_regions":{
         "@@assign":[
            "us-east-1",
            "us-west-2"
         ]
      },
      "disable_in_regions":{
         "@@assign":[
            "ALL_SUPPORTED"
         ]
      }
   }
}
```

O exemplo a seguir demonstra como as políticas secundárias podem modificar as configurações da política principal usando operadores de herança. Essa abordagem permite um controle granular e, ao mesmo tempo, manter a estrutura geral da política. A política secundária adiciona uma nova região para `enable_in_regions` e remove uma região de `disable_in_regions`.

```
{
   "securityhub":{
      "enable_in_regions":{
         "@@append":[
            "eu-central-1"
         ]
      },
      "disable_in_regions":{
         "@@remove":[
            "us-west-2"
         ]
      }
   }
}
```

Este exemplo mostra como habilitar o Security Hub em várias regiões específicas sem usar `ALL_SUPPORTED`. Isso fornece controle preciso sobre quais regiões têm o Security Hub ativado, enquanto deixa regiões não especificadas não gerenciadas pela política.

```
{
   "securityhub":{
      "enable_in_regions":{
         "@@assign":[
            "us-east-1",
            "us-west-2",
            "eu-west-1",
            "ap-southeast-1"
         ]
      },
      "disable_in_regions":{
         "@@assign":[
            
         ]
      }
   }
}
```

O exemplo a seguir demonstra como lidar com os requisitos de conformidade regionais ativando o Security Hub na maioria das regiões e, ao mesmo tempo, desativando-o explicitamente em locais específicos. A lista `disable_in_regions` tem precedência, garantindo que o Security Hub permaneça desativado nessas regiões, independentemente de outras configurações de política.

```
{
   "securityhub":{
      "enable_in_regions":{
         "@@assign":[
            "ALL_SUPPORTED"
         ]
      },
      "disable_in_regions":{
         "@@assign":[
            "ap-east-1",
            "me-south-1"
         ]
      }
   }
}
```