本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# Security Hub 政策語法和範例
<a name="orgs_manage_policies_security_hub_syntax"></a>

Security Hub 政策遵循標準化 JSON 語法，定義 Security Hub 如何在整個組織中啟用和設定。了解政策結構可協助您為您的安全需求建立有效的政策。

## 考量事項
<a name="security-hub-policy-considerations"></a>

建立 Security Hub 政策之前，請了解政策語法的這些要點：
+ `enable_in_regions` 和 `disable_in_regions`清單在政策中都是必要的，但它們可以是空的
+ 處理有效政策時， `disable_in_regions` 優先於 `enable_in_regions`
+ 除非明確限制，否則子政策可以使用繼承運算子修改父政策
+ `ALL_SUPPORTED` 指定項目包括目前和未來的區域
+ 區域名稱必須在 Security Hub 中有效且可用

## 基本政策結構
<a name="security-hub-basic-structure"></a>

Security Hub 政策使用以下基本結構：

```
{
  "securityhub": {
    "enable_in_regions": {
      "@@append": ["ALL_SUPPORTED"],
      "@@operators_allowed_for_child_policies": ["@@all"]
    },
    "disable_in_regions": {
      "@@append": [],
      "@@operators_allowed_for_child_policies": ["@@all"]
    }
  }
}
```

## 政策元件
<a name="security-hub-policy-components"></a>

Security Hub 政策包含下列重要元件：

`securityhub`  
政策設定的頂層容器  
所有 Security Hub 政策都需要

`enable_in_regions`  
應啟用 Security Hub 的區域清單  
可以包含特定區域名稱或 `ALL_SUPPORTED`  
必要欄位，但可為空白  
使用 時`ALL_SUPPORTED`， 包含未來的區域

`disable_in_regions`  
應停用 Security Hub 的區域清單  
可以包含特定區域名稱或 `ALL_SUPPORTED`  
必要欄位，但可為空白  
當區域出現在兩個清單中`enable_in_regions`時，優先考慮

繼承運算子  
@@指派 - 覆寫繼承的值  
@@附加 - 將新值新增至現有值  
@@移除 - 從繼承的設定中移除特定值

## Security Hub 政策範例
<a name="security-hub-policy-examples"></a>

下列範例示範常見的 Security Hub 政策組態。

以下範例會在所有目前和未來的區域中啟用 Security Hub。透過`ALL_SUPPORTED`在`enable_in_regions`清單中使用 並保留`disable_in_regions`空白，此政策可在新區域可用時確保全面的安全涵蓋範圍。

```
{
   "securityhub":{
      "enable_in_regions":{
         "@@assign":[
            "ALL_SUPPORTED"
         ]
      },
      "disable_in_regions":{
         "@@assign":[
            
         ]
      }
   }
}
```

此範例會在所有區域中停用 Security Hub，包括任何未來區域，因為`disable_in_regions`清單的優先順序高於 `enable_in_regions`。

```
{
   "securityhub":{
      "enable_in_regions":{
         "@@assign":[
            "us-east-1",
            "us-west-2"
         ]
      },
      "disable_in_regions":{
         "@@assign":[
            "ALL_SUPPORTED"
         ]
      }
   }
}
```

下列範例示範子政策如何使用繼承運算子修改父政策設定。此方法允許精細控制，同時維護整體政策結構。子政策會將新區域新增至 ，`enable_in_regions`並從 移除區域`disable_in_regions`。

```
{
   "securityhub":{
      "enable_in_regions":{
         "@@append":[
            "eu-central-1"
         ]
      },
      "disable_in_regions":{
         "@@remove":[
            "us-west-2"
         ]
      }
   }
}
```

此範例示範如何在多個特定區域中啟用 Security Hub，而不使用 `ALL_SUPPORTED`。這可讓您精確控制哪些區域已啟用 Security Hub，同時讓未指定的區域不受政策管理。

```
{
   "securityhub":{
      "enable_in_regions":{
         "@@assign":[
            "us-east-1",
            "us-west-2",
            "eu-west-1",
            "ap-southeast-1"
         ]
      },
      "disable_in_regions":{
         "@@assign":[
            
         ]
      }
   }
}
```

下列範例示範如何在大多數區域中啟用 Security Hub，同時在特定位置明確停用 Security Hub，以處理區域合規要求。`disable_in_regions` 清單優先，確保 Security Hub 在這些區域中保持停用狀態，無論其他政策設定為何。

```
{
   "securityhub":{
      "enable_in_regions":{
         "@@assign":[
            "ALL_SUPPORTED"
         ]
      },
      "disable_in_regions":{
         "@@assign":[
            "ap-east-1",
            "me-south-1"
         ]
      }
   }
}
```