Security Hub 策略语法和示例 - Amazon Organizations
注意事项基本策略结构策略组件Security Hub 策略示例
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Security Hub 策略语法和示例

Security Hub 策略遵循标准化的 JSON 语法,该语法定义了如何在整个组织中启用和配置 Security Hub。了解策略结构有助于您针对自己的安全需求创建有效的策略。

注意事项

在创建 Security Hub 策略之前,请了解有关策略语法的以下要点:

  • 策略中必须同时包含enable_in_regionsdisable_in_regions列表,但它们可以为空

  • 处理有效策略时,disable_in_regions优先于 enable_in_regions

  • 除非明确限制,否则子策略可以使用继承运算符修改父策略

  • ALL_SUPPORTED名称包括当前和将来的区域

  • 区域名称必须有效且在 Security Hub 中可用

基本策略结构

Security Hub 策略使用以下基本结构:

{
   "securityhub":{
      "enable_in_regions":[
         "us-east-1",
         "us-west-2"
      ],
      "disable_in_regions":[
         "eu-central-1"
      ]
   }
}

策略组件

Security Hub 策略包含以下关键组件:

securityhub

策略设置的顶级容器

所有 Security Hub 策略均为必填项

enable_in_regions

应启用 Security Hub 的区域列表

可以包含特定的区域名称或 ALL_SUPPORTED

必填字段,但可以为空

使用时ALL_SUPPORTED,包括 future 区域

disable_in_regions

应禁用 Security Hub 的区域列表

可以包含特定的区域名称或 ALL_SUPPORTED

必填字段,但可以为空

优先于两个列表中都enable_in_regions出现区域的情况

继承运算符

@ @assign-覆盖继承的值

@ @append-为现有值添加新值

@ @remove-从继承的设置中移除特定值

Security Hub 策略示例

以下示例演示了常见的 Security Hub 策略配置。

以下示例在所有当前和将来的区域中启用 Security Hub。通过在enable_in_regions列表ALL_SUPPORTED中使用并留disable_in_regions空,此策略可确保在新区域可用时提供全面的安全保障。

{
   "securityhub":{
      "enable_in_regions":{
         "@@assign":[
            "ALL_SUPPORTED"
         ]
      },
      "disable_in_regions":{
         "@@assign":[
            
         ]
      }
   }
}

此示例禁用所有区域的 Security Hub,包括任何 future 区域,因为disable_in_regions列表优先enable_in_regions于。

{
   "securityhub":{
      "enable_in_regions":{
         "@@assign":[
            "us-east-1",
            "us-west-2"
         ]
      },
      "disable_in_regions":{
         "@@assign":[
            "ALL_SUPPORTED"
         ]
      }
   }
}

以下示例演示了子策略如何使用继承运算符修改父策略设置。这种方法允许在保持整体策略结构的同时进行精细控制。子政策向其中添加一个新区域,enable_in_regions并从中删除一个区域disable_in_regions

{
   "securityhub":{
      "enable_in_regions":{
         "@@append":[
            "eu-central-1"
         ]
      },
      "disable_in_regions":{
         "@@remove":[
            "us-west-2"
         ]
      }
   }
}

此示例说明如何在不使用的情况下在多个特定区域启用 Security Hub ALL_SUPPORTED。这可以精确控制哪些区域启用了 Security Hub,同时使未指定的区域不受策略的管理。

{
   "securityhub":{
      "enable_in_regions":{
         "@@assign":[
            "us-east-1",
            "us-west-2",
            "eu-west-1",
            "ap-southeast-1"
         ]
      },
      "disable_in_regions":{
         "@@assign":[
            
         ]
      }
   }
}

以下示例演示了如何通过在大多数地区启用 Security Hub,同时在特定位置明确禁用 Security Hub 来处理区域合规性要求。该disable_in_regions列表优先,确保无论其他策略设置如何,这些区域的 Security Hub 仍处于禁用状态。

{
   "securityhub":{
      "enable_in_regions":{
         "@@assign":[
            "ALL_SUPPORTED"
         ]
      },
      "disable_in_regions":{
         "@@assign":[
            "ap-east-1",
            "me-south-1"
         ]
      }
   }
}