Amazon Security Hub 和接口 VPC 终端节点 (Amazon PrivateLink) - Amazon Security Hub
Security Hub VPC 端点的注意事项为 Security Hub 创建接口 VPC 端点为 Security Hub 创建 VPC 端点策略共享子网
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon Security Hub 和接口 VPC 终端节点 (Amazon PrivateLink)

您可以通过创建接口 VPC 终端节点在 VPC 和 Amazon Security Hub 之间建立私有连接。接口端点由提供支持 Amazon PrivateLink,该技术支持您通过私有连接访问 Security Hub, APIs 而无需采用互联网网关、NAT 设备、VPN 连接或 Amazon Direct Connect 连接。VPC 中的实例即使没有公有 IP 地址也可与 Security Hub 进行通信 APIs。VPC 和 Security Hub 之间的流量不会脱离 Amazon 网络。

每个接口端点均由子网中的一个或多个弹性网络接口表示。有关更多信息,请参阅《Amazon Virtual Private Cloud 指南》中的Amazon Web Services 服务 使用接口 VPC 终端节点访问

Security Hub VPC 端点的注意事项

在为 Security Hub 设置接口 VPC 终端节点之前,请务必查看 Amazon Virtual Private Cloud 指南中的先决条件和其他信息。

Security Hub 支持从 VPC 调用它的所有 API 操作。

为 Security Hub 创建接口 VPC 端点

您可以使用 Amazon VPC 控制台或 Amazon Command Line Interface (Amazon CLI) 为 Security Hub 服务创建 VPC 端点。有关更多信息,请参阅《Amazon Virtual Private Cloud 指南》中的创建 VPC 终端节点

使用以下服务名称为 Security Hub 创建 VPC 端点:

com.amazonaws.region.securityhub

region用的地区代码在哪里 Amazon Web Services 区域。

如果为端点启用私有 DNS,则可以使用该区域的默认 DNS 名称向 Security Hub 发送 API 请求,securityhub.us-east-1.amazonaws.com例如,美国东部(弗吉尼亚州北部)区域。

为 Security Hub 创建 VPC 端点策略

您可以为 VPC 端点附加控制对 Security Hub 的访问的端点策略。该策略指定以下信息:

  • 可执行操作的主体。

  • 可执行的操作。

  • 可对其执行操作的资源。

有关更多信息,请参阅《Amazon Virtual Private Cloud 指南》中的使用终端节点策略控制 VPC 终端节点的访问权限

示例:Security Hub 操作的 VPC 端点策略

下面是用于 Security Hub 的端点策略示例。当附加到端点时,此策略会向所有资源上的所有主体授予对列出的 Security Hub 操作的访问权限。

{
   "Statement":[
      {
         "Principal":"*",
         "Effect":"Allow",
         "Action":[
            "securityhub:getFindings",
            "securityhub:getEnabledStandards",
            "securityhub:getInsights"
         ],
         "Resource":"*"
      }
   ]
}

共享子网

您无法在与您共享的子网中创建、描述、修改或删除 VPC 端点。但是,您可以在与您共享的子网中使用 VPC 端点。有关 VPC 共享的信息,请参阅《Amazon Virtual Private Cloud 指南》中的与其他账户共享您的 VPC 子网