Amazon Security Hub 和接口 VPC 终端节点 (Amazon PrivateLink) - Amazon Security Hub
Security Hub VPC 终端节点的注意事项为 Security Hub 创建接口 VPC 终端节点为 Security Hub 创建 VPC 终端节点策略
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon Security Hub 和接口 VPC 终端节点 (Amazon PrivateLink)

您可以通过创建接口 VPC 终端节点在 VPC 和 Amazon Security Hub 之间建立私有连接。接口终端节点由以下公司提供提供支持Amazon PrivateLink,该技术支持您通过私有连接访问 Security Hub API,而无需采用互联网关关网关、NAT 设备、VPN 连接或AmazonDirect Connect 连接。VPC 中的实例即使没有公有 IP 地址也可与 Security Hub API 进行通信。VPC 和 Security Hub 之间的流量不会脱离 Amazon 网络。

每个接口终端节点均由子网中的一个或多个弹性网络接口表示。

有关更多信息,请参阅 。接口 VPC 终端节点 (Amazon PrivateLink)中的Amazon PrivateLink指南.

Security Hub VPC 终端节点的注意事项

在为 Security Hub 设置接口 VPC 终端节点之前,请务必查看接口终端节点属性和限制中的Amazon PrivateLink指南.

Security Hub 支持从 VPC 调用它的所有 API 操作。

注意

Security Hub 不支持亚太地区(大阪)区域的 VPC 终端节点。

为 Security Hub 创建接口 VPC 终端节点

您可以使用 Amazon VPC 控制台或Amazon Command Line Interface(Amazon CLI)。有关更多信息,请参阅 。创建接口终端节点中的Amazon PrivateLink指南.

使用以下服务名称为 Security Hub 创建 VPC 终端节点:

  • com.amazonaws.region.securityhub

如果为终端节点启用私有 DNS,则可以使用针对区域的默认 DNS 名称向 Security Hub 发出 API 请求,例如。securityhub.us-east-1.amazonaws.com.

有关更多信息,请参阅 。通过接口终端节点访问服务中的Amazon PrivateLink指南.

为 Security Hub 创建 VPC 终端节点策略

您可以为 VPC 终端节点附加控制对 Security Hub 的访问的终端节点策略。该策略指定以下信息:

  • 可执行操作的委托人。

  • 可执行的操作。

  • 可对其执行操作的资源。

有关更多信息,请参阅 。使用 VPC 终端节点控制对服务的访问权限中的Amazon PrivateLink指南.

例如:Security Hub 操作的 VPC 终端节点策略

下面是用于 Security Hub 的终端节点策略示例。当附加到终端节点时,此策略会向所有委托人授予对列出的针对所有资源的 Security Hub 操作的访问权限。

{
   "Statement":[
      {
         "Principal":"*",
         "Effect":"Allow",
         "Action":[
            "securityhub:getFindings",
            "securityhub:getEnabledStandards",
            "securityhub:getInsights"
         ],
         "Resource":"*"
      }
   ]
}