Amazon Security Hub 和接口VPC端点 (Amazon PrivateLink) - Amazon Security Hub
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon Security Hub 和接口VPC端点 (Amazon PrivateLink)

您可以通过创建接口VPC终端节点在您的VPC和 Amazon Security Hub 之间建立私有连接。接口端点由一项技术提供支持 Amazon PrivateLink,该技术使您APIs无需互联网网关、NAT设备、连接或 Di Amazon rect Connect VPN 连接即可私密访问 Security Hub。您中的实例VPC不需要公有 IP 地址即可与 Security Hub 通信APIs。您VPC和 Security Hub 之间的流量不会离开亚马逊网络。

每个接口端点均由子网中的一个或多个弹性网络接口表示。

有关更多信息,请参阅Amazon PrivateLink 指南中的接口VPC端点 (Amazon PrivateLink)

Security Hub VPC 端点的注意事项

在为 Security Hub 设置接口VPC终端节点之前,请务必查看Amazon PrivateLink 指南中的接口端点属性和限制

Security Hub 支持从您的调用其所有API操作VPC。

注意

Security Hub 不支持亚太地区(大阪)地区的VPC终端节点。

为 Security Hub 创建接口VPC端点

您可以使用亚马逊VPC控制台或 Amazon Command Line Interface (Amazon CLI) 为 Security Hub 服务创建VPC终端节点。有关更多信息,请参阅《Amazon PrivateLink 指南》中的创建接口端点

使用以下服务名称为 Security Hub 创建VPC终端节点:

  • com.amazonaws。 region.securityh

如果您DNS为终端节点启用私有功能,则可以使用该区域的默认DNS名称向 Security Hub API 发出请求,例如securityhub.us-east-1.amazonaws.com

有关更多信息,请参阅 Amazon PrivateLink 指南中的通过接口端点访问服务

为 Security Hub 创建VPC终端节点策略

您可以将终端节点策略附加到控制对 Security Hub 的访问权限的VPC终端节点。该策略指定以下信息:

  • 可执行操作的主体。

  • 可执行的操作。

  • 可对其执行操作的资源。

有关更多信息,请参阅Amazon PrivateLink 指南中的使用VPC终端节点控制对服务的访问权限

示例:Security Hub 操作的VPC端点策略

下面是用于 Security Hub 的端点策略示例。当附加到端点时,此策略会向所有资源上的所有主体授予对列出的 Security Hub 操作的访问权限。

{ "Statement":[ { "Principal":"*", "Effect":"Allow", "Action":[ "securityhub:getFindings", "securityhub:getEnabledStandards", "securityhub:getInsights" ], "Resource":"*" } ] }

共享子网

您无法在与您共享的子网中创建、描述、修改或删除VPC终端节点。但是,您可以在与您共享的子网中使用VPC终端节点。有关VPC共享的信息,请参阅 Amazon VPC 用户指南中的VPC与其他账户共享您的账户。