Security Hub 策略语法和示例 - Amazon Organizations
注意事项基本策略结构策略组件Security Hub 策略示例
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Security Hub 策略语法和示例

Security Hub 策略遵循标准化 JSON 语法,该语法定义了如何在组织中启用和配置 Security Hub。了解策略结构有助于您根据自己的安全需求创建有效策略。

注意事项

在创建 Security Hub 策略之前,请了解以下有关策略语法的关键点:

  • 策略中必须同时包含 enable_in_regionsdisable_in_regions 列表,但这两个列表都可以为空

  • 处理有效策略时,disable_in_regions 优先级高于 enable_in_regions

  • 除非明确限制,否则子策略可以使用继承运算符修改父策略

  • ALL_SUPPORTED 指定包含当前区域和未来区域

  • 区域名称必须有效且在 Security Hub 中可用

基本策略结构

Security Hub 策略使用以下基本结构:

{
  "securityhub": {
    "enable_in_regions": {
      "@@append": ["ALL_SUPPORTED"],
      "@@operators_allowed_for_child_policies": ["@@all"]
    },
    "disable_in_regions": {
      "@@append": [],
      "@@operators_allowed_for_child_policies": ["@@all"]
    }
  }
}

策略组件

Security Hub 策略包含以下关键组件:

securityhub

策略设置的顶级容器

所有 Security Hub 策略均必需

enable_in_regions

应启用 Security Hub 的区域列表

可以包含特定区域名称或 ALL_SUPPORTED

必填字段,但可以为空

使用 ALL_SUPPORTED 时,包含未来区域

disable_in_regions

应禁用 Security Hub 的区域列表

可以包含特定区域名称或 ALL_SUPPORTED

必填字段,但可以为空

区域同时出现在两个列表中时,优先级高于 enable_in_regions

继承运算符

@@assign:覆盖继承的值

@@append:将新值添加到现有值中

@@remove:从继承的设置中移除特定值

Security Hub 策略示例

以下示例演示了常见的 Security Hub 策略配置。

以下示例在所有当前和未来区域中启用了 Security Hub。此策略在 enable_in_regions 列表中使用了 ALL_SUPPORTED 并将 disable_in_regions 留空,这样可确保在新区域可用时实现全面的安全覆盖范围。

{
   "securityhub":{
      "enable_in_regions":{
         "@@assign":[
            "ALL_SUPPORTED"
         ]
      },
      "disable_in_regions":{
         "@@assign":[
            
         ]
      }
   }
}

此示例在所有区域(包括任何未来区域)中禁用了 Security Hub,因为 disable_in_regions 列表优先级高于 enable_in_regions

{
   "securityhub":{
      "enable_in_regions":{
         "@@assign":[
            "us-east-1",
            "us-west-2"
         ]
      },
      "disable_in_regions":{
         "@@assign":[
            "ALL_SUPPORTED"
         ]
      }
   }
}

以下示例演示了子策略如何使用继承运算符修改父策略的设置。这种方法既能实现精细控制,又能保持策略结构的整体性。子策略向 enable_in_regions 添加了一个新区域,并从 disable_in_regions 中移除了一个区域。

{
   "securityhub":{
      "enable_in_regions":{
         "@@append":[
            "eu-central-1"
         ]
      },
      "disable_in_regions":{
         "@@remove":[
            "us-west-2"
         ]
      }
   }
}

此示例说明如何在不使用 ALL_SUPPORTED 的情况下,在多个特定区域中启用 Security Hub。这样可以精确控制哪些区域启用了 Security Hub,同时使未指定的区域不受该策略的管理。

{
   "securityhub":{
      "enable_in_regions":{
         "@@assign":[
            "us-east-1",
            "us-west-2",
            "eu-west-1",
            "ap-southeast-1"
         ]
      },
      "disable_in_regions":{
         "@@assign":[
            
         ]
      }
   }
}

以下示例演示了如何通过在大多数区域中启用 Security Hub,同时在特定位置明确禁用 Security Hub 来满足区域合规性要求。disable_in_regions 列表具有优先级,确保无论其他策略设置如何,这些区域的 Security Hub 始终处于禁用状态。

{
   "securityhub":{
      "enable_in_regions":{
         "@@assign":[
            "ALL_SUPPORTED"
         ]
      },
      "disable_in_regions":{
         "@@assign":[
            "ap-east-1",
            "me-south-1"
         ]
      }
   }
}