Sintassi ed esempi della policy CSPM di Security Hub - AWS Organizations
ConsiderazioniStruttura politica di baseComponenti della policyEsempi di policy CSPM di Security Hub

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Sintassi ed esempi della policy CSPM di Security Hub

Le policy CSPM di Security Hub seguono una sintassi JSON standardizzata che definisce il modo in cui Security Hub CSPM è abilitato e configurato all'interno dell'organizzazione. La comprensione della struttura delle politiche consente di creare politiche efficaci per i requisiti di sicurezza.

Considerazioni

Prima di creare le policy CSPM di Security Hub, comprendi questi punti chiave sulla sintassi delle policy:

  • Entrambi enable_in_regions gli disable_in_regions elenchi sono obbligatori nella policy, sebbene possano essere vuoti

  • Nell'elaborazione di politiche efficaci, ha la disable_in_regions precedenza su enable_in_regions

  • Le politiche secondarie possono modificare le politiche principali utilizzando operatori di ereditarietà, a meno che non siano esplicitamente limitate

  • La ALL_SUPPORTED designazione include regioni attuali e future

  • I nomi delle aree devono essere validi e disponibili in Security Hub CSPM

Struttura politica di base

Una policy CSPM di Security Hub utilizza questa struttura di base:

{
  "securityhub": {
    "enable_in_regions": {
      "@@append": ["ALL_SUPPORTED"],
      "@@operators_allowed_for_child_policies": ["@@all"]
    },
    "disable_in_regions": {
      "@@append": [],
      "@@operators_allowed_for_child_policies": ["@@all"]
    }
  }
}

Componenti della policy

Le politiche CSPM di Security Hub contengono questi componenti chiave:

securityhub

Il contenitore di primo livello per le impostazioni delle politiche

Obbligatorio per tutte le politiche CSPM di Security Hub

enable_in_regions

Elenco delle regioni in cui deve essere abilitato Security Hub CSPM

Può contenere nomi di regioni specifici o ALL_SUPPORTED

Campo obbligatorio ma può essere vuoto

In caso di utilizzoALL_SUPPORTED, include le regioni future

disable_in_regions

Elenco delle regioni in cui Security Hub CSPM deve essere disabilitato

Può contenere nomi di regioni specifici o ALL_SUPPORTED

Campo obbligatorio ma può essere vuoto

Ha la precedenza su enable_in_regions quando le regioni appaiono in entrambi gli elenchi

Operatori di ereditarietà

@ @assign - Sovrascrive i valori ereditati

@ @append - Aggiunge nuovi valori a quelli esistenti

@ @remove - Rimuove valori specifici dalle impostazioni ereditate

Esempi di policy CSPM di Security Hub

Gli esempi seguenti mostrano le configurazioni comuni delle policy CSPM di Security Hub.

L'esempio seguente abilita Security Hub CSPM in tutte le regioni attuali e future. Inserendola ALL_SUPPORTED nell'enable_in_regionselenco e lasciandola disable_in_regions vuota, questa politica garantisce una copertura di sicurezza completa man mano che nuove regioni diventano disponibili.

{
   "securityhub":{
      "enable_in_regions":{
         "@@assign":[
            "ALL_SUPPORTED"
         ]
      },
      "disable_in_regions":{
         "@@assign":[
            
         ]
      }
   }
}

Questo esempio disabilita Security Hub CSPM in tutte le regioni, comprese le aree future, poiché l'disable_in_regionselenco ha la precedenza su. enable_in_regions

{
   "securityhub":{
      "enable_in_regions":{
         "@@assign":[
            "us-east-1",
            "us-west-2"
         ]
      },
      "disable_in_regions":{
         "@@assign":[
            "ALL_SUPPORTED"
         ]
      }
   }
}

L'esempio seguente dimostra come le politiche secondarie possono modificare le impostazioni delle politiche principali utilizzando operatori di ereditarietà. Questo approccio consente un controllo granulare mantenendo al contempo la struttura generale delle politiche. La politica per i bambini aggiunge una nuova regione enable_in_regions e ne rimuove una dadisable_in_regions.

{
   "securityhub":{
      "enable_in_regions":{
         "@@append":[
            "eu-central-1"
         ]
      },
      "disable_in_regions":{
         "@@remove":[
            "us-west-2"
         ]
      }
   }
}

Questo esempio mostra come abilitare Security Hub CSPM in più aree specifiche senza utilizzarlo. ALL_SUPPORTED Ciò fornisce un controllo preciso su quali aree hanno abilitato Security Hub CSPM, lasciando le aree non specificate non gestite dalla policy.

{
   "securityhub":{
      "enable_in_regions":{
         "@@assign":[
            "us-east-1",
            "us-west-2",
            "eu-west-1",
            "ap-southeast-1"
         ]
      },
      "disable_in_regions":{
         "@@assign":[
            
         ]
      }
   }
}

L'esempio seguente dimostra come gestire i requisiti di conformità regionali abilitando Security Hub CSPM nella maggior parte delle regioni e disabilitandolo esplicitamente in posizioni specifiche. L'disable_in_regionselenco ha la precedenza, garantendo che Security Hub CSPM rimanga disabilitato in quelle aree indipendentemente dalle altre impostazioni dei criteri.

{
   "securityhub":{
      "enable_in_regions":{
         "@@assign":[
            "ALL_SUPPORTED"
         ]
      },
      "disable_in_regions":{
         "@@assign":[
            "ap-east-1",
            "me-south-1"
         ]
      }
   }
}