AWS Security Hub dan titik akhir VPC antarmuka (AWS PrivateLink) - AWS Security Hub
Pertimbangan untuk titik akhir VPC Hub KeamananMembuat endpoint VPC antarmuka untuk Hub KeamananMembuat kebijakan endpoint VPC untuk Hub KeamananSubnet bersama

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

AWS Security Hub dan titik akhir VPC antarmuka (AWS PrivateLink)

Anda dapat membangun hubungan privat antara VPC Anda dan AWS Security Hub dengan membuat VPC endpoint antarmuka. Endpoint antarmuka didukung oleh AWS PrivateLink, teknologi yang memungkinkan Anda mengakses API Hub Keamanan secara pribadi tanpa gateway internet, perangkat NAT, koneksi VPN, atau koneksi AWS Direct Connect. Instans di VPC Anda tidak memerlukan alamat IP publik untuk berkomunikasi dengan API Hub Keamanan. Lalu lintas antara VPC dan Hub Keamanan Anda tidak meninggalkan jaringan Amazon.

Setiap titik akhir antarmuka diwakili oleh satu atau beberapa Antarmuka Jaringan Elastis di subnet Anda.

Untuk informasi selengkapnya, lihat Endpoint (AWS PrivateLink) Interface VPC di Panduan. AWS PrivateLink

Pertimbangan untuk titik akhir VPC Hub Keamanan

Sebelum menyiapkan endpoint VPC antarmuka untuk Hub Keamanan, pastikan Anda meninjau properti endpoint antarmuka dan batasan dalam Panduan. AWS PrivateLink

Security Hub mendukung melakukan panggilan ke semua tindakan API-nya dari VPC Anda.

catatan

Security Hub tidak mendukung titik akhir VPC di Wilayah Asia Pasifik (Osaka).

Membuat endpoint VPC antarmuka untuk Hub Keamanan

Anda dapat membuat titik akhir VPC untuk layanan Hub Keamanan menggunakan konsol Amazon VPC atau (). AWS Command Line Interface AWS CLI Untuk informasi selengkapnya, lihat Membuat titik akhir antarmuka di AWS PrivateLinkPanduan.

Buat endpoint VPC untuk Hub Keamanan menggunakan nama layanan berikut:

  • com.amazonaw. wilayah.securityhub

Jika Anda mengaktifkan DNS pribadi untuk titik akhir, Anda dapat membuat permintaan API ke Hub Keamanan menggunakan nama DNS default untuk Wilayah, misalnya,. securityhub.us-east-1.amazonaws.com

Untuk informasi selengkapnya, lihat Mengakses layanan melalui titik akhir antarmuka di AWS PrivateLinkPanduan.

Membuat kebijakan endpoint VPC untuk Hub Keamanan

Anda dapat melampirkan kebijakan endpoint ke endpoint VPC Anda yang mengontrol akses ke Hub Keamanan. Kebijakan menentukan informasi berikut ini:

  • Prinsip-prinsip yang dapat melakukan tindakan.

  • Tindakan yang dapat dilakukan.

  • Sumber daya yang dapat digunakan untuk mengambil tindakan.

Untuk informasi selengkapnya, lihat Mengontrol akses ke layanan dengan titik akhir VPC di AWS PrivateLink Panduan.

Contoh: Kebijakan endpoint VPC untuk tindakan Hub Keamanan

Berikut ini adalah contoh kebijakan endpoint untuk Security Hub. Saat dilampirkan ke titik akhir, kebijakan ini memberikan akses ke tindakan Hub Keamanan yang terdaftar untuk semua prinsipal di semua sumber daya.

{
   "Statement":[
      {
         "Principal":"*",
         "Effect":"Allow",
         "Action":[
            "securityhub:getFindings",
            "securityhub:getEnabledStandards",
            "securityhub:getInsights"
         ],
         "Resource":"*"
      }
   ]
}

Subnet bersama

Anda tidak dapat membuat, menjelaskan, memodifikasi, atau menghapus titik akhir VPC di subnet yang dibagikan dengan Anda. Namun, Anda dapat menggunakan titik akhir VPC di subnet yang dibagikan dengan Anda. Untuk informasi tentang berbagi VPC, lihat Berbagi VPC Anda dengan akun lain di Panduan Pengguna Amazon VPC.