AWS Security Hub e VPC endpoints de interface (AWS PrivateLink) - AWS Security Hub
Considerações sobre os endpoints da VPC do Security HubCriação de um endpoint da VPC de interface para o Security HubCriar uma política de endpoint da VPC no Security HubSub-redes compartilhadas

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

AWS Security Hub e VPC endpoints de interface (AWS PrivateLink)

É possível estabelecer uma conexão privada entre a VPC e o AWS Security Hub criando um VPC endpoint de interface. Os endpoints de interface são habilitados pelo AWS PrivateLink, uma tecnologia que permite acessar de forma privada as APIs do Security Hub sem um gateway da Internet, um dispositivo NAT, uma conexão VPN ou uma conexão do AWS Direct Connect. As instâncias na sua VPC não precisam de endereços IP públicos para a comunicação com APIs do Security Hub. O tráfego de rede entre a sua VPC e o Security Hub não sai da rede Amazon.

Cada endpoint de interface é representado por uma ou mais interfaces de rede elástica nas sub-redes.

Para mais informações, consulte Endpoints da VPC de interface(AWS PrivateLink) no Guia AWS PrivateLink.

Considerações sobre os endpoints da VPC do Security Hub

Antes de configurar um endpoint da VPC de interface para o Security Hub, revise as Propriedades e limitações de endpoints de interface no Guia AWS PrivateLink.

O Security Hub é compatível com chamadas para todas as ações de API da sua VPC.

nota

O Security Hub não é compatível com endpoints da VPC na região Asia Pacific (Osaka).

Criação de um endpoint da VPC de interface para o Security Hub

É possível criar um endpoint da VPC para o serviço Security Hub usando o console do Amazon VPC ou o AWS Command Line Interface (AWS CLI). Para mais informações, consulte Criar um endpoint de interface no Guia do usuário do AWS PrivateLink.

Crie um endpoint da VPC para o Security Hub usando o seguinte nome de serviço:

  • com.amazonaws.region.securityhub

Se você habilitar o DNS privado para o endpoint, poderá fazer solicitações de API para o Security Hub usando seu nome DNS padrão para a região, por exemplo, securityhub.us-east-1.amazonaws.com.

Para mais informações, consulte Acessar um serviço por meio de um endpoint de interface no Guia do AWS PrivateLink.

Criar uma política de endpoint da VPC no Security Hub

É possível anexar uma política de endpoint do endpoint da VPC que controla o acesso ao Security Hub. Essa política especifica as seguintes informações:

  • A entidade principal que pode executar ações.

  • As ações que podem ser executadas.

  • Os recursos sobre os quais as ações podem ser realizadas.

Para mais informações, consulte Controlar o acesso a serviços com endpoints da VPC no Guia AWS PrivateLink.

Exemplo: política de endpoint da VPC para ações do Security Hub

Veja a seguir um exemplo de uma política de endpoint para o Security Hub. Quando anexada a um endpoint, essa política concede acesso às ações indicadas do Security Hub para todos as entidades principais em todos os recursos.

{
   "Statement":[
      {
         "Principal":"*",
         "Effect":"Allow",
         "Action":[
            "securityhub:getFindings",
            "securityhub:getEnabledStandards",
            "securityhub:getInsights"
         ],
         "Resource":"*"
      }
   ]
}

Sub-redes compartilhadas

Você não pode criar, descrever, modificar ou excluir endpoints da VPC em sub-redes que são compartilhadas com você. No entanto, você pode usar os endpoints da VPC em sub-redes que são compartilhadas com você. Para obter informações sobre o compartilhamento da VPC, consulte Compartilhar sua VPC com outras contas no Guia do usuário da Amazon VPC.