本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# AWS Security Hub CSPM 和接口 VPC 终端节点 (AWS PrivateLink)
<a name="security-vpc-endpoints"></a>

您可以通过创建接*口 VPC 终端节点在您 AWS Security Hub CSPM 的 VPC* 和之间建立私有连接。接口端点由一项技术提供支持 [AWS PrivateLink](https://aws.amazon.com/privatelink)，该技术使您 APIs 无需互联网网关、NAT 设备、VPN 连接或 Direct C AWS onnect 连接即可私密访问 Security Hub CSPM。您的 VPC 中的实例不需要公有 IP 地址即可与 Security Hub CSP APIs M 通信。您的 VPC 和 Security Hub CSPM 之间的流量不会离开亚马逊网络。

每个接口端点均由子网中的一个或多个[弹性网络接口](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html)表示。有关更多信息，请参阅《*Amazon Virtual Private Cloud 指南》中的[AWS 服务 使用接口 VPC 终端节点访问](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html)和*。

## Security Hub CSPM VPC 终端节点的注意事项
<a name="vpc-endpoint-considerations"></a>

在为 Security Hub CSPM 设置接口 VPC 终端节点之前，请务必查看[亚马逊虚拟私有云](https://docs.aws.amazon.com/vpc/latest/privatelink/what-is-privatelink.html)指南中的先决条件和其他信息。

Security Hub CSPM 支持从你的 VPC 调用其所有 API 操作。

## 为 Security Hub CSPM 创建接口 VPC 终端节点
<a name="vpc-endpoint-create"></a>

您可以使用亚马逊 VPC 控制台或 AWS Command Line Interface ()AWS CLI为 Security Hub CSPM 服务创建 VPC 终端节点。有关更多信息，请参阅《Amazon Virtual Private Cloud 指南》**中的[创建 VPC 端点](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#create-interface-endpoint)。

使用以下服务名称为 Security Hub CSPM 创建 VPC 终端节点：

`com.amazonaws.region.securityhub` 

适*region*用的地区代码在哪里 AWS 区域。

如果您为终端节点启用私有 DNS，则可以使用该区域的默认 DNS 名称向 Security Hub CSPM 发出 API 请求，`securityhub.us-east-1.amazonaws.com`例如美国东部（弗吉尼亚北部）区域。

## 为 Security Hub CSPM 创建 VPC 终端节点策略
<a name="vpc-endpoint-policy"></a>

您可以将终端节点策略附加到控制对 Security Hub CSPM 的访问权限的 VPC 终端节点。该策略指定以下信息：
+ 可执行操作的主体。
+ 可执行的操作。
+ 可对其执行操作的资源。

有关更多信息，请参阅《Amazon Virtual Private Cloud 指南》**中的[使用端点策略控制对 VPC 端点的访问](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html)。

**示例：Security Hub CSPM 操作的 VPC 终端节点策略**  
以下是 Security Hub CSPM 的端点策略示例。当连接到端点时，此策略允许所有委托人访问所有资源上列出的 Security Hub CSPM 操作。

```
{
   "Statement":[
      {
         "Principal":"*",
         "Effect":"Allow",
         "Action":[
            "securityhub:getFindings",
            "securityhub:getEnabledStandards",
            "securityhub:getInsights"
         ],
         "Resource":"*"
      }
   ]
}
```

## 共享子网
<a name="sh-vpc-endpoint-shared-subnets"></a>

您无法在与您共享的子网中创建、描述、修改或删除 VPC 端点。但是，您可以在与您共享的子网中使用 VPC 端点。有关 VPC 共享的信息，请参阅《Amazon Virtual Private Cloud 指南》**中的[与其他账户共享 VPC 子网](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-sharing.html)。