AWS Security Hub 和介面 VPC 端點 (AWS PrivateLink) - AWS Security Hub
安全中心 VPC 端點的考量建立安全中心的介面 VPC 端點建立安全性中樞的 VPC 端點原則共用子網路

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS Security Hub 和介面 VPC 端點 (AWS PrivateLink)

您可以建立介面 VPC 端點,以在您的 VPC 與 AWS Security Hub 間建立私有連線。介面端點採用這項技術 AWS PrivateLink,可讓您在沒有網際網路閘道、NAT 裝置、VPN 連線或AWS直接連線的情況下,私密存取 Security Hub API。VPC 中的執行個體不需要公用 IP 位址即可與安全中心 API 通訊。您的 VPC 和安全中心之間的流量不會離開 Amazon 網路。

每個介面端點都是由您子網路中的一或多個彈性網絡介面表示。

如需詳細資訊,請參閱AWS PrivateLink指南中的介面 VPC 端點 (AWS PrivateLink)

安全中心 VPC 端點的考量

在為 Security Hub 設定介面虛擬私人雲端端點之前,請務必先檢閱AWS PrivateLink指南中的介面端點內容和限制

安全中心支援從您的 VPC 呼叫其所有 API 動作。

注意

安全中心不支援亞太區域 (大阪) 區域的 VPC 端點。

建立安全中心的介面 VPC 端點

您可以使用 Amazon VPC 主控台或 AWS Command Line Interface (AWS CLI) 為安全中樞服務建立 VPC 端點。如需詳細資訊,請參閱 《AWS PrivateLink 指南》中的建立介面端點

使用下列服務名稱建立安全中心的 VPC 端點:

  • com.amazonaws.region.securityhub

如果您為端點啟用私有 DNS,則可以使用該區域的預設 DNS 名稱向 Security Hub 發出 API 要求,例如securityhub.us-east-1.amazonaws.com

如需詳細資訊,請參閱指AWS PrivateLink南中的透過介面端點存取服務

建立安全性中樞的 VPC 端點原則

您可以將端點策略附加到控制對 Security Hub 的存取權的 VPC 端點。此政策會指定下列資訊:

  • 可執行動作的主體。

  • 可執行的動作。

  • 可供執行動作的資源。

如需詳細資訊,請參閱AWS PrivateLink指南中的使用 VPC 端點控制對服務的存取。

範例:安全中樞動作的 VPC 端點原則

以下是安全性中樞端點原則的範例。連接至端點時,此原則會授與所有資源上所有主體列出之 Security Hub 動作的存取權。

{
   "Statement":[
      {
         "Principal":"*",
         "Effect":"Allow",
         "Action":[
            "securityhub:getFindings",
            "securityhub:getEnabledStandards",
            "securityhub:getInsights"
         ],
         "Resource":"*"
      }
   ]
}

共用子網路

無法在與您共用的子網路中建立、描述、修改或刪除 VPC 端點。不過,可以在與您共用的子網路中使用 VPC 端點。如需 VPC 共用的相關資訊,請參閱 Amazon VPC 使用者指南中的與其他帳戶共用您的 VPC