Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
AWS Estándar de etiquetado de recursos en Security Hub (CSPM)
El estándar de etiquetado de AWS recursos, desarrollado por AWS Security Hub Cloud Security Posture Management (CSPM), le ayuda a determinar si a sus AWS recursos les faltan etiquetas. Las etiquetas son pares clave-valor que actúan como metadatos para organizar los recursos. AWS En la mayoría de AWS los recursos, tiene la opción de añadir etiquetas a un recurso al crearlo o después de crearlo. Entre los ejemplos de recursos se incluyen CloudFront las distribuciones de Amazon, las instancias de Amazon Elastic Compute Cloud (Amazon EC2) y los secretos de entrada. AWS Secrets Manager Las etiquetas pueden ayudarle a administrar, identificar, organizar, buscar y filtrar AWS los recursos.
Cada etiqueta de tiene dos partes:
-
Una clave de etiqueta, por ejemplo,
CostCenterEnvironment, o.ProjectLas claves de etiqueta distinguen entre mayúsculas y minúsculas. -
Un valor de etiqueta, por ejemplo, o.
111122223333ProductionAl igual que las claves de etiqueta, los valores de etiqueta distinguen entre mayúsculas y minúsculas.
Utilice etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Para obtener información sobre cómo añadir etiquetas a AWS los recursos, consulte la Guía del usuario de Tagging AWS Resources y Tag Editor.
Para cada control que se aplique al estándar de etiquetado de AWS recursos de Security Hub CSPM, puede utilizar opcionalmente el parámetro compatible para especificar las claves de etiqueta que desea que compruebe el control. Si no especifica ninguna clave de etiqueta, el control solo comprueba la existencia de al menos una clave de etiqueta y falla si un recurso no tiene ninguna clave de etiqueta.
Antes de activar el estándar de etiquetado de AWS recursos, es importante activar y configurar primero el registro de recursos en AWS Config. Al configurar el registro de recursos, asegúrese también de habilitarlo para todos los tipos de AWS recursos que se comprueban mediante los controles que se aplican al estándar. De lo contrario, es posible que Security Hub CSPM no pueda evaluar los recursos adecuados y generar resultados precisos para los controles que se aplican a la norma. Para obtener más información, incluida una lista de los tipos de recursos que se deben registrar, consulte. AWS Config Recursos necesarios para los hallazgos de control
nota
El estándar AWS de etiquetado de recursos no está disponible en el oeste de Canadá (Calgary), China y las regiones. AWS GovCloud (US)
Tras activar el estándar de etiquetado de AWS recursos, empezará a recibir información sobre los controles que se aplican al estándar. Tenga en cuenta que Security Hub CSPM puede tardar hasta 18 horas en generar resultados para los controles que utilizan la misma regla AWS Config vinculada a servicios que los controles que se aplican a otros estándares habilitados. Para obtener más información, consulte Programación para ejecutar comprobaciones de seguridad.
El estándar AWS de etiquetado de recursos tiene el siguiente nombre de recurso de Amazon (ARN):. arn:aws:securityhub: También puede utilizar el GetEnabledStandardsfuncionamiento de la API CSPM de Security Hub para encontrar el ARN de un estándar habilitado.region::standards/aws-resource-tagging-standard/v/1.0.0
Controles que se aplican al estándar
En la siguiente lista se especifican los controles de AWS Security Hub Cloud Security Posture Management (CSPM) que se aplican al estándar de etiquetado de AWS recursos (v1.0.0). Para revisar los detalles de un control, selecciónelo.
-
[Amplify.1] Las aplicaciones de Amplify deben estar etiquetadas
-
[AppConfig.1] AWS AppConfig las aplicaciones deben estar etiquetadas
-
[AppConfig.2] los perfiles de AWS AppConfig configuración deben estar etiquetados
-
[AppConfig.3] AWS AppConfig los entornos deben estar etiquetados
-
[AppConfig.4] Las asociaciones AWS AppConfig de extensiones deben estar etiquetadas
-
[AppFlow.1] AppFlow Los flujos de Amazon deben estar etiquetados
-
[AppRunner.1] Los servicios de App Runner deben estar etiquetados
-
[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados
-
[Athena.2] Los catálogos de datos de Athena deben estar etiquetados
-
[Athena.3] Los grupos de trabajo de Athena deben estar etiquetados
-
[AutoScaling.10] Los grupos EC2 de Auto Scaling deben estar etiquetados
-
[Backup.2] Los puntos AWS Backup de recuperación deben estar etiquetados
-
[Backup.4] los planes de AWS Backup informes deben estar etiquetados
-
[Backup.5] los planes de AWS Backup respaldo deben estar etiquetados
-
[Batch.1] Las colas de trabajos por lotes deben estar etiquetadas
-
[Batch.2] Las políticas de programación de lotes deben estar etiquetadas
-
[Batch.3] Los entornos de procesamiento por lotes deben etiquetarse
-
[CloudFormation.2] las CloudFormation pilas deben estar etiquetadas
-
[CloudFront.14] CloudFront Las distribuciones deben etiquetarse
-
[CloudTrail.9] los registros de CloudTrail seguimiento deben etiquetarse
-
[CodeArtifact.1] CodeArtifact Los repositorios deben estar etiquetados
-
[CodeGuruProfiler.1] Los grupos de CodeGuru creación de perfiles de Profiler deben estar etiquetados
-
[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas
-
[Detective.1] Los gráficos de comportamiento de Detective deben estar etiquetados
-
[DMS.3] Las suscripciones a eventos de DMS deben estar etiquetadas
-
[DMS.4] Las instancias de replicación de DMS deben etiquetarse
-
[DMS.5] Los grupos de subredes de replicación del DMS deben estar etiquetados
-
[EC2.33] Las conexiones de puerta de enlace de EC2 tránsito deben etiquetarse
-
[EC2.34] Las tablas de enrutamiento de las puertas de enlace de EC2 tránsito deben etiquetarse
-
[EC2.36] Las pasarelas de EC2 clientes deben estar etiquetadas
-
[EC2.39] Las puertas de enlace de EC2 Internet deben etiquetarse
-
[EC2.42] Las tablas de EC2 enrutamiento deben estar etiquetadas
-
[EC2.43] los grupos EC2 de seguridad deben estar etiquetados
-
[EC2.47] Los servicios de puntos de conexión de Amazon VPC deben etiquetarse
-
[EC2.48] Los registros de flujo de Amazon VPC deben etiquetarse
-
[EC2.49] Las conexiones de emparejamiento de Amazon VPC deben etiquetarse
-
[EC2.174] Los conjuntos de opciones de EC2 DHCP deben estar etiquetados
-
[EC2.175] Las plantillas de EC2 lanzamiento deben estar etiquetadas
-
[EC2.176] Las listas de EC2 prefijos deben estar etiquetadas
-
[EC2.177] las sesiones espejo EC2 de tráfico deberían estar etiquetadas
-
[EC2.178] Los filtros espejo de EC2 tráfico deben estar etiquetados
-
[EC2.179] Los objetivos EC2 de tráfico reflejados deben estar etiquetados
-
[ECR.4] Los repositorios públicos de ECR deben estar etiquetados
-
[ECS.15] Las definiciones de tareas de ECS deben etiquetarse
-
[EKS.7] Las configuraciones de los proveedores de identidad de EKS deben etiquetarse
-
[ES.9] Los dominios de Elasticsearch deben estar etiquetados
-
[EventBridge.2] los autobuses de EventBridge eventos deben estar etiquetados
-
[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas
-
[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados
-
[GuardDuty.4] GuardDuty los detectores deben estar etiquetados
-
[IAM.23] Los analizadores del Analizador de acceso de IAM deben etiquetarse
-
Los perfiles de AWS IoT Device Defender seguridad [IoT.1] deben estar etiquetados
-
[IoT.2] las acciones de AWS IoT Core mitigación deben estar etiquetadas
-
AWS IoT Core Las dimensiones de [IoT.3] deben estar etiquetadas
-
Los AWS IoT Core autorizadores [IoT.4] deben estar etiquetados
-
Los alias de los AWS IoT Core roles [IoT.5] deben estar etiquetados
-
[Io TEvents .1] Las entradas de AWS IoT Events deben estar etiquetadas
-
[Io TEvents .2] Los modelos de detectores de AWS IoT Events deben estar etiquetados
-
[Io TEvents .3] Los modelos de alarma de AWS IoT Events deben estar etiquetados
-
[Io TSite Wise.1] Los modelos de SiteWise activos de AWS IoT deben estar etiquetados
-
[Io TSite Wise.2] SiteWise Los paneles de AWS IoT deben estar etiquetados
-
[Io TSite Wise.3] SiteWise Las pasarelas de AWS IoT deben estar etiquetadas
-
[Io TSite Wise.4] Los SiteWise portales de AWS IoT deben estar etiquetados
-
[Io TSite Wise.5] Los SiteWise proyectos de AWS IoT deben estar etiquetados
-
[Io TTwin Maker.1] Los trabajos de TwinMaker sincronización de AWS IoT deben estar etiquetados
-
[Io TTwin Maker.2] Los TwinMaker espacios de trabajo de AWS IoT deben estar etiquetados
-
[Io TTwin Maker.3] TwinMaker Las escenas de AWS IoT deben estar etiquetadas
-
[Io TTwin Maker.4] TwinMaker Las entidades de AWS IoT deben estar etiquetadas
-
[Io TWireless .1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados
-
[Io TWireless .2] Los perfiles del servicio AWS IoT Wireless deben estar etiquetados
-
[Io TWireless .3] Las tareas de AWS IoT FUOTA deben estar etiquetadas
-
[IVS.1] Los pares de teclas de reproducción del IVS deben estar etiquetados
-
[IVS.2] Las configuraciones de grabación del IVS deben estar etiquetadas
-
[Keyspaces.1] Los espacios clave de Amazon Keyspaces deben estar etiquetados
-
Los NetworkFirewall firewalls de Network Firewall se deben etiquetar
-
[NetworkFirewall.8] Las políticas de firewall de Network Firewall se deben etiquetar
-
Los OpenSearch dominios [Opensearch.9] deben estar etiquetados
-
[PCA.2] Se debe etiquetar a las autoridades certificadoras de CA AWS privadas
-
[RDS.28] Los clústeres de base de datos de RDS deben etiquetarse
-
[RDS.29] Las instantáneas del clúster de base de datos de RDS deben etiquetarse
-
[RDS.30] Las instancias de bases de datos de RDS deben etiquetarse
-
[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse
-
[RDS.32] Las instantáneas de bases de datos de RDS deben etiquetarse
-
[RDS.33] Los grupos de subredes de bases de datos de RDS deben etiquetarse
-
[Redshift.12] Las suscripciones a notificaciones de eventos de Redshift deben etiquetarse
-
[Redshift.13] Las instantáneas del clúster de Redshift deben etiquetarse
-
[Redshift.14] Los grupos de subredes del clúster de Redshift deben etiquetarse
-
[Redshift.17] Los grupos de parámetros del clúster de Redshift deben estar etiquetados
-
[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas
-
[SageMaker.6] Las configuraciones de imagen de la SageMaker aplicación deben estar etiquetadas
-
[SageMaker.7] SageMaker las imágenes deben estar etiquetadas
-
[SecretsManager.5] Los secretos de Secrets Manager deben estar etiquetados
-
[SES.1] Las listas de contactos de SES deben estar etiquetadas
-
[SES.2] Los conjuntos de configuración de SES deben estar etiquetados
-
[StepFunctions.2] Las actividades de Step Functions deben estar etiquetadas
-
Los AWS Transfer Family flujos de trabajo de [Transfer.1] deben estar etiquetados
-
[Transfer.4] Los acuerdos Transfer Family deben estar etiquetados
-
[Transfer.5] Los certificados de Transfer Family deben estar etiquetados
-
[Transfer.6] Los conectores Transfer Family deben estar etiquetados
-
[Transfer.7] Los perfiles de Transfer Family deben estar etiquetados
