Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
AWS Estándar de etiquetado de recursos en Security Hub (CSPM)
El estándar AWS de etiquetado de recursos, desarrollado por AWS Security Hub CSPM, le ayuda a determinar si faltan etiquetas en sus AWS recursos. Las etiquetas son pares clave-valor que actúan como metadatos para organizar los recursos. AWS En la mayoría de los recursos de AWS , puede agregar etiquetas al recurso cuando lo crea o después de crearlo. Entre los ejemplos de recursos se incluyen CloudFront las distribuciones de Amazon, las instancias de Amazon Elastic Compute Cloud (Amazon EC2) y los secretos de entrada. AWS Secrets Manager Las etiquetas pueden ayudarle a administrar, identificar, organizar, buscar y filtrar AWS los recursos.
Cada etiqueta de tiene dos partes:
-
Una clave de etiqueta, por ejemplo,
CostCenter,Environment, oProject. Las claves de etiquetas distinguen entre mayúsculas y minúsculas. -
Un valor de etiqueta, por ejemplo,
111122223333oProduction. Al igual que las claves de etiquetas, los valores de las etiquetas distinguen mayúsculas de minúsculas.
Utilice etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Para obtener información sobre cómo añadir etiquetas a AWS los recursos, consulte los AWS recursos de etiquetado y la Guía del usuario del editor de etiquetas.
Para cada control que se aplique al estándar de etiquetado de AWS recursos de Security Hub CSPM, puede utilizar opcionalmente el parámetro compatible para especificar las claves de etiqueta que desea que compruebe el control. Si no especifica ninguna clave de etiqueta, el control verifica únicamente la existencia de al menos una clave de etiqueta y falla si un recurso no tiene ninguna.
Antes de habilitar el estándar AWS de etiquetado de recursos, es importante habilitar y configurar el registro de recursos en. AWS Config Al configurar el registro de recursos, asegúrese también de habilitarlo para todos los tipos de AWS recursos que se comprueban mediante los controles que se aplican al estándar. De lo contrario, es posible que el CSPM de Security Hub no pueda evaluar los recursos adecuados ni generar los resultados precisos para los controles aplicables al estándar. Para obtener más información, incluida una lista de los tipos de recursos que se deben registrar, consulte AWS Config Recursos necesarios para los hallazgos de control.
Tras activar el estándar de etiquetado de AWS recursos, empezará a recibir información sobre los controles que se aplican al estándar. Tenga en cuenta que Security Hub CSPM puede tardar hasta 18 horas en generar resultados para los controles que utilizan la misma regla AWS Config vinculada a servicios que los controles que se aplican a otros estándares habilitados. Para obtener más información, consulte Programación para ejecutar comprobaciones de seguridad.
El estándar de etiquetado de AWS recursos tiene el siguiente nombre de recurso de Amazon (ARN)arn:aws:securityhub::, region::standards/aws-resource-tagging-standard/v/1.0.0region donde es el código de región correspondiente. Región de AWS También puede utilizar el GetEnabledStandardsfuncionamiento de la API CSPM de Security Hub para recuperar el ARN de un estándar que esté habilitado actualmente.
nota
El estándar de etiquetado de recursos de AWS no está disponible en las regiones de Asia-Pacífico (Nueva Zelanda) y Asia-Pacífico (Taipéi).
Controles que se aplican al estándar
La siguiente lista especifica qué controles CSPM de AWS Security Hub se aplican al estándar de etiquetado de AWS recursos (v1.0.0). Para revisar los detalles de un control, seleccione el control.
-
[Amplify.1] Las aplicaciones de Amplify deben estar etiquetadas
-
[AppConfig.1] AWS AppConfig las aplicaciones deben estar etiquetadas
-
[AppConfig.2] Los perfiles de AWS AppConfig configuración deben estar etiquetados
-
[AppConfig.3] AWS AppConfig los entornos deben estar etiquetados
-
[AppConfig.4] Las asociaciones AWS AppConfig de extensiones deben estar etiquetadas
-
[AppFlow.1] AppFlow Los flujos de Amazon deben estar etiquetados
-
[AppRunner.1] Los servicios de App Runner deben estar etiquetados
-
[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados
-
[Athena.2] Los catálogos de datos de Athena deben estar etiquetados
-
[Athena.3] Los grupos de trabajo de Athena deben estar etiquetados
-
[AutoScaling.10] Los grupos EC2 de Auto Scaling deben estar etiquetados
-
[Backup.2] Los puntos AWS Backup de recuperación deben estar etiquetados
-
Los planes de AWS Backup informes [Backup.4] deben estar etiquetados
-
[Backup.5] los planes de AWS Backup respaldo deben estar etiquetados
-
[Batch.1] Las colas de trabajos de Batch deben estar etiquetadas
-
[Batch.2] Las políticas de programación de Batch deben estar etiquetadas
-
[Batch.3] Los entornos de computación de Batch deben estar etiquetados
-
[CloudFormation.2] las CloudFormation pilas deben estar etiquetadas
-
[CloudFront.14] las CloudFront distribuciones deben estar etiquetadas
-
[CodeArtifact.1] CodeArtifact Los repositorios deben estar etiquetados
-
[CodeGuruProfiler.1] Los grupos de CodeGuru creación de perfiles de Profiler deben estar etiquetados
-
[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas
-
[Connect.1] Los tipos de objeto de Perfiles de clientes de Amazon Connect deben estar etiquetados.
-
[Detective.1] Los gráficos de comportamiento de Detective deben estar etiquetados
-
[DMS.3] Las suscripciones a eventos de DMS deben estar etiquetadas
-
[DMS.4] Las instancias de replicación de DMS deben etiquetarse
-
[DMS.5] Los grupos de subredes de replicación del DMS deben estar etiquetados
-
[EC2.33] Los archivos adjuntos a las pasarelas de EC2 tránsito deben estar etiquetados
-
[EC2.34] Las tablas de rutas de las pasarelas de EC2 tránsito deben estar etiquetadas
-
[EC2.36] Las pasarelas de EC2 clientes deben estar etiquetadas
-
[EC2.37] Las direcciones IP EC2 elásticas deben estar etiquetadas
-
[EC2.39] Las pasarelas EC2 de Internet deben estar etiquetadas
-
[EC2.43] los grupos EC2 de seguridad deben estar etiquetados
-
[EC2.47] Los servicios de punto final de Amazon VPC deben estar etiquetados
-
[EC2.48] Los registros de flujo de Amazon VPC deben estar etiquetados
-
[EC2.49] Las conexiones de emparejamiento de Amazon VPC deben estar etiquetadas
-
[EC2.52] Las pasarelas de EC2 tránsito deben estar etiquetadas
-
[EC2.174] Los conjuntos de opciones de EC2 DHCP deben estar etiquetados
-
[EC2.175] Las plantillas de EC2 lanzamiento deben estar etiquetadas
-
[EC2.176] Las listas de EC2 prefijos deben estar etiquetadas
-
[EC2.177] las sesiones espejo EC2 de tráfico deberían estar etiquetadas
-
[EC2.178] Los filtros espejo de EC2 tráfico deben estar etiquetados
-
[EC2.179] Los objetivos EC2 de tráfico reflejados deben estar etiquetados
-
[ECR.4] Los repositorios públicos de ECR deben estar etiquetados
-
[ECS.15] Las definiciones de tareas de ECS deben etiquetarse
-
[EKS.7] Las configuraciones de los proveedores de identidad de EKS deben etiquetarse
-
[ES.9] Los dominios de Elasticsearch deben estar etiquetados
-
[EventBridge.2] los autobuses de EventBridge eventos deben estar etiquetados
-
[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas
-
[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados
-
[GuardDuty.4] GuardDuty los detectores deben estar etiquetados
-
[IAM.23] Los analizadores del Analizador de acceso de IAM deben etiquetarse
-
Los perfiles de AWS IoT Device Defender seguridad [IoT.1] deben estar etiquetados
-
[IoT.2] las acciones de AWS IoT Core mitigación deben estar etiquetadas
-
AWS IoT Core Las dimensiones de [IoT.3] deben estar etiquetadas
-
Los AWS IoT Core autorizadores [IoT.4] deben estar etiquetados
-
Los alias de los AWS IoT Core roles [IoT.5] deben estar etiquetados
-
[Io TEvents .1] Las entradas de AWS IoT Events deben estar etiquetadas
-
[Io TEvents .2] Los modelos de detectores de AWS IoT Events deben estar etiquetados
-
[Io TEvents .3] Los modelos de alarma de AWS IoT Events deben estar etiquetados
-
[Io TSite Wise.1] Los modelos de SiteWise activos de AWS IoT deben estar etiquetados
-
[Io TSite Wise.2] SiteWise Los paneles de AWS IoT deben estar etiquetados
-
[Io TSite Wise.3] SiteWise Las pasarelas de AWS IoT deben estar etiquetadas
-
[Io TSite Wise.4] Los SiteWise portales de AWS IoT deben estar etiquetados
-
[Io TSite Wise.5] Los SiteWise proyectos de AWS IoT deben estar etiquetados
-
[Io TTwin Maker.1] Los trabajos de TwinMaker sincronización de AWS IoT deben estar etiquetados
-
[Io TTwin Maker.2] Los TwinMaker espacios de trabajo de AWS IoT deben estar etiquetados
-
[Io TTwin Maker.3] TwinMaker Las escenas de AWS IoT deben estar etiquetadas
-
[Io TTwin Maker.4] TwinMaker Las entidades de AWS IoT deben estar etiquetadas
-
[Io TWireless .1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados
-
[Io TWireless .2] Los perfiles del servicio AWS IoT Wireless deben estar etiquetados
-
[Io TWireless .3] Las tareas de AWS IoT FUOTA deben estar etiquetadas
-
[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados
-
[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas
-
[Keyspaces.1] Los espacios de claves de Amazon Keyspaces deben estar etiquetados
-
[NetworkFirewall.7] Los firewalls de Network Firewall deben estar etiquetados
-
[NetworkFirewall.8] Las políticas de firewall de Network Firewall deben estar etiquetadas
-
Los OpenSearch dominios [Opensearch.9] deben estar etiquetados
-
[PCA.2] Se debe etiquetar a las autoridades certificadoras de CA AWS privadas
-
[RDS.28] Los clústeres de base de datos de RDS deben etiquetarse
-
[RDS.29] Las instantáneas del clúster de base de datos de RDS deben etiquetarse
-
[RDS.30] Las instancias de bases de datos de RDS deben etiquetarse
-
[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse
-
[RDS.32] Las instantáneas de bases de datos de RDS deben etiquetarse
-
[RDS.33] Los grupos de subredes de bases de datos de RDS deben etiquetarse
-
[Redshift.12] Las suscripciones a notificaciones de eventos de Redshift deben etiquetarse
-
[Redshift.13] Las instantáneas del clúster de Redshift deben etiquetarse
-
[Redshift.14] Los grupos de subredes del clúster de Redshift deben etiquetarse
-
[Redshift.17] Los grupos de parámetros de clúster de Redshift deben estar etiquetados
-
[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas
-
[SageMaker.7] SageMaker las imágenes deben estar etiquetadas
-
[SecretsManager.5] Los secretos de Secrets Manager deben estar etiquetados
-
[SES.1] Las listas de contactos de SES deben estar etiquetadas
-
[SES.2] Los conjuntos de configuración de SES deben estar etiquetados
-
[StepFunctions.2] Las actividades de Step Functions deben estar etiquetadas
-
Los AWS Transfer Family flujos de trabajo de [Transfer.1] deben estar etiquetados
-
[Transfer.4] Los acuerdos de Transfer Family deben estar etiquetados
-
[Transfer.5] Los certificados de Transfer Family deben estar etiquetados
-
[Transfer.6] Los conectores de Transfer Family deben estar etiquetados
-
[Transfer.7] Los perfiles de Transfer Family deben estar etiquetados