Estándar de Etiquetado de recursos de AWS en el CSPM de Security Hub
El estándar Etiquetado de recursos de AWS, desarrollado por el CSPM de AWS Security Hub, ayuda a determinar si los recursos de AWS carecen de etiquetas. Las etiquetas son pares clave-valor que actúan como metadatos para organizar recursos de AWS. En la mayoría de los recursos de AWS, puede agregar etiquetas al recurso cuando lo crea o después de crearlo. Ejemplos de recursos incluyen las distribuciones de Amazon CloudFront, las instancias de Amazon Elastic Compute Cloud (Amazon EC2) y los secretos en AWS Secrets Manager. Las etiquetas pueden ayudar a administrar, identificar, organizar, buscar y filtrar recursos de AWS.
Cada etiqueta tiene dos partes:
-
Una clave de etiqueta, por ejemplo,
CostCenter,Environment, oProject. Las claves de etiqueta distinguen entre mayúsculas y minúsculas. -
Un valor de etiqueta, por ejemplo,
111122223333oProduction. Al igual que las claves de etiqueta, los valores de etiqueta distinguen entre mayúsculas y minúsculas.
Utilice etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Para obtener información sobre cómo agregar etiquetas a los recursos de AWS, consulte Etiquetado de recursos de AWS y Guía del usuario del Editor de etiquetas.
Para cada control que se aplica al estándar Etiquetado de recursos de AWS en el CSPM de Security Hub, puede usar opcionalmente el parámetro admitido para especificar las claves de etiqueta que desea que el control verifique. Si no especifica ninguna clave de etiqueta, el control verifica únicamente la existencia de al menos una clave de etiqueta y falla si un recurso no tiene ninguna.
Antes de habilitar el estándar Etiquetado de recursos de AWS, es importante habilitar y configurar el registro de recursos en AWS Config. Cuando configure el registro de recursos, asegúrese también de habilitarlo para todos los tipos de recursos de AWS que los controles aplicables al estándar verifican. De lo contrario, es posible que el CSPM de Security Hub no pueda evaluar los recursos adecuados ni generar los resultados precisos para los controles aplicables al estándar. Para obtener más información, incluida una lista de los tipos de recursos que se deben registrar, consulte Recursos de AWS Config necesarios para los resultados de control.
Después de habilitar el estándar Etiquetado de recursos de AWS, comienza a recibir resultados para los controles que se aplican al estándar. Tenga en cuenta que el CSPM de Security Hub puede tardar hasta 18 horas en generar resultados para los controles que usan la misma regla vinculada al servicio de AWS Config que los controles que se aplican a otros estándares habilitados. Para obtener más información, consulte Programación para ejecutar comprobaciones de seguridad.
El estándar Etiquetado de recursos de AWS tiene el siguiente nombre de recurso de Amazon (ARN): arn:aws:securityhub:, en el que region::standards/aws-resource-tagging-standard/v/1.0.0región es el código de la región correspondiente a la Región de AWS. También puede usar la operación GetEnabledStandards de la API del CSPM de Security Hub para obtener el ARN de un estándar que esté habilitado actualmente.
nota
El estándar de etiquetado de recursos de AWS no está disponible en las regiones de Asia-Pacífico (Nueva Zelanda) y Asia-Pacífico (Taipéi).
Controles que se aplican al estándar
La siguiente lista especifica qué controles del CSPM de AWS Security Hub se aplican al estándar Etiquetado de recursos de AWS (v1.0.0). Para revisar los detalles de un control, seleccione el control.
-
[Amplify.1] Las aplicaciones de Amplify deben estar etiquetadas
-
[AppConfig.1] Las aplicaciones de AWS AppConfig deben estar etiquetadas
-
[AppConfig.2] Los perfiles de configuración de AWS AppConfig deben estar etiquetados
-
[AppConfig.3] Los entornos de AWS AppConfig deben estar etiquetados
-
[AppConfig.4] Las asociaciones de extensiones de AWS AppConfig deben estar etiquetadas
-
[AppFlow.1] Los flujos de Amazon AppFlow deben estar etiquetados
-
[AppRunner.1] Los servicios de App Runner deben estar etiquetados
-
[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados.
-
[AppSync.4] Las API de GraphQL de AWS AppSync deben estar etiquetadas
-
[Athena.2] Los catálogos de datos de Athena deben estar etiquetados
-
[Athena.3] Los grupos de trabajo de Athena deben estar etiquetados
-
[AutoScaling.10] Los grupos de escalado automático de EC2 deben estar etiquetados
-
[Backup.2] Los puntos de recuperación de AWS Backup deben etiquetarse
-
[Backup.4] Los planes de informes de AWS Backup deben etiquetarse
-
[Backup.5] Los planes de copias de seguridad de AWS Backup deben etiquetarse
-
[Batch.1] Las colas de trabajos de Batch deben estar etiquetadas
-
[Batch.2] Las políticas de programación de Batch deben estar etiquetadas
-
[Batch.3] Los entornos de computación de Batch deben estar etiquetados
-
[CloudFormation.2] Las pilas de CloudFormation deben etiquetarse
-
[CloudFront.14] Las distribuciones de CloudFront deben etiquetarse
-
[CloudTrail.9] Los registros de seguimiento de CloudTrail deben etiquetarse
-
[CodeArtifact.1] Los repositorios de CodeArtifact deben etiquetarse
-
[CodeGuruReviewer.1] Las asociaciones de repositorio del Revisor de CodeGuru deben estar etiquetadas
-
[Connect.1] Los tipos de objeto de Perfiles de clientes de Amazon Connect deben estar etiquetados.
-
[Detective.1] Los gráficos de comportamiento de Detective deben estar etiquetados
-
[DMS.3] Las suscripciones a eventos de DMS deben estar etiquetadas
-
[DMS.4] Las instancias de replicación de DMS deben etiquetarse
-
[DMS.5] Los grupos de subredes de replicación del DMS deben estar etiquetados
-
[EC2.33] Las conexiones de puerta de enlace de tránsito de EC2 deben etiquetarse
-
[EC2.34] Las tablas de enrutamiento de las puertas de enlace de tránsito de EC2 deben etiquetarse
-
[EC2.36] Las puertas de enlace de cliente de EC2 deben etiquetarse
-
[EC2.37] Las direcciones IP elásticas de EC2 deben etiquetarse
-
[EC2.39] Las puertas de enlace de Internet de EC2 deben etiquetarse
-
[EC2.40] Las puertas de enlace de NAT de EC2 deben etiquetarse
-
[EC2.42] Las tablas de enrutamiento de EC2 deben etiquetarse
-
[EC2.47] Los servicios de puntos de conexión de Amazon VPC deben etiquetarse
-
[EC2.48] Los registros de flujo de Amazon VPC deben etiquetarse
-
[EC2.49] Las conexiones de emparejamiento de Amazon VPC deben etiquetarse
-
[EC2.50] Las puertas de enlace de NAT de EC2 deben etiquetarse
-
[EC2.52] Las puertas de enlace de tránsito de EC2 deben etiquetarse
-
[EC2.174] Los conjuntos de opciones DHCP de EC2 deben estar etiquetados
-
[EC2.175] Las plantillas de lanzamiento de EC2 deben estar etiquetadas
-
[EC2.176] Las listas de prefijos de EC2 deben estar etiquetadas
-
[EC2.177] Las sesiones de duplicación de tráfico de EC2 deben estar etiquetadas
-
[EC2.178] Los filtros de duplicación de tráfico de EC2 deben estar etiquetados
-
[EC2.179] Los destinos de duplicación de tráfico de EC2 deben estar etiquetados
-
[ECR.4] Los repositorios públicos de ECR deben estar etiquetados
-
[ECS.15] Las definiciones de tareas de ECS deben etiquetarse
-
[EKS.7] Las configuraciones de los proveedores de identidad de EKS deben etiquetarse
-
[ES.9] Los dominios de Elasticsearch deben estar etiquetados
-
[EventBridge.2] Los buses de eventos de EventBridge deben estar etiquetados
-
[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.2] Las etiquetas de categoría de Amazon Fraud Detector deben estar etiquetadas
-
[FraudDetector.3] Las salidas de Amazon Fraud Detector deben estar etiquetadas.
-
[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben etiquetarse
-
[GuardDuty.3] Los IPSets de GuardDuty deben estar etiquetados
-
[GuardDuty.4] Los detectores de GuardDuty deben estar etiquetados
-
[IAM.23] Los analizadores del Analizador de acceso de IAM deben etiquetarse
-
[IoT.1] Los perfiles de seguridad de AWS IoT Device Defender deben etiquetarse
-
[IoT.2] Las acciones de mitigación de AWS IoT Core deben etiquetarse
-
[IoT.5] Los alias de los roles de AWS IoT Core deben etiquetarse
-
[IoTEvents.1] Las entradas de AWS IoT Events deben estar etiquetadas.
-
[IoTEvents.2] Los modelos detectores de AWS IoT Events deben estar etiquetados.
-
[IoTEvents.3] Los modelos de alarmas de AWS IoT Events deben estar etiquetados.
-
[IoTSiteWise.1] Los modelos de activos de AWS IoT SiteWise deben estar etiquetados
-
[IoTSiteWise.2] Los paneles de AWS IoT SiteWise deben estar etiquetados
-
[IoTSiteWise.3] Las puertas de enlace de AWS IoT SiteWise deben estar etiquetadas
-
[IoTSiteWise.4] Los portales de AWS IoT SiteWise deben estar etiquetados
-
[IoTSiteWise.5] Los proyectos de AWS IoT SiteWise deben estar etiquetados
-
[IoTTwinMaker.1] Los trabajos de sincronización de AWS IoT TwinMaker deben estar etiquetados
-
[IoTTwinMaker.2] Los espacios de trabajo de AWS IoT TwinMaker deben estar etiquetados
-
[IoTTwinMaker.3] Las escenas de AWS IoT TwinMaker deben estar etiquetadas
-
[IoTTwinMaker.4] Las entidades de AWS IoT TwinMaker deben estar etiquetadas
-
[IoTWireless.1] Los grupos de multidifusión de AWS IoT Wireless deben estar etiquetados
-
[IoTWireless.2] Los perfiles de servicio de AWS IoT Wireless deben estar etiquetados
-
[IoTWireless.3] Las tareas FUOTA de AWS IoT deben estar etiquetadas
-
[IVS.1] Los pares de claves de reproducción de IVS deben estar etiquetados
-
[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas
-
[Keyspaces.1] Los espacios de claves de Amazon Keyspaces deben estar etiquetados
-
[NetworkFirewall.7] Los firewall de Network Firewall se deben etiquetar
-
[NetworkFirewall.8] Las políticas de firewall de Network Firewall se deben etiquetar
-
[Opensearch.9] Los dominios de OpenSearch deben estar etiquetados
-
[PCA.2] Las autoridades de certificado CA privadas de AWS deben estar etiquetadas
-
[RDS.28] Los clústeres de base de datos de RDS deben etiquetarse
-
[RDS.29] Las instantáneas del clúster de base de datos de RDS deben etiquetarse
-
[RDS.30] Las instancias de bases de datos de RDS deben etiquetarse
-
[RDS.31] Los grupos de seguridad de bases de datos de RDS deben etiquetarse
-
[RDS.32] Las instantáneas de bases de datos de RDS deben etiquetarse
-
[RDS.33] Los grupos de subredes de bases de datos de RDS deben etiquetarse
-
[Redshift.12] Las suscripciones a notificaciones de eventos de Redshift deben etiquetarse
-
[Redshift.13] Las instantáneas del clúster de Redshift deben etiquetarse
-
[Redshift.14] Los grupos de subredes del clúster de Redshift deben etiquetarse
-
[Redshift.17] Los grupos de parámetros de clúster de Redshift deben estar etiquetados
-
[Route53.1] Las comprobaciones de estado de Route 53 deben estar etiquetadas
-
[SageMaker.6] Las configuraciones de imágenes de aplicaciones de SageMaker deben estar etiquetadas
-
[SageMaker.7] Las imágenes de SageMaker deben estar etiquetadas
-
[SecretsManager.5] Los secretos de Secrets Manager deben estar etiquetados
-
[SES.1] Las listas de contactos de SES deben estar etiquetadas
-
[SES.2] Los conjuntos de configuración de SES deben estar etiquetados
-
[StepFunctions.2] Las actividades de Step Functions deben etiquetarse
-
[Transfer.1] Los flujos de trabajo de AWS Transfer Family deben etiquetarse
-
[Transfer.4] Los acuerdos de Transfer Family deben estar etiquetados
-
[Transfer.5] Los certificados de Transfer Family deben estar etiquetados
-
[Transfer.6] Los conectores de Transfer Family deben estar etiquetados
-
[Transfer.7] Los perfiles de Transfer Family deben estar etiquetados
