Etiquetado de los recursos de Security Hub (CSPM) - AWS Security Hub
Conceptos básicos del etiquetadoUso de etiquetas en políticas de IAM

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Etiquetado de los recursos de Security Hub (CSPM)

Una etiqueta es una etiqueta opcional que puede definir y asignar a AWS los recursos, incluidos determinados tipos de recursos de AWS Security Hub Cloud Security Posture Management (CSPM). Las etiquetas pueden ayudarle a identificar, clasificar y administrar recursos de distintas formas, como por finalidad, propietario, entorno u otros criterios. Por ejemplo, puede usar etiquetas para distinguir entre los recursos, identificar recursos que admiten ciertos requisitos de conformidad o flujos de trabajo, o asignar costos.

Puede añadir etiquetas a los siguientes tipos de recursos CSPM de Security Hub:

  • Reglas de automatización

  • Políticas de configuración

  • Recurso de Hub

Conceptos básicos del etiquetado

Un recurso puede tener hasta 50 etiquetas. Cada etiqueta está formada por una clave de etiqueta y un valor de etiqueta opcional, ambos definidos por el usuario. Un clave de etiqueta es una etiqueta general que actúa como una categoría para un valor de etiqueta más específicos. Un valor de etiqueta actúa como descriptor de una clave de etiqueta.

Por ejemplo, si crea reglas de automatización diferentes para entornos diferentes (un conjunto de reglas de automatización para las cuentas de prueba y otro para las cuentas de producción), puede asignar una clave de etiqueta Environment a esas reglas. El valor de etiqueta asociado puede ser Test para las reglas asociadas a las cuentas de prueba y Prod para las reglas asociadas a las cuentas de producción y. OUs

Al definir y asignar etiquetas a los recursos de AWS Security Hub Cloud Security Posture Management (CSPM), tenga en cuenta lo siguiente:

  • Cada recurso puede tener un máximo de 50 etiquetas.

  • Para cada recurso, cada clave de etiqueta debe ser única y solo puede tener un valor.

  • Las claves y los valores de las etiquetas distinguen entre mayúsculas y minúsculas. Le recomendamos que defina una estrategia de uso de mayúsculas y minúsculas en las etiquetas e implemente esa estrategia sistemáticamente en todos los recursos.

  • Una clave de etiqueta puede tener un máximo de 128 caracteres UTF-8. Una clave de valor puede tener un máximo de 256 caracteres UTF-8. Los caracteres pueden ser letras, números, espacios o los siguientes símbolos: _ . : / = + - @

  • El aws: prefijo está reservado para su uso por parte de. AWS No puede usarlo en las claves o valores de etiqueta que defina. Además, las claves o valores de etiqueta que utilizan este prefijo no se pueden cambiar ni quitar. Las etiquetas que usan este prefijo no cuentan para la cuota de 50 etiquetas por recurso.

  • Las etiquetas que asigne estarán disponibles solo para usted Cuenta de AWS y solo en el lugar Región de AWS en el que las asigne.

  • Si asigna etiquetas a un recurso mediante Security Hub CSPM, las etiquetas se aplican solo al recurso que está almacenado directamente en Security Hub CSPM, en el caso correspondiente. Región de AWS No se aplican a ningún recurso de soporte asociado que Security Hub CSPM cree, utilice o mantenga para usted en otros. Servicios de AWS Por ejemplo, si asigna etiquetas a una regla de automatización que actualiza los resultados relacionados con Amazon Simple Storage Service (Amazon S3), las etiquetas se aplican únicamente a su regla de automatización en Security Hub (CSPM) para la región especificada. No se aplican a sus buckets de S3. Para asignar también etiquetas a un recurso asociado, puede usar AWS Resource Groups o el Servicio de AWS que almacena el recurso, por ejemplo, Amazon S3 para un bucket de S3. La asignación de etiquetas a los recursos asociados puede ayudarle a identificar los recursos de apoyo para los recursos de CSPM de Security Hub.

  • Si elimina un recurso, también se eliminará cualquier etiqueta asignada a dicho recurso.

importante

No almacene datos confidenciales ni de otro tipo en etiquetas. Se puede acceder a las etiquetas desde muchos Servicios de AWS, entre ellos. Administración de facturación y costos de AWS No se diseñaron para utilizarse con datos confidenciales.

Para agregar y administrar etiquetas para los recursos CSPM de Security Hub, puede usar la consola CSPM de Security Hub, la API CSPM de Security Hub o la API de etiquetado. AWS Resource Groups Con Security Hub CSPM, puede añadir etiquetas a un recurso al crearlo. También puede añadir y gestionar etiquetas para los recursos individuales existentes. Con Resource Groups, puede añadir y administrar etiquetas de forma masiva para varios recursos existentes que abarquen varios Servicios de AWS, incluido Security Hub CSPM.

Para obtener consejos y prácticas recomendadas adicionales sobre el etiquetado, consulte Etiquetar los recursos en la Guía del usuario sobre cómo etiquetar AWS los recursos. AWS

Uso de etiquetas en políticas de IAM

Una vez que comience a etiquetar los recursos, puede definir permisos de recursos basados en etiquetas en las políticas de AWS Identity and Access Management (IAM). Al utilizar las etiquetas de este modo, puede implementar un control pormenorizado sobre qué usuarios y roles de su empresa Cuenta de AWS tienen permiso para crear y etiquetar recursos, y qué usuarios y roles tienen permiso para añadir, editar y eliminar etiquetas de forma más general. Para controlar el acceso basándose función de etiquetas, puede utilizar claves de condición relacionadas con las etiquetas en el elemento Condition de las políticas de IAM.

Por ejemplo, puede crear una política de IAM que permita a un usuario tener acceso total a todos los recursos de AWS Security Hub Cloud Security Posture Management (CSPM), si la Owner etiqueta del recurso especifica su nombre de usuario:

{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "ModifyResourceIfOwner",
            "Effect": "Allow",
            "Action": "securityhub:*",
            "Resource": "*",
            "Condition": {
                "StringEqualsIgnoreCase": {"aws:ResourceTag/Owner": "${aws:username}"}
            }
        }
    ]
}

Si define los permisos de nivel de recurso basados en etiquetas, estos entrarán en vigor inmediatamente. Esto significa que sus recursos están más seguros en cuanto se crean y que puede empezar a aplicar el uso de etiquetas de nuevos recursos rápidamente. También puede usar permisos de nivel de recurso para controlar las claves y valores de etiqueta que se pueden asociar a recursos nuevos y existentes. Para obtener más información, consulte Controlar el acceso a AWS los recursos mediante etiquetas en la Guía del usuario de IAM.