Etichettatura delle risorse CSPM di Security Hub - AWS Security Hub
Nozioni fondamentali sull'etichettaturaUtilizzo di tag nelle policy IAM

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Etichettatura delle risorse CSPM di Security Hub

Un tag è un'etichetta opzionale che puoi definire e assegnare alle AWS risorse, inclusi alcuni tipi di risorse AWS Security Hub Cloud Security Posture Management (CSPM). I tag possono aiutarti a identificare, classificare e gestire le risorse in diversi modi, ad esempio per scopo, proprietario, ambiente o altri criteri. Ad esempio, è possibile utilizzare i tag per distinguere le risorse, identificare le risorse che supportano determinati requisiti o flussi di lavoro di conformità o allocare i costi.

È possibile aggiungere tag ai seguenti tipi di risorse CSPM di Security Hub:

  • Regole di automazione

  • Policy di configurazione

  • Risorsa Hub

Nozioni fondamentali sull'etichettatura

Una risorsa può avere fino a 50 tag. Ogni tag è composto da una chiave di tag obbligatoria e da un valore di tag opzionale, entrambi definibili dall'utente. Una chiave di tag è un'etichetta generale che funge da categoria per un valore di tag più specifico. Un valore di tag funge da descrittore di una chiave di tag.

Ad esempio, se si creano regole di automazione diverse per ambienti diversi (un set di regole di automazione per gli account di test e un altro per gli account di produzione), è possibile assegnare una chiave di Environment tag a tali regole. Il valore del tag associato potrebbe Test riferirsi alle regole associate agli account di test e Prod alle regole associate agli account di produzione e OUs.

Quando definisci e assegni i tag alle risorse AWS Security Hub Cloud Security Posture Management (CSPM), tieni presente quanto segue:

  • Ogni risorsa può avere un massimo di 50 tag.

  • Per ogni risorsa, ogni chiave di tag deve essere unica e può avere un solo valore di tag.

  • I valori e le chiavi dei tag rispettano la distinzione tra maiuscole e minuscole. Come best practice, ti consigliamo di definire una strategia per utilizzare i tag in maiuscolo e di implementarla in modo coerente tra le tue risorse.

  • Una chiave tag può contenere un massimo di 128 caratteri UTF-8. Il valore di un tag può contenere un massimo di 256 caratteri UTF-8. I caratteri possono essere lettere, numeri, spazi o i seguenti simboli: _.:/= + - @

  • Il aws: prefisso è riservato all'uso di AWS. Non puoi usarlo in nessuna chiave o valore di tag che definisci. Inoltre, non è possibile modificare o rimuovere le chiavi o i valori dei tag che utilizzano questo prefisso. I tag che utilizzano questo prefisso non vengono conteggiati per la quota di 50 tag per ogni risorsa.

  • Tutti i tag che assegni sono disponibili solo per te Account AWS e solo nel gruppo Regione AWS in cui li assegni.

  • Se si assegnano tag a una risorsa utilizzando Security Hub CSPM, i tag vengono applicati solo alla risorsa archiviata direttamente in Security Hub CSPM nel paese applicabile. Regione AWS Non vengono applicati alle risorse di supporto associate che Security Hub CSPM crea, utilizza o gestisce per te in altri. Servizi AWS Ad esempio, se assegni tag a una regola di automazione che aggiorna i risultati relativi ad Amazon Simple Storage Service (Amazon S3), i tag vengono applicati solo alla regola di automazione in Security Hub CSPM per la regione specificata. Non vengono applicati ai tuoi bucket S3. Per assegnare tag anche a una risorsa associata, puoi utilizzare AWS Resource Groups o Servizio AWS quello che memorizza la risorsa, ad esempio Amazon S3 per un bucket S3. L'assegnazione di tag alle risorse associate può aiutarti a identificare le risorse di supporto per le tue risorse CSPM di Security Hub.

  • Se si elimina una risorsa, vengono eliminati anche tutti i tag assegnati alla risorsa.

Importante

Non archiviate dati riservati o di altro tipo nei tag. I tag sono accessibili da molti Servizi AWS, tra cui AWS Billing and Cost Management. Non sono destinati a essere utilizzati per dati sensibili.

Per aggiungere e gestire i tag per le risorse CSPM di Security Hub, è possibile utilizzare la console CSPM di Security Hub, l'API CSPM di Security Hub o l'API Tagging. AWS Resource Groups Con Security Hub CSPM, puoi aggiungere tag a una risorsa quando la crei. È inoltre possibile aggiungere e gestire tag per singole risorse esistenti. Con Resource Groups, puoi aggiungere e gestire tag in blocco per più risorse esistenti su più risorse esistenti Servizi AWS, incluso Security Hub CSPM.

Per ulteriori suggerimenti e best practice sull'etichettatura, consulta Tagging your resources nella Tagging AWS Resources User Guide. AWS

Utilizzo di tag nelle policy IAM

Dopo aver iniziato a taggare le risorse, puoi definire autorizzazioni a livello di risorsa basate su tag nelle policy (IAM). AWS Identity and Access Management Utilizzando i tag in questo modo, puoi implementare un controllo granulare su quali utenti e ruoli all'interno dell'azienda Account AWS sono autorizzati a creare e contrassegnare risorse e quali utenti e ruoli sono autorizzati ad aggiungere, modificare e rimuovere tag più in generale. Per controllare l'accesso in base ai tag, puoi utilizzare le chiavi di condizione relative ai tag nell'elemento Condition delle politiche IAM.

Ad esempio, puoi creare una policy IAM che consenta a un utente di avere pieno accesso a tutte le risorse AWS Security Hub Cloud Security Posture Management (CSPM), se il Owner tag della risorsa specifica il suo nome utente:

{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "ModifyResourceIfOwner",
            "Effect": "Allow",
            "Action": "securityhub:*",
            "Resource": "*",
            "Condition": {
                "StringEqualsIgnoreCase": {"aws:ResourceTag/Owner": "${aws:username}"}
            }
        }
    ]
}

Se vengono definite autorizzazioni a livello di risorsa basate su tag, le autorizzazioni diventano subito effettive. Ciò significa che le risorse sono più sicure non appena vengono create e che è possibile avviare rapidamente l'applicazione di tag alle nuove risorse. È inoltre possibile utilizzare le autorizzazioni a livello di risorsa per controllare quali chiavi e valori di tag possono essere associati a risorse nuove ed esistenti. Per ulteriori informazioni, consulta Controllare l'accesso alle AWS risorse utilizzando i tag nella Guida per l'utente IAM.