Security Hub CSPM リソースのタグ付け - AWS Security Hub
タグ付けの基本IAMポリシーでタグを使用する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Security Hub CSPM リソースのタグ付け

タグは、特定のタイプの AWS Security Hub Cloud Security Posture Management (CSPM) AWS リソースなど、リソースを定義して割り当てることができるオプションのラベルです。タグを使用することで、目的、所有者、環境、その他の条件など、さまざまな方法でリソースを分類および管理できます。例えば、タグを使用して、リソースを区別したり、特定のコンプライアンス要件やワークフローをサポートするリソースを識別したり、コストを割り当てたりできます。

次のタイプの Security Hub CSPM リソースにタグを追加できます。

  • 自動化ルール

  • 設定ポリシー

  • Hub リソース:

タグ付けの基本

リソースには、最大 50 個のタグを含めることができます。タグはそれぞれ、1 つの必須タグキーとオプションの 1 つのタグ値で設定されており、どちらもお客様側が定義します。タグキーは、より具体的なタグ値のカテゴリとして動作する一般的なラベルです。タグ値は、タグキーの記述子として機能します。

例えば、環境ごとに異なる自動化ルール (テスト用と本番用の自動化ルール) を作成する場合、それらのルールに Environment タグキーを割り当てます。関連するタグ値は、テストアカウントに関連付けられているルール用の Test でも、本番用アカウントと OU に関連するルール用の Prod でもかまいません。

AWS Security Hub Cloud Security Posture Management (CSPM) リソースを定義してタグを割り当てるときは、次の点に注意してください。

  • 各リソースには、最大 50 個のタグを設定できます。

  • リソースごとに、各タグ キーは一意である必要があり、タグ値は 1 つだけ持つことができます。

  • タグのキーと値では、大文字と小文字が区別されます。タグに大文字を使用する場合の戦略を決定し、その戦略をすべてのリソースにわたって一貫して実装することをペストプラクティスとして推奨します。

  • タグキーは最大 128 文字 (UTF-8) です。タグキーは最大 256 文字 (UTF-8) です。文字には、文字、数字、スペース、または記号 ( _ . : / = + - @) を使用できます。

  • aws: プレフィックスは が使用するために予約されています AWS。定義したどのタグキーやタグ値にも使用できません。さらに、このプレフィックスを使用するタグキーまたは値は変更または削除できません。このプレフィックスを使用するタグは、リソースあたりのタグ数のクォータ (50 個) にはカウントされません。

  • 割り当てたタグは、 と、割り当てた AWS アカウント AWS リージョン でのみ使用できます。

  • Security Hub CSPM を使用してリソースにタグを割り当てる場合、タグは、該当する の Security Hub CSPM に直接保存されているリソースにのみ適用されます AWS リージョン。これらは、Security Hub CSPM が他の で作成、使用、または維持する、関連するサポートリソースには適用されません AWS のサービス。例えば、Amazon Simple Storage Service (Amazon S3) に関連する検出結果を更新するオートメーションルールにタグを割り当てると、タグは指定されたリージョンの Security Hub CSPM のオートメーションルールにのみ適用されます。S3 バケットには適用されません。関連付けられたリソースにタグを割り当てるには、 AWS Resource Groups またはリソース AWS のサービス を保存する を使用できます。たとえば、SAmazon S3S3 などです。関連付けられたリソースにタグを割り当てると、Security Hub CSPM リソースのサポートリソースを特定するのに役立ちます。

  • リソースを削除すると、リソースに関連付けられているすべてのタグも削除されます。

重要

機密データやその他の機密データをタグに保存しないでください。タグには AWS のサービス、 を含む多くの からアクセスできます AWS Billing and Cost Management。それらは機密データに使用することを目的としていません。

Security Hub CSPM リソースのタグを追加および管理するには、Security Hub CSPM コンソール、Security Hub CSPM API、または AWS Resource Groups Tagging API を使用できます。Security Hub CSPM を使用すると、リソースの作成時にリソースにタグを追加できます。また、既存のリソースごとにタグを追加、管理することもできます。Resource Groups を使用すると、Security Hub CSPM など AWS のサービス、複数の にまたがる複数の既存のリソースに対してタグを一括で追加および管理できます。

タグ付けのその他のヒントとベストプラクティスについては、「 AWS リソースのタグ付けユーザーガイド」の「 AWS リソースのタグ付け」を参照してください。

IAMポリシーでタグを使用する

リソースのタグ付けを開始した後、タグベースのリソースレベルのアクセス許可を AWS Identity and Access Management (IAM) ポリシーで定義できます。この方法でタグを使用することで、リソースを作成およびタグ付けするアクセス許可 AWS アカウント を持つ のユーザーとロール、およびタグをより一般的に追加、編集、削除するアクセス許可を持つユーザーとロールをきめ細かく制御できます。タグに基づいてアクセスを制御するには、IAM ポリシーの条件要素タグ関連の条件キーを使用できます。

たとえば、リソースの Owner タグでユーザー名が指定されている場合、すべての AWS Security Hub Cloud Security Posture Management (CSPM) リソースへのフルアクセスをユーザーに許可する IAM ポリシーを作成できます。

{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "ModifyResourceIfOwner",
            "Effect": "Allow",
            "Action": "securityhub:*",
            "Resource": "*",
            "Condition": {
                "StringEqualsIgnoreCase": {"aws:ResourceTag/Owner": "${aws:username}"}
            }
        }
    ]
}

タグをベースにしてリソースレベルでアクセス許可を定義した場合、そのアクセス許可は即座に反映されます。つまり、リソースが作成されるとすぐにリソースの安全性が増し、新しいリソースにタグの使用をすぐに強制できるようになります。リソースレベルのアクセス許可を使用して、新しいリソースと既存のリソースに、どのタグキーと値を関連付けるかを制御することもできます。詳細については、IAM ユーザーガイド「タグを使用した AWS リソースへのアクセスの制御」を参照してください。