Marcar recursos do Security Hub

Uma tag é um rótulo opcional que você define e atribui a recursos da AWS, incluindo certos tipos de recurso do CSPM do AWS Security Hub. As tags podem ajudá-lo a identificar, categorizar e gerenciar recursos de diferentes maneiras, como por finalidade, proprietário, ambiente ou outros critérios. Por exemplo, é possível usar tags para distinguir entre recursos, identificar recursos que aceitam determinados requisitos de conformidade ou fluxos de trabalho ou alocar custos.

É possível adicionar tags aos tipos de recurso a seguir do CSPM do Security Hub:

Fundamentos das tags

Um recurso pode ter até 50 tags. Cada tag consiste em uma chave de tag obrigatória e um valor de tag opcional, ambos definidos por você. Uma chave de tag é uma etiqueta geral que atua como uma categoria para valores de tags mais específicos. Um valor de tag atua como um descritor de uma chave de tag.

Por exemplo, se você criar regras de automação diferentes para ambientes diferentes (um conjunto de regras de automação para contas de teste e outro para contas de produção), poderá atribuir uma chave de tag Environment a essas regras. O valor da tag associada pode ser Test para as regras associadas às contas de teste e Prod para as regras associadas às contas de produção e UOs.

Ao definir e atribuir tags aos recursos do CSPM do AWS Security Hub, lembre-se do seguinte:

Para adicionar e gerenciar tags em recursos do CSPM do Security Hub, é possível usar o console do CSPM do Security Hub, a API do CSPM do Security Hub ou a API de aplicação de tags do AWS Resource Groups. Com o CSPM do Security Hub é possível adicionar tags aos recursos ao criá-los. Também é possível adicionar e gerenciar tags para recursos individuais existentes. Com o Resource Groups é possível adicionar e gerenciar tags em lote para vários recursos existentes, abrangendo vários Serviços da AWS, incluindo o CSPM do Security Hub.

Para obter dicas sobre a aplicação de tags e práticas recomendadas, consulte Aplicação de tags nos seus recursos da AWS no Guia do usuário da aplicação de tags a recursos da AWS.

Utilizar tags nas políticas do IAM

Depois de começar a atribuir tags aos recursos, defina permissões de recurso baseadas em tags em políticas do AWS Identity and Access Management (IAM). Usando as tags dessa forma, é possível implementar um controle granular de quais grupos e usuários em sua Conta da AWS têm permissão para criar e atribuir tags a recursos e quais usuários e perfis têm permissão para adicionar, editar e remover tags de maneira mais geral. Para controlar o acesso com base em tags, você pode usar chaves de condição relacionadas à tag no elemento Condição das políticas do IAM.

Por exemplo, é possível criar uma política do IAM que permita que um usuário tenha acesso completo a todos os recursos do CSPM do AWS Security Hub, se a tag Owner para o recurso especificar seu nome de usuário:

JSON

{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ModifyResourceIfOwner",
            "Effect": "Allow",
            "Action": "securityhub:*",
            "Resource": "*",
            "Condition": {
                "StringEqualsIgnoreCase": {"aws:ResourceTag/Owner": "${aws:username}"}
            }
        }
    ]
}

Se você definir permissões em nível de recurso e baseadas em tag, elas entrarão em vigor imediatamente. Isso significa que seus recursos ficam mais seguros assim que são criados, e que você pode começar a aplicar rapidamente o uso de tags em novos recursos. Também é possível usar permissões em nível de recurso para controlar quais valores e chaves de tag podem ser associados a recursos novos e existentes. Para obter mais informações, consulte Controlar o acesso a recursos da AWS usando tags no Guia do usuário do IAM.