標記 Security Hub CSPM 資源 - AWS Security Hub
標記基本概念在 IAM 政策中使用標籤

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

標記 Security Hub CSPM 資源

標籤是選用的標籤,您可以定義和指派給 AWS 資源,包括特定類型的 AWS Security Hub Cloud Security Posture Management (CSPM) 資源。標籤可協助您以不同的方式識別、分類和管理資源,例如依用途、擁有者、環境或其他條件。例如,您可以使用標籤來區分資源、識別支援特定合規要求或工作流程的資源,或分配成本。

您可以將標籤新增至下列類型的 Security Hub CSPM 資源:

  • 自動化規則

  • 組態政策

  • Hub 資源

標記基本概念

資源最多可以擁有 50 個標籤。每個標籤皆包含由您定義的必要「標籤金鑰」與選用「標籤值」標籤索引鍵是一般標籤,可做為更特定標籤值的類別。標籤值是標籤金鑰的描述項。

例如,如果您為不同的環境建立不同的自動化規則 (一組適用於測試帳戶的自動化規則,另一組則適用於生產帳戶),您可以將Environment標籤金鑰指派給這些規則。關聯的標籤值可能Test適用於與測試帳戶相關聯的規則,Prod以及與生產帳戶和 OUs 相關聯的規則。

當您定義並將標籤指派給 AWS Security Hub Cloud Security Posture Management (CSPM) 資源時,請記住下列事項:

  • 每個資源的上限為 50 個標籤。

  • 對於每個資源,每個標籤索引鍵必須是唯一的,而且只能有一個標籤值。

  • 標籤鍵與值皆區分大小寫。最佳實務是,建議您定義將標籤大寫的策略,並在整個資源中一致地實作該策略。

  • 標籤索引鍵最多可有 128 個 UTF-8 字元。標籤值最多可有 256 個 UTF-8 字元。字元可以是字母、數字、空格或下列符號:_ . : / = + - @

  • aws:首保留供 使用 AWS。您無法在定義的任何標籤索引鍵或值中使用它。此外,您無法變更或移除使用此字首的標籤索引鍵或值。使用此字首的標籤不會計入每個資源 50 個標籤的配額。

  • 您指派的任何標籤僅適用於您的 AWS 帳戶 ,且僅適用於您指派標籤 AWS 區域 的 。

  • 如果您使用 Security Hub CSPM 將標籤指派給資源,則這些標籤只會套用至在適用的 Security Hub CSPM 中直接存放的資源 AWS 區域。它們不會套用至 Security Hub CSPM 為您在其他 中建立、使用或維護的任何相關支援資源 AWS 服務。例如,如果您將標籤指派給更新與 Amazon Simple Storage Service (Amazon S3) 相關調查結果的自動化規則,則標籤只會套用至指定區域的 Security Hub CSPM 中的自動化規則。它們不會套用至您的 S3 儲存貯體。若要同時將標籤指派給相關聯的資源,您可以使用 AWS Resource Groups 或存放資源 AWS 服務 的 ,例如 Amazon S3 用於 S3 儲存貯體。將標籤指派給相關聯的資源,可協助您識別 Security Hub CSPM 資源的支援資源。

  • 如果您刪除資源,也會刪除指派給資源的任何標籤。

重要

請勿在標籤中存放機密或其他類型的敏感資料。標籤可從許多 存取 AWS 服務,包括 AWS 帳單與成本管理。它們不適用於敏感資料。

若要新增和管理 Security Hub CSPM 資源的標籤,您可以使用 Security Hub CSPM 主控台、Security Hub CSPM API 或 AWS Resource Groups 標記 API。使用 Security Hub CSPM,您可以在建立資源時將標籤新增至資源。您也可以新增和管理個別現有資源的標籤。透過資源群組,您可以大量新增和管理跨越多個現有資源的標籤 AWS 服務,包括 Security Hub CSPM。

如需其他標記提示和最佳實務,請參閱《標記 AWS 資源使用者指南》中的標記您的 AWS 資源

在 IAM 政策中使用標籤

開始標記資源後,您可以在 AWS Identity and Access Management (IAM) 政策中定義以標籤為基礎的資源層級許可。透過以這種方式使用標籤,您可以實作精細控制 中的哪些使用者和角色 AWS 帳戶 具有建立和標記資源的許可,以及哪些使用者和角色具有更普遍地新增、編輯和移除標籤的許可。若要根據標籤控制存取,您可以在 IAM 政策的條件元素中使用標籤相關條件索引鍵

例如,您可以建立 IAM 政策,以允許使用者完整存取所有 AWS Security Hub Cloud Security Posture Management (CSPM) 資源,如果資源的Owner標籤指定其使用者名稱:

{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "ModifyResourceIfOwner",
            "Effect": "Allow",
            "Action": "securityhub:*",
            "Resource": "*",
            "Condition": {
                "StringEqualsIgnoreCase": {"aws:ResourceTag/Owner": "${aws:username}"}
            }
        }
    ]
}

如果您定義標籤型、資源層級許可,則許可會立即生效。這表示您的資源一旦建立就會更安全,而且您可以快速開始強制使用新資源的標籤。您也可以使用資源層級許可,以控制哪些標籤金鑰和值可以與新的和現有的資源相關聯。如需詳細資訊,請參閱《IAM 使用者指南》中的使用標籤控制對 AWS 資源的存取