Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Kennzeichnen von AWS Security Hub Hub-Ressourcen
Ein Tag ist eine optionale Bezeichnung, die Sie definieren und AWS Ressourcen zuweisen können, einschließlich bestimmter Typen von AWS Security Hub Hub-Ressourcen. Mithilfe von Tags können Sie Ressourcen auf unterschiedliche Weise identifizieren, kategorisieren und verwalten, z. B. nach Zweck, Eigentümer, Umgebung oder anderen Kriterien. Mithilfe von Tags können Sie beispielsweise zwischen Ressourcen unterscheiden, Ressourcen identifizieren, die bestimmte Compliance-Anforderungen oder Workflows unterstützen, oder Kosten zuordnen.
Sie können den folgenden Typen von Security Hub Hub-Ressourcen Tags zuweisen: Automatisierungsregeln, Konfigurationsrichtlinien und die Hub Ressource.
Eine Ressource kann bis zu 50 Tags enthalten. Jedes Tag besteht aus einem Schlüssel und einem optionalen Wert. Beides können Sie definieren. Ein Tag-Schlüssel ist eine allgemeine Bezeichnung, die als Kategorie für einen spezifischeren Tag-Wert dient. Ein Tag-Wert dient als Bezeichnung für einen Tag-Schlüssel.
Wenn Sie beispielsweise unterschiedliche Automatisierungsregeln für verschiedene Umgebungen erstellen (einen Satz von Automatisierungsregeln für Testkonten und einen anderen für Produktionskonten), können Sie diesen Regeln einen Environment Tagschlüssel zuweisen. Der zugehörige Tagwert kann Test für die Regeln gelten, die Testkonten zugeordnet sind, und Prod für die Regeln, die Produktionskonten und Organisationseinheiten zugeordnet sind.
Beachten Sie bei der Definition und Zuweisung von Tags zu AWS Security Hub Hub-Ressourcen Folgendes:
-
Jede Ressource kann maximal 50 Tags haben.
-
Für jede Ressource muss jeder Tag-Schlüssel eindeutig sein und er kann nur einen Tag-Wert haben.
-
Bei Tag-Schlüsseln und -Werten muss die Groß- und Kleinschreibung beachtet werden. Als bewährte Methode empfehlen wir Ihnen, eine Strategie zur Großschreibung von Tags zu definieren und diese Strategie in allen Ressourcen einheitlich umzusetzen.
-
Ein Tag-Schlüssel kann maximal 128 UTF-8-Zeichen enthalten. Ein Tag-Wert kann maximal 256 UTF-8-Zeichen enthalten. Die Zeichen können Buchstaben, Zahlen, Leerzeichen oder die folgenden Symbole sein: _.:/= + - @
-
Das aws: Präfix ist für die Verwendung durch reserviertAWS. Sie können es nicht in Tag-Schlüsseln oder -Werten verwenden, die Sie definieren. Außerdem können Sie Tag-Schlüssel oder Werte, die dieses Präfix verwenden, nicht ändern oder entfernen. Tags mit diesem Präfix werden beim Kontingent von 50 Tags pro Ressource nicht eingerechnet.
-
Alle Tags, die Sie zuweisen, sind nur für Sie AWS-Konto und nur in dem verfügbar, AWS-Region in dem Sie sie zuweisen.
-
Wenn Sie einer Ressource mithilfe von Security Hub Tags zuweisen, werden die Tags nur auf die Ressource angewendet, die direkt in Security Hub im entsprechenden Verzeichnis gespeichert istAWS-Region. Sie gelten nicht für zugehörige, unterstützende Ressourcen, die Security Hub für Sie in anderen Bereichen erstellt, verwendet oder verwaltetAWS-Services. Wenn Sie beispielsweise einer Automatisierungsregel, die Ergebnisse im Zusammenhang mit Amazon Simple Storage Service (Amazon S3) aktualisiert, Tags zuweisen, werden die Tags nur auf Ihre Automatisierungsregel in Security Hub für die angegebene Region angewendet. Sie werden nicht auf Ihre S3-Buckets angewendet. Um auch einer zugehörigen Ressource Tags zuzuweisen, können Sie AWS Resource Groups oder das verwenden, AWS-Service das die Ressource speichert — zum Beispiel Amazon S3 für einen S3-Bucket. Das Zuweisen von Tags zu zugehörigen Ressourcen kann Ihnen dabei helfen, unterstützende Ressourcen für Ihre Security Hub Hub-Ressourcen zu identifizieren.
-
Wenn Sie eine Ressource löschen, werden alle Tags, die der Ressource zugewiesen sind, ebenfalls gelöscht.
Speichern Sie keine vertraulichen oder anderen sensiblen Daten in Tags. Auf Tags kann von vielen aus zugegriffen werdenAWS-Services, darunterAWS Billing and Cost Management. Sie sind nicht dafür vorgesehen, für sensible Daten verwendet zu werden.
Um Tags für Security Hub Hub-Ressourcen hinzuzufügen und zu verwalten, können Sie die Security Hub Hub-Konsole, die Security Hub Hub-API oder die AWS Resource Groups Tagging-API verwenden. Mit Security Hub können Sie einer Ressource Tags hinzufügen, wenn Sie die Ressource erstellen. Sie können auch Tags für einzelne vorhandene Ressourcen hinzufügen und verwalten. Mit Resource Groups können Sie Tags für mehrere bestehende RessourcenAWS-Services, einschließlich Security Hub, in großen Mengen hinzufügen und verwalten.
Weitere Tipps und bewährte Methoden zur Kennzeichnung finden Sie unter Tagging Your AWS Resources User Guide im Tagging AWS Resources User Guide.
Nachdem Sie mit dem Taggen von Ressourcen begonnen haben, können Sie tagbasierte Berechtigungen auf Ressourcenebene in (IAM-) Richtlinien definieren. AWS Identity and Access Management Durch die Verwendung von Tags auf diese Weise können Sie detailliert steuern, welche Benutzer und Rollen in Ihrem Unternehmen die Berechtigung AWS-Konto haben, Ressourcen zu erstellen und zu taggen, und welche Benutzer und Rollen generell die Berechtigung haben, Tags hinzuzufügen, zu bearbeiten und zu entfernen. Um den Zugriff anhand von Tags zu steuern, können Sie im Element Condition der IAM-Richtlinien Tag-bezogene Bedingungsschlüssel verwenden.
Sie können beispielsweise eine IAM-Richtlinie erstellen, die einem Benutzer vollen Zugriff auf alle AWS Security Hub-Ressourcen gewährt, wenn das Owner Tag für die Ressource seinen Benutzernamen angibt:
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ModifyResourceIfOwner",
"Effect": "Allow",
"Action": "securityhub:*",
"Resource": "*",
"Condition": {
"StringEqualsIgnoreCase": {"aws:ResourceTag/Owner": "${aws:username}"}
}
}
]
}
Wenn Sie Tag-basierte Berechtigungen auf Ressourcenebene definieren, werden die Berechtigungen sofort wirksam. Dies bedeutet, dass Ihre Ressourcen besser geschützt sind, sobald sie erstellt wurden, und Sie schnell damit beginnen können, die Verwendung von Tags für neue Ressourcen zu erzwingen. Mithilfe von Berechtigungen auf Ressourcenebene können Sie auch steuern, welche Tag-Schlüssel und -Werte können mit neuen und vorhandenen Ressourcen verknüpft werden können. Weitere Informationen finden Sie unter Steuern des Zugriffs auf AWS-Ressourcen mithilfe von Tags im IAM-Benutzerhandbuch.
Um einer einzelnen AWS Security Hub Hub-Ressource Tags hinzuzufügen, können Sie die Security Hub Hub-Konsole oder die Security Hub Hub-API verwenden. Die Konsole unterstützt das Hinzufügen von Tags zur Hub Ressource nicht.
Um mehreren Security Hub Hub-Ressourcen gleichzeitig Tags hinzuzufügen, verwenden Sie die Tagging-Operationen der AWS Resource GroupsTagging-API.
Das Hinzufügen von Tags zu einer Ressource kann sich auf den Zugriff auf die Ressource auswirken. Bevor Sie einer Ressource ein Tag hinzufügen, überprüfen Sie alle AWS Identity and Access Management (IAM-) Richtlinien, die möglicherweise Tags verwenden, um den Zugriff auf Ressourcen zu steuern.
- Console
-
So fügen Sie einer Ressource einen Tag hinzu
Wenn Sie eine Automatisierungsregel oder eine Konfigurationsrichtlinie erstellen, bietet die Security Hub Hub-Konsole Optionen zum Hinzufügen von Tags. Sie können den Tag-Schlüssel und den Tag-Wert im Abschnitt Tags angeben.
- Security Hub API & AWS CLI
-
So fügen Sie einer Ressource einen Tag hinzu
Um eine Ressource zu erstellen und ihr programmgesteuert ein oder mehrere Tags hinzuzufügen, verwenden Sie den entsprechenden Vorgang für den Ressourcentyp, den Sie erstellen möchten:
Um eine Konfigurationsrichtlinie zu erstellen und ihr ein oder mehrere Tags hinzuzufügen, rufen Sie die CreateConfigurationPolicyAPI auf oder führen Sie, falls Sie die verwendenAWS CLI, den Befehl aus. create-configuration-policy
Um eine Automatisierungsregel zu erstellen und ihr ein oder mehrere Tags hinzuzufügen, rufen Sie die CreateAutomationRuleAPI auf oder führen Sie, falls Sie die verwendenAWS CLI, den create-automation-ruleBefehl aus.
Um Security Hub zu aktivieren und Ihrer Hub Ressource ein oder mehrere Tags hinzuzufügen, rufen Sie die EnableSecurityHubAPI auf oder führen Sie, falls Sie die AWS Command Line Interface (AWS CLI) verwenden, den enable-security-hubBefehl aus.
Verwenden Sie in Ihrer Anfrage den tags Parameter, um den Tag-Schlüssel und den optionalen Tag-Wert für jedes Tag anzugeben, das der Ressource hinzugefügt werden soll. Der tags Parameter gibt ein Array von Objekten an. Jedes Objekt gibt einen Tag-Schlüssel und den zugehörigen Tag-Wert an.
Um einer vorhandenen Ressource ein oder mehrere Tags hinzuzufügen, verwenden Sie den TagResourceBetrieb der Security Hub Hub-API oder, falls Sie die verwendenAWS CLI, führen Sie den Befehl tag-resource aus. Geben Sie in Ihrer Anfrage den Amazon-Ressourcennamen (ARN) der Ressource an, der Sie ein Tag hinzufügen möchten. Verwenden Sie den tags Parameter, um den Tag-Schlüssel (key) und den optionalen Tag-Wert (value) für jedes hinzuzufügende Tag anzugeben. Der tags Parameter gibt ein Array von Objekten an, ein Objekt für jeden Tag-Schlüssel und den zugehörigen Tag-Wert.
Der folgende AWS CLI Befehl fügt beispielsweise der angegebenen Konfigurationsrichtlinie einen Prod Tag-Schlüssel mit einem Tag-Wert hinzu. Environment Dieses Beispiel ist für Linux, macOS oder Unix formatiert und verwendet den umgekehrten Schrägstrich (\), um die Lesbarkeit zu verbessern.
Beispiel für einen CLI-Befehl:
$ aws securityhub tag-resource \
--resource-arn arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 \
--tags key=Environment,value=Prod
Wobei gilt:
-
resource-arngibt den ARN der Konfigurationsrichtlinie an, zu der ein Tag hinzugefügt werden soll.
-
Environment
-
ProdEnvironment
Im folgenden Beispiel fügt der Befehl der Konfigurationsrichtlinie mehrere Tags hinzu.
$ aws securityhub tag-resource \
--resource-arn arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 \
--tags key=Environment,value=Prod key=CostCenter,value=12345 key=Owner,value=jane-doe
Für jedes Objekt in einem tags Array sind key sowohl die value Argumente als auch erforderlich. Der Wert für das value Argument kann jedoch eine leere Zeichenfolge sein. Wenn Sie einem Tag-Schlüssel keinen Tag-Wert zuordnen möchten, geben Sie keinen Wert für das value Argument an. Mit dem folgenden Befehl wird beispielsweise ein Owner Tag-Schlüssel ohne zugehörigen Tag-Wert hinzugefügt:
$ aws securityhub tag-resource \
--resource-arn arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 \
--tags key=Owner,value=
Wenn ein Tagging-Vorgang erfolgreich ist, gibt Security Hub eine leere HTTP 200-Antwort zurück. Andernfalls gibt Security Hub eine HTTP 4 xx - oder 500-Antwort zurück, die angibt, warum der Vorgang fehlgeschlagen ist.
Sie können die Tags (sowohl Tag-Schlüssel als auch Tag-Werte) für eine Security Hub Hub-Automatisierungsregel oder -konfigurationsrichtlinie mithilfe der Security Hub Hub-Konsole oder der Security Hub Hub-API überprüfen. Die Konsole unterstützt die Überprüfung von Tags für die Hub Ressource nicht.
Verwenden Sie die Tagging-Operationen der Tagging-API, um Tags für mehrere Security Hub Hub-Ressourcen gleichzeitig zu überprüfen. AWS Resource Groups
- Console
-
Um die Tags für eine Ressource zu überprüfen
Öffnen Sie mit den Anmeldeinformationen des Security Hub-Administrators die AWS Security Hub Hub-Konsole unter https://console.aws.amazon.com/securityhub/.
-
Gehen Sie je nach Art der Ressource, der Sie ein Tag hinzufügen möchten, wie folgt vor:
Um die Tags für eine Automatisierungsregel zu überprüfen, wählen Sie im Navigationsbereich Automatisierungen aus. Wählen Sie dann eine Automatisierungsregel aus.
Um die Tags für eine Konfigurationsrichtlinie zu überprüfen, wählen Sie im Navigationsbereich Konfiguration aus. Wählen Sie dann auf der Registerkarte Richtlinien die Option neben einer Konfigurationsrichtlinie aus. Ein Seitenbereich wird geöffnet, in dem die Anzahl der der Richtlinie zugewiesenen Tags angezeigt wird. Sie können den Tags-Header erweitern, um die Tag-Schlüssel und Tag-Werte zu sehen.
Im Abschnitt „Tags“ werden alle Tags aufgeführt, die der Ressource derzeit zugewiesen sind.
- Security Hub API & AWS CLI
-
Um die Tags für eine Ressource zu überprüfen
Rufen Sie die ListTagsForResourceAPI auf, um die Tags für eine vorhandene Ressource abzurufen und zu überprüfen. Verwenden Sie in Ihrer Anfrage den resourceArn Parameter, um den Amazon-Ressourcennamen (ARN) der Ressource anzugeben.
Wenn Sie den verwendenAWS CLI, führen Sie den list-tags-for-resourceBefehl aus und geben Sie mit dem resource-arn Parameter den ARN der Ressource an. Beispiel:
$ aws securityhub list-tags-for-resource --resource-arn arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111
Wenn der Vorgang erfolgreich ist, gibt Security Hub ein tags Array zurück. Jedes Objekt im Array spezifiziert ein Tag (sowohl den Tag-Schlüssel als auch den Tag-Wert), das der Ressource aktuell zugewiesen ist. Beispiel:
{
"tags": [
{
"key": "Environment",
"value": "Prod"
},
{
"key": "CostCenter",
"value": "12345"
},
{
"key": "Owner",
"value": ""
}
]
}
Wobei EnvironmentCostCenter, und Owner die Tag-Schlüssel sind, die der Ressource zugewiesen sind. Prodist der Tag-Wert, der dem Environment Tag-Schlüssel zugeordnet ist. 12345ist der Tag-Wert, der dem CostCenter Tag-Schlüssel zugeordnet ist. Dem Owner Tag-Schlüssel ist kein Tag-Wert zugeordnet.
Um eine Liste aller Security Hub Hub-Ressourcen mit Tags und aller Tags, die jeder dieser Ressourcen zugewiesen sind, abzurufen, verwenden Sie den GetResourcesBetrieb der AWS Resource Groups Tagging-API. Setzen Sie in Ihrer Anfrage den Wert für den ResourceTypeFilters Parameter aufsecurityhub. Führen Sie dazu mit dem den AWS CLI Befehl get-resources aus und setzen Sie den Wert für den resource-type-filters Parameter aufsecurityhub. Beispiel:
$ aws resourcegroupstaggingapi get-resources -\-resource-type-filters "securityhub"
Wenn der Vorgang erfolgreich ist, gibt Resource Groups ein ResourceTagMappingList Array zurück. Das Array enthält ein Objekt für jede Security Hub Hub-Ressource, die über Tags verfügt. Jedes Objekt spezifiziert den ARN einer Security Hub Hub-Ressource sowie die Tag-Schlüssel und -Werte, die der Ressource zugewiesen sind.
Um Tags (Tag-Schlüssel oder Tag-Werte) für eine AWS Security Hub Hub-Ressource zu bearbeiten, können Sie die Security Hub Hub-API verwenden. Die Security Hub Hub-Konsole unterstützt derzeit keine Tag-Bearbeitung.
Um Tags für mehrere Security Hub Hub-Ressourcen gleichzeitig zu bearbeiten, verwenden Sie die Tagging-Operationen der AWS Resource GroupsTagging-API.
Die Bearbeitung der Tags für eine Ressource kann sich auf den Zugriff auf die Ressource auswirken. Bevor Sie einen Tag-Schlüssel oder -Wert für eine Ressource bearbeiten, sollten Sie alle AWS Identity and Access Management (IAM-) Richtlinien überprüfen, die das Tag möglicherweise zur Steuerung des Zugriffs auf Ressourcen verwenden.
- Security Hub API & AWS CLI
-
Um die Tags für eine Ressource zu bearbeiten
Wenn Sie ein Tag für eine Ressource programmgesteuert bearbeiten, überschreiben Sie das vorhandene Tag mit neuen Werten. Daher hängt die beste Methode zum Bearbeiten eines Tags davon ab, ob Sie einen Tag-Schlüssel, einen Tag-Wert oder beides bearbeiten möchten. Um einen Tag-Schlüssel zu bearbeiten, entfernen Sie das aktuelle Tag und fügen Sie ein neues Tag hinzu.
Um nur den Tag-Wert zu bearbeiten oder zu entfernen, der einem Tag-Schlüssel zugeordnet ist, überschreiben Sie den vorhandenen Wert mithilfe TagResourceder Security Hub Hub-API. Wenn Sie den verwendenAWS CLI, führen Sie den Befehl tag-resource aus. Geben Sie in Ihrer Anfrage den Amazon-Ressourcennamen (ARN) der Ressource an, deren Tag-Wert Sie bearbeiten oder entfernen möchten.
Um einen Tag-Wert zu bearbeiten, verwenden Sie den tags Parameter, um den Tag-Schlüssel anzugeben, dessen Tag-Wert Sie ändern möchten. Sie sollten auch den neuen Tag-Wert für den Schlüssel angeben. Mit dem folgenden AWS CLI Befehl wird beispielsweise der Tag-Wert Test für Prod den Environment Tag-Schlüssel, der der angegebenen Automatisierungsregel zugewiesen ist, von auf geändert. Dieses Beispiel ist für Linux, macOS oder Unix formatiert und verwendet den umgekehrten Schrägstrich (\), um die Lesbarkeit zu verbessern.
$ aws securityhub tag-resource \
--resource-arn arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 \
--tags key=Environment,value=Test
Wobei gilt:
-
resource-arngibt den ARN der Konfigurationsrichtlinie an.
-
Environment
-
TestEnvironment
Um einen Tag-Wert aus einem Tag-Schlüssel zu entfernen, geben Sie im tags Parameter keinen Wert für das value Argument des Schlüssels an. Beispiel:
$ aws securityhub tag-resource \
--resource-arn arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 \
--tags key=Owner,value=
Wenn der Vorgang erfolgreich ist, gibt Security Hub eine leere HTTP 200-Antwort zurück. Andernfalls gibt Security Hub eine HTTP 4 xx - oder 500-Antwort zurück, die angibt, warum der Vorgang fehlgeschlagen ist.
Um Tags aus einer AWS Security Hub Hub-Ressource zu entfernen, können Sie die Security Hub Hub-API verwenden. Die Security Hub Hub-Konsole unterstützt derzeit das Entfernen von Tags nicht.
Um Tags aus mehreren Security Hub Hub-Ressourcen gleichzeitig zu entfernen, verwenden Sie die Tagging-Operationen der AWS Resource GroupsTagging-API.
Das Entfernen von Tags aus einer Ressource kann sich auf den Zugriff auf die Ressource auswirken. Bevor Sie ein Tag entfernen, überprüfen Sie alle AWS Identity and Access Management (IAM-) Richtlinien, die das Tag möglicherweise zur Steuerung des Zugriffs auf Ressourcen verwenden.
- Security Hub API & AWS CLI
-
Um Tags aus einer Ressource zu entfernen
Um ein oder mehrere Tags programmgesteuert aus einer Ressource zu entfernen, verwenden Sie den UntagResourceBetrieb der Security Hub Hub-API. Verwenden Sie in Ihrer Anfrage den resourceArn Parameter, um den Amazon-Ressourcennamen (ARN) der Ressource anzugeben, aus der ein Tag entfernt werden soll. Verwenden Sie den tagKeys Parameter, um den Tag-Schlüssel des Tags anzugeben, das entfernt werden soll. Um mehrere Tags zu entfernen, hängen Sie den tagKeys Parameter und das Argument für jedes zu entfernende Tag an, getrennt durch ein Und-Zeichen (&) — zum Beispiel. tagKeys=key1&tagKeys=key2 Um nur einen bestimmten Tag-Wert (keinen Tag-Schlüssel) aus einer Ressource zu entfernen, bearbeiten Sie das Tag, anstatt das Tag zu entfernen.
Wenn Sie den verwendenAWS CLI, führen Sie den Befehl untag-resource aus, um ein oder mehrere Tags aus einer Ressource zu entfernen. Geben Sie für den resource-arn Parameter den ARN der Ressource an, aus der ein Tag entfernt werden soll. Verwenden Sie den tag-keys Parameter, um den Tag-Schlüssel des Tags anzugeben, das entfernt werden soll. Mit dem folgenden Befehl wird beispielsweise das Environment Tag (sowohl der Tag-Schlüssel als auch der Tag-Wert) aus der angegebenen Konfigurationsrichtlinie entfernt:
$ aws securityhub untag-resource \
--resource-arn arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 \
--tag-keys Environment
Where resource-arn gibt den ARN der Konfigurationsrichtlinie an, aus der ein Tag entfernt werden soll, und Environment
Um mehrere Tags aus einer Ressource zu entfernen, fügen Sie jeden zusätzlichen Tag-Schlüssel als Argument für den tag-keys Parameter hinzu. Beispiel:
$ aws securityhub untag-resource \
--resource-arn arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 \
--tag-keys Environment Owner
Wenn der Vorgang erfolgreich ist, gibt Security Hub eine leere HTTP 200-Antwort zurück. Andernfalls gibt Security Hub eine HTTP 4 xx - oder 500-Antwort zurück, die angibt, warum der Vorgang fehlgeschlagen ist.
