Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Etiquetado de recursos de Amazon Security Lake
Una etiqueta es una etiqueta opcional que puede definir y asignar a AWS los recursos, incluidos determinados tipos de recursos de Amazon Security Lake. Las etiquetas pueden ayudarle a identificar, clasificar y administrar recursos de distintas formas, como, por finalidad, propietario, entorno u otros criterios. Por ejemplo, puede usar etiquetas para aplicar políticas, asignar costos, distinguir entre recursos o identificar los recursos que respaldan determinados requisitos de cumplimiento o flujos de trabajo.
Puede asignar etiquetas a los siguientes tipos de recursos de Security Lake: los suscriptores y la configuración del lago de datos individual Regiones de AWS. Cuenta de AWS
Un recurso puede tener hasta 50 etiquetas. Cada etiqueta está formada por una clave de etiqueta y un valor de etiqueta opcional, ambos definidos por el usuario. Un clave de etiqueta es una etiqueta general que actúa como una categoría para un valor de etiqueta más específicos. Un valor de etiqueta actúa como descriptor de una clave de etiqueta.
Por ejemplo, si agrega suscriptores para analizar los datos de seguridad de diferentes entornos (un conjunto de suscriptores para los datos de nube y otro conjunto para los datos en las instalaciones), puede asignar una clave de etiqueta Environment a esos suscriptores. El valor de la etiqueta asociada puede ser Cloud para los suscriptores que analizan datos de AWS services y On-Premises para los demás.
A la hora de definir y asignar etiquetas a los recursos de Amazon Security Lake, tenga en cuenta lo siguiente:
-
Cada recurso puede tener un máximo de 50 etiquetas.
-
Para cada recurso, cada clave de etiqueta debe ser única y solo puede tener un valor.
-
Las claves y los valores de las etiquetas distinguen entre mayúsculas y minúsculas. Le recomendamos que defina una estrategia de uso de mayúsculas y minúsculas en las etiquetas e implemente esa estrategia sistemáticamente en todos los recursos.
-
Una clave de etiqueta puede tener un máximo de 128 caracteres UTF-8. Una clave de valor puede tener un máximo de 256 caracteres UTF-8. Los caracteres pueden ser letras, números, espacios o los siguientes símbolos: _ . : / = + - @
-
El aws: prefijo está reservado para su uso por parte AWS de. No puede usarlo en las claves o valores de etiqueta que defina. Además, las claves o valores de etiqueta que utilizan este prefijo no se pueden cambiar ni quitar. Las etiquetas que usan este prefijo no cuentan para la cuota de 50 etiquetas por recurso.
-
Las etiquetas que asigne estarán disponibles solo para usted Cuenta de AWS y solo en el lugar Región de AWS en el que las asigne.
-
Si asigna etiquetas a un recurso mediante Security Lake, las etiquetas se aplicarán únicamente al recurso que esté almacenado directamente en Security Lake, en la Región de AWS correspondiente. No se aplican a ningún recurso de apoyo asociado que Security Lake cree, utilice o mantenga para usted en otros AWS services. Por ejemplo, si asigna etiquetas a su lago de datos, las etiquetas se aplican únicamente a la configuración de su lago de datos en Security Lake para la región especificada. No se aplican al bucket de Amazon Simple Storage Service (Amazon S3) que almacena los datos de registro y eventos. Para asignar también etiquetas a un recurso asociado, puede usar AWS Resource Groups o el AWS service que almacena el recurso, por ejemplo, Amazon S3 para un bucket de S3. La asignación de etiquetas a los recursos asociados puede ayudarle a identificar los recursos de apoyo para su lago de datos.
-
Si elimina un recurso, también se eliminarán todas las etiquetas que tenga asignadas.
Para obtener más restricciones, consejos y prácticas recomendadas, consulte Etiquetar sus AWS recursos en la Guía del usuario sobre cómo AWS etiquetar los recursos.
No almacene datos confidenciales en etiquetas. Se puede acceder a las etiquetas desde muchas de ellas AWS services, entre ellas. AWS Billing and Cost Management No se diseñaron para utilizarse con información confidencial.
Para agregar y administrar etiquetas para los recursos de Security Lake, puede usar la consola de Security Lake o la API de Security Lake.
Una vez que comience a etiquetar los recursos, puede definir permisos de recursos basados en etiquetas en las políticas de AWS Identity and Access Management (IAM). Al usar las etiquetas de esta manera, puede implementar un control pormenorizado sobre qué usuarios y roles de su Cuenta de AWS empresa tienen permiso para crear y etiquetar recursos, y qué usuarios y roles tienen permiso para añadir, editar y eliminar etiquetas de manera más general. Para controlar el acceso basándose función de etiquetas, puede utilizar claves de condición relacionadas con las etiquetas en el elemento Condition de las políticas de IAM.
Por ejemplo, puede crear una política que permita a un usuario tener acceso completo a todos los recursos de Amazon Security Lake si la etiqueta Owner del recurso especifica su nombre de usuario:
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ModifyResourceIfOwner",
"Effect": "Allow",
"Action": "securitylake:*",
"Resource": "*",
"Condition": {
"StringEqualsIgnoreCase": {"aws:ResourceTag/Owner": "${aws:username}"}
}
}
]
}
Si define los permisos de nivel de recurso basados en etiquetas, estos entrarán en vigor inmediatamente. Esto significa que sus recursos están más seguros en cuanto se crean y que puede empezar a aplicar el uso de etiquetas de nuevos recursos rápidamente. También puede usar permisos de nivel de recurso para controlar las claves y valores de etiqueta que se pueden asociar a recursos nuevos y existentes. Para obtener más información, consulte Controlar el acceso a AWS los recursos mediante etiquetas en la Guía del usuario de IAM.
Para añadir etiquetas a un recurso de Amazon Security Lake, puede usar la consola de Security Lake o la API de Security Lake.
La adición de etiquetas a un recurso puede afectar al acceso al recurso. Antes de añadir una etiqueta a un recurso, revise las políticas AWS Identity and Access Management (de IAM) que puedan utilizar etiquetas para controlar el acceso a los recursos.
- Console
-
Al habilitar Security Lake para un suscriptor Región de AWS o al crear uno, la consola de Security Lake ofrece opciones para agregar etiquetas al recurso: la configuración del lago de datos para la región o el suscriptor. Siga las instrucciones de la consola para añadir etiquetas al recurso al crearlo.
Para agregar una o más etiquetas a un recurso existente mediante la consola de Security Lake, siga estos pasos.
Para agregar una etiqueta a un recurso
Abra la consola de Security Lake en https://console.aws.amazon.com/securitylake/.
-
Elija una de las siguientes opciones, en función del tipo de recurso al que desea añadir una etiqueta:
-
Para configurar un lago de datos, elija Regiones en el panel de navegación. A continuación, en la tabla Regiones, seleccione la región.
-
Para un suscriptor, elija Suscriptores en el panel de navegación. A continuación, en la tabla Mis suscriptores, seleccione el suscriptor.
Si el suscriptor no aparece en la table, use el selector de Región de AWS ubicado en la esquina superior derecha de la página para seleccionar la región en la que lo creó. La tabla muestra una lista de los suscriptores existentes solo para la región actual.
-
Elija Editar.
-
Expanda la sección Etiquetas. Esta sección muestra una lista de todas las etiquetas asignadas actualmente al recurso.
-
En la sección Etiquetas, elija Añadir nueva etiqueta.
-
En el cuadro Clave, introduzca la clave de etiqueta de la etiqueta que desee añadir al recurso. A continuación, en el cuadro Valor, si lo desea, escriba el valor de la clave.
Una clave de etiqueta incluye hasta 128 caracteres. Un valor de etiqueta puede incluir hasta 256 caracteres. Los caracteres pueden ser letras, números, espacios o los siguientes símbolos: _ . : / = + - @
-
Para agregar otra etiqueta al recurso, elija Agregar nueva etiqueta y, a continuación, repita el paso anterior. Puede asignar hasta 50 etiquetas a un recurso.
-
Cuando haya terminado de agregar etiquetas, elija Guardar.
- API
-
Para crear un recurso y añadirle una o más etiquetas mediante programación, utilice la operación Create adecuada para el tipo de recurso que desee crear:
En la solicitud, utilice el parámetro tags para especificar la clave de etiqueta (key) y el valor de etiqueta opcional (value) de cada etiqueta que desee añadir al recurso. El parámetro tags especifica una matriz de JSON. Cada objeto especifica una clave de etiqueta y su valor de etiqueta asociado.
Para añadir una o más etiquetas a un recurso existente, utilice la TagResourceoperación de la API de Security Lake o, si la utiliza AWS CLI, ejecute el comando tag-resource. En su solicitud, especifique el nombre de recurso de Amazon (ARN) del recurso al que desea añadir una etiqueta. Utilice el parámetro tags para especificar la clave de etiqueta (key) y el valor de etiqueta opcional (value) de cada etiqueta que desee añadir. Como ocurre con las operaciones y comandos Create, el parámetro tags especifica una matriz de objetos, un objeto para cada clave de etiqueta y su valor de etiqueta asociado.
Por ejemplo, el siguiente AWS CLI comando agrega una clave de Environment etiqueta con un valor de Cloud etiqueta al suscriptor especificado. Este ejemplo está formateado para Linux, macOS o Unix y utiliza el carácter de barra invertida (\) de continuación de línea para mejorar la legibilidad.
$ aws securitylake tag-resource \
--resource-arn arn:aws:securitylake:us-east-1:123456789012:subscriber/1234abcd-12ab-34cd-56ef-1234567890ab \
--tags key=Environment,value=Cloud
Donde:
-
resource-arn especifica el ARN del suscriptor al que se va a añadir una etiqueta.
-
Environment
-
CloudEnvironment
En el siguiente ejemplo, el comando agrega varias etiquetas al suscriptor.
$ aws securitylake tag-resource \
--resource-arn arn:aws:securitylake:us-east-1:123456789012:subscriber/1234abcd-12ab-34cd-56ef-1234567890ab \
--tags key=Environment,value=Cloud key=CostCenter,value=12345 key=Owner,value=jane-doe
Para cada objeto de una matriz tags, se requieren los argumentos key y value. Sin embargo, el valor del argumento value puede ser una cadena vacía. Si no desea asociar un valor de etiqueta a una clave de etiqueta, no especifique un valor para el argumento value. Por ejemplo, el comando siguiente añade una clave de etiqueta Owner sin un valor de etiqueta asociado:
$ aws securitylake tag-resource \
--resource-arn arn:aws:securitylake:us-east-1:123456789012:subscriber/1234abcd-12ab-34cd-56ef-1234567890ab \
--tags key=Owner,value=
Si la operación de etiquetado se realiza correctamente, Security Lake devuelve una respuesta HTTP 200 vacía. De lo contrario, Security Lake devuelve una respuesta HTTP 4xx o 500 que indica el motivo del error de la operación.
Puede revisar las etiquetas (tanto las claves como los valores de las etiquetas) de un recurso de Amazon Security Lake mediante la consola de Security Lake o la API de Security Lake.
- Console
-
Siga estos pasos para revisar las etiquetas un recurso utilizando la consola de Security Lake.
Para revisar las etiquetas de un recurso
Abra la consola de Security Lake en https://console.aws.amazon.com/securitylake/.
-
Elija una de las siguientes opciones, en función del tipo de recurso cuyas etiquetas desea revisar.
-
Para configurar un lago de datos, elija Regiones en el panel de navegación. En la tabla Regiones, seleccione la región y, a continuación, elija Editar. Después expanda la sección Etiquetas.
-
Para un suscriptor, elija Suscriptores en el panel de navegación. A continuación, en la tabla Mis suscriptores, seleccione el nombre del suscriptor.
Si el suscriptor no aparece en la table, use el selector de Región de AWS ubicado en la esquina superior derecha de la página para seleccionar la región en la que lo creó. La tabla muestra una lista de los suscriptores existentes solo para la región actual.
La sección Etiquetas muestra una lista de todas las etiquetas asignadas actualmente al recurso.
- API
-
Para recuperar y revisar las etiquetas de un recurso existente mediante programación, utilice el ListTagsForResourcefuncionamiento de la API de Security Lake. En su solicitud, utilice el parámetro resourceArn para especificar el nombre de recurso de Amazon (ARN) del recurso.
Si usa AWS Command Line Interface (AWS CLI), ejecute el list-tags-for-resourcecomando y use el resource-arn parámetro para especificar el ARN del recurso. Por ejemplo:
$ aws securitylake list-tags-for-resource --resource-arn arn:aws:securitylake:us-east-1:123456789012:subscriber/1234abcd-12ab-34cd-56ef-1234567890ab
En el ejemplo anterior, arn:aws:securitylake:us-east-1:123456789012:subscriber/1234abcd-12ab-34cd-56ef-1234567890ab es el ARN de un suscriptor existente.
Si la operación es exitosa, Security Lake devuelve una matriz tags. Cada objeto de la matriz especifica una etiqueta (tanto la clave como el valor de la etiqueta) que está asignada actualmente al recurso. Por ejemplo:
{
"tags": [
{
"key": "Environment",
"value": "Cloud"
},
{
"key": "CostCenter",
"value": "12345"
},
{
"key": "Owner",
"value": ""
}
]
}
Dónde Environment, CostCenter y Owner son las claves de etiqueta que se asignan al recurso. Cloud es el valor de etiqueta asociado a la clave de etiqueta Environment. 12345 es el valor de etiqueta asociado a la clave de etiqueta CostCenter. La clave de etiqueta Owner no tiene un valor de etiqueta asociado.
Para editar las etiquetas (tanto las claves como los valores de las etiquetas) de un recurso de Amazon Security Lake, puede usar la consola de Security Lake o la API de Security Lake.
La edición de etiquetas de un recurso puede afectar al acceso al recurso. Antes de editar la clave o el valor de una etiqueta para un recurso, revisa cualquier política AWS Identity and Access Management (de IAM) que pueda usar la etiqueta para controlar el acceso a los recursos.
- Console
-
Siga estos pasos para editar las etiquetas un recurso utilizando la consola de Security Lake.
Para editar las etiquetas de un recurso
Abra la consola de Security Lake en https://console.aws.amazon.com/securitylake/.
-
Elija una de las siguientes opciones, en función del tipo de recurso cuyas etiquetas desea editar.
-
Para configurar un lago de datos, elija Regiones en el panel de navegación. A continuación, en la tabla Regiones, seleccione la región.
-
Para un suscriptor, elija Suscriptores en el panel de navegación. A continuación, en la tabla Mis suscriptores, seleccione el suscriptor.
Si el suscriptor no aparece en la table, use el selector de Región de AWS ubicado en la esquina superior derecha de la página para seleccionar la región en la que lo creó. La tabla muestra una lista de los suscriptores existentes solo para la región actual.
-
Elija Editar.
-
Expanda la sección Etiquetas. La sección Etiquetas muestra una lista de todas las etiquetas asignadas actualmente al recurso.
-
Realice uno de los siguientes procedimientos:
-
Para añadir un valor de etiqueta a una clave de etiqueta existente, introduzca el valor en el cuadro Valor situado junto a la clave de etiqueta.
-
Para cambiar una clave de etiqueta existente, seleccione Eliminar junto a la etiqueta. Después seleccione Agregar nueva etiqueta. En el cuadro Clave que aparece, introduzca la nueva clave de etiqueta. Opcionalmente, puede introducir un valor de etiqueta asociado en el cuadro Valor.
-
Para cambiar el valor de una etiqueta existente, seleccione X en el cuadro Valor que contiene el valor. A continuación, escriba el nuevo valor de la etiqueta en el cuadro Valor.
-
Para eliminar el valor de una etiqueta existente, seleccione X en el cuadro Valor que contiene el valor.
-
Para eliminar una etiqueta existente (tanto la clave como el valor de la etiqueta), haga clic en Eliminar junto a la etiqueta.
Un recurso puede tener hasta 50 etiquetas. Una clave de etiqueta incluye hasta 128 caracteres. Un valor de etiqueta puede incluir hasta 256 caracteres. Los caracteres pueden ser letras, números, espacios o los siguientes símbolos: _ . : / = + - @
-
Cuando termine de editar las etiquetas, elija Guardar.
- API
-
Al editar una etiqueta de un recurso mediante programación, sobrescribe la etiqueta existente con valores nuevos. Por lo tanto, la mejor forma de editar una etiqueta depende de si desea editar una clave de etiqueta, un valor de etiqueta o ambos. Para editar una clave de etiqueta, elimine la etiqueta actual y añada una nueva.
Para editar o eliminar solo el valor de etiqueta asociado a una clave de etiqueta, sobrescriba el valor existente mediante la TagResourceoperación de la API de Security Lake. Si usa AWS Command Line Interface (AWS CLI), ejecute el comando tag-resource. En su solicitud, especifique el nombre de recurso de Amazon (ARN) del recurso cuyo valor de etiqueta quiere editar o eliminar.
Para editar el valor de una etiqueta, utilice el parámetro tags para especificar la clave de etiqueta cuyo valor de etiqueta desea cambiar. Especifique también el nuevo valor de etiqueta para la clave. Por ejemplo, el siguiente AWS CLI comando cambia el valor de la etiqueta de Cloud a On-Premises para la clave de Environment etiqueta asignada al suscriptor especificado. Este ejemplo está formateado para Linux, macOS o Unix y utiliza el carácter de barra invertida (\) de continuación de línea para mejorar la legibilidad.
$ aws securitylake tag-resource \
--resource-arn arn:aws:securitylake:us-east-1:123456789012:subscriber/1234abcd-12ab-34cd-56ef-1234567890ab \
--tags key=Environment,value=On-Premises
Donde:
-
resource-arn especifica el ARN del suscriptor.
-
Environment
-
On-PremisesEnvironment
Para eliminar un valor de etiqueta de una clave de etiqueta, no especifique un valor para el argumento value de la clave en el parámetro tags. Por ejemplo:
$ aws securitylake tag-resource \
--resource-arn arn:aws:securitylake:us-east-1:123456789012:subscriber/1234abcd-12ab-34cd-56ef-1234567890ab \
--tags key=Owner,value=
Si la operación se realiza correctamente, Security Lake devuelve una respuesta HTTP 200 vacía. De lo contrario, Security Lake devuelve una respuesta HTTP 4xx o 500 que indica el motivo del error de la operación.
Para quitar etiquetas de un recurso de Amazon Security Lake, puede usar la consola de Security Lake o la API de Security Lake.
La eliminación de etiquetas de un recurso puede afectar al acceso al recurso. Antes de eliminar una etiqueta, revisa las políticas AWS Identity and Access Management (de IAM) que puedan utilizarla para controlar el acceso a los recursos.
- Console
-
Siga estos pasos para quitar una o más etiquetas un recurso utilizando la consola de Security Lake.
Para eliminar una etiqueta de un recurso
Abra la consola de Security Lake en https://console.aws.amazon.com/securitylake/.
-
Elija una de las siguientes opciones, en función del tipo de recurso del que desea eliminar una etiqueta:
-
Para configurar un lago de datos, elija Regiones en el panel de navegación. A continuación, en la tabla Regiones, seleccione la región.
-
Para un suscriptor, elija Suscriptores en el panel de navegación. A continuación, en la tabla Mis suscriptores, seleccione el suscriptor.
Si el suscriptor no aparece en la table, use el selector de Región de AWS ubicado en la esquina superior derecha de la página para seleccionar la región en la que lo creó. La tabla muestra una lista de los suscriptores existentes solo para la región actual.
-
Elija Editar.
-
Expanda la sección Etiquetas. La sección Etiquetas muestra una lista de todas las etiquetas asignadas actualmente al recurso.
-
Realice uno de los siguientes procedimientos:
-
Para eliminar solo el valor de la etiqueta de una etiqueta, seleccione X en el cuadro Valor que contiene el valor que quiere eliminar.
-
Para eliminar la clave y el valor de la etiqueta (como un conjunto), haga clic en Eliminar junto a la etiqueta que quiere eliminar.
-
Para eliminar etiquetas adicionales del recurso, repita el paso anterior para cada etiqueta adicional que desee eliminar.
-
Cuando termine de eliminar las etiquetas, elija Guardar.
- API
-
Para eliminar una o más etiquetas de un recurso mediante programación, utilice la API UntagResourcede Security Lake. En su solicitud, utilice el parámetro resourceArn para especificar el nombre de recurso de Amazon (ARN) del recurso del que quiere eliminar una etiqueta. Utilice el parámetro tagKeys para especificar la clave de etiqueta de la etiqueta que se va a eliminar. Para eliminar varias etiquetas, añada el parámetro tagKeys y el argumento de cada etiqueta que desee eliminar, separados por un signo &, por ejemplo, tagKeys=key1&tagKeys=key2. Para quitar solo un valor de etiqueta específico (no una clave de etiqueta) de un recurso, edite la etiqueta en lugar de eliminarla.
Si utilizas AWS Command Line Interface (AWS CLI), ejecuta el comando untag-resource para eliminar una o más etiquetas de un recurso. Para el parámetro resource-arn, especifique el ARN del recurso del que se va a eliminar una etiqueta. Utilice el parámetro tag-keys para especificar la clave de etiqueta de la etiqueta que se va a eliminar. Por ejemplo, el siguiente comando elimina la etiqueta Environment (tanto la clave como el valor de la etiqueta) del suscriptor especificado:
$ aws securitylake untag-resource \
--resource-arn arn:aws:securitylake:us-east-1:123456789012:subscriber/1234abcd-12ab-34cd-56ef-1234567890ab \
--tag-keys Environment
Donde resource-arn especifica el ARN del suscriptor del que se va a eliminar una etiqueta y Environment
Para eliminar varias etiquetas de un recurso, agregue cada clave adicional como argumento para el parámetro tag-keys: Por ejemplo:
$ aws securitylake untag-resource \
--resource-arn arn:aws:securitylake:us-east-1:123456789012:subscriber/1234abcd-12ab-34cd-56ef-1234567890ab \
--tag-keys Environment Owner
Si la operación se realiza correctamente, Security Lake devuelve una respuesta HTTP 200 vacía. De lo contrario, Security Lake devuelve una respuesta HTTP 4xx o 500 que indica el motivo del error de la operación.
