Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Etiquetado de recursos de AWS Security Hub
Una etiqueta es una etiqueta opcional que puede definir y asignar a recursos de AWS, incluidos ciertos tipos de recursos de AWS Security Hub. Las etiquetas pueden ayudarle a identificar, clasificar y administrar recursos de distintas formas, como, por finalidad, propietario, entorno u otros criterios. Por ejemplo, puede usar etiquetas para distinguir entre los recursos, identificar recursos que admiten ciertos requisitos de conformidad o flujos de trabajo, o asignar costos.
Puede asignar etiquetas a los siguientes tipos de recursos de Security Hub: reglas de automatización, políticas de configuración y el recurso de Hub.
Un recurso puede tener hasta 50 etiquetas. Cada etiqueta está formada por una clave de etiqueta y un valor de etiqueta opcional, ambos definidos por el usuario. Un clave de etiqueta es una etiqueta general que actúa como una categoría para un valor de etiqueta más específicos. Un valor de etiqueta actúa como descriptor de una clave de etiqueta.
Por ejemplo, si crea reglas de automatización diferentes para entornos diferentes (un conjunto de reglas de automatización para las cuentas de prueba y otro para las cuentas de producción), puede asignar una clave de etiqueta Environment a esas reglas. El valor de etiqueta asociado puede ser Test para las reglas asociadas a cuentas de prueba y Prod para las reglas asociadas a las cuentas de producción y unidades organizativas.
A la hora de definir y asignar etiquetas a recursos de AWS Security Hub, tenga en cuenta lo siguiente:
-
Cada recurso puede tener un máximo de 50 etiquetas.
-
Para cada recurso, cada clave de etiqueta debe ser única y solo puede tener un valor.
-
Las claves y los valores de las etiquetas distinguen entre mayúsculas y minúsculas. Le recomendamos que defina una estrategia de uso de mayúsculas y minúsculas en las etiquetas e implemente esa estrategia sistemáticamente en todos los recursos.
-
Una clave de etiqueta puede tener un máximo de 128 caracteres UTF-8. Una clave de valor puede tener un máximo de 256 caracteres UTF-8. Los caracteres pueden ser letras, números, espacios o los siguientes símbolos: _ . : / = + - @
-
El prefijo aws: se reserva para el uso por parte de AWS. No puede usarlo en las claves o valores de etiqueta que defina. Además, las claves o valores de etiqueta que utilizan este prefijo no se pueden cambiar ni quitar. Las etiquetas que usan este prefijo no cuentan para la cuota de 50 etiquetas por recurso.
-
Las etiquetas que asigne estarán disponibles solo para su Cuenta de AWS y solo en la Región de AWS en la que las asigne.
-
Si asigna etiquetas a un recurso mediante Security Hub, las etiquetas se aplican solo al recurso que está almacenado directamente en Security Hub en la Región de AWS correspondiente. No se aplican a ningún recurso de apoyo asociado que Security Hub cree, utilice o mantenga para usted en otros Servicios de AWS. Por ejemplo, si asigna etiquetas a una regla de automatización que actualiza los resultados relacionados con Amazon Simple Storage Service (Amazon S3), las etiquetas se aplican únicamente a su regla de automatización en Security Hub para la región especificada. No se aplican a sus buckets de S3. Para asignar también etiquetas a un recurso asociado, puede usar AWS Resource Groups o el Servicio de AWS que almacena el recurso, por ejemplo, Amazon S3 para un bucket de S3. La asignación de etiquetas a los recursos asociados puede ayudarle a identificar los recursos de apoyo para sus recursos de Security Hub.
-
Si elimina un recurso, también se eliminará cualquier etiqueta asignada a dicho recurso.
No almacene datos confidenciales ni de otro tipo en etiquetas. Las etiquetas son accesibles desde muchos Servicios de AWS, incluida la AWS Billing and Cost Management. No se diseñaron para utilizarse con información confidencial.
Para agregar y administrar etiquetas de los recursos de Security Hub, puede utilizar la consola o la API de Security Hub o la API de etiquetado de AWS Resource Groups. Con Security Hub, puede agregar etiquetas a un recurso en el momento de su creación. También puede añadir y gestionar etiquetas para los recursos individuales existentes. Con Resource Groups, puede agregar y administrar etiquetas en bloque para varios recursos existentes que abarcan varios Servicios de AWS, incluido Security Hub.
Para obtener más consejos y prácticas recomendadas sobre las etiquetas, consulte Etiquetado de los recursos de AWS en la Guía del usuario sobre el etiquetado de recursos de AWS.
Una vez que comience a etiquetar los recursos, puede definir permisos de recursos basados en etiquetas en las políticas de AWS Identity and Access Management (IAM). Al utilizar las etiquetas de esta manera, puede implementar un control detallado de los usuarios y roles de su Cuenta de AWS que tienen permiso para crear y etiquetar recursos, y los usuarios y roles que tienen permiso para añadir, editar y quitar etiquetas de forma más general. Para controlar el acceso utilizando etiquetas, puede usar claves de condición relacionadas con etiquetas en el Elemento de condición de las políticas de IAM.
Por ejemplo, puede crear una política de IAM que permita a un usuario tener acceso completo a todos los recursos de AWS Security Hub si la etiqueta Owner del recurso especifica su nombre de usuario:
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ModifyResourceIfOwner",
"Effect": "Allow",
"Action": "securityhub:*",
"Resource": "*",
"Condition": {
"StringEqualsIgnoreCase": {"aws:ResourceTag/Owner": "${aws:username}"}
}
}
]
}
Si define los permisos de nivel de recurso basados en etiquetas, estos entrarán en vigor inmediatamente. Esto significa que sus recursos están más seguros en cuanto se crean y que puede empezar a aplicar el uso de etiquetas de nuevos recursos rápidamente. También puede usar permisos de nivel de recurso para controlar las claves y valores de etiqueta que se pueden asociar a recursos nuevos y existentes. Para obtener más información, consulte Control del acceso a los recursos de AWS mediante etiquetas en la Guía del usuario de IAM.
Para añadir etiquetas a un recurso individual de AWS Security Hub, puede utilizar la consola de Security Hub o la API de Security Hub. La consola no admite la adición de etiquetas al recurso de Hub.
Para agregar etiquetas a varios recursos de Security Hub al mismo tiempo, utilice las operaciones de etiquetado de la API de etiquetado de AWS Resource Groups.
La adición de etiquetas a un recurso puede afectar al acceso al recurso. Antes de añadir una etiqueta a un recurso, revise las políticas de AWS Identity and Access Management (IAM) que puedan usar etiquetas para controlar el acceso a los recursos.
- Console
-
Para añadir una etiqueta a un recurso
Al crear una regla de automatización o una política de configuración, la consola de Security Hub ofrece opciones para agregarle etiquetas. Puede proporcionar la clave y el valor de la etiqueta en la sección Etiquetas.
- Security Hub API & AWS CLI
-
Para añadir una etiqueta a un recurso
Para crear un recurso y añadirle una o más etiquetas mediante programación, utilice la operación adecuada para el tipo de recurso que desee crear:
En su solicitud, use el parámetro tags para especificar la clave de etiqueta y el valor de etiqueta opcional de cada etiqueta que quiera añadir al recurso. El parámetro tags especifica una matriz de uno o varios objetos. Cada objeto especifica una clave de etiqueta y su valor de etiqueta asociado.
Para añadir una o más etiquetas a un recurso existente, utilice la operación TagreSource de la API de Security Hub o, si utiliza la AWS CLI, ejecute el comando tag-resource. En su solicitud, especifique el nombre de recurso de Amazon (ARN) del recurso al que desea añadir una etiqueta. Use el parámetro tags para especificar la clave de etiqueta (key) y el valor de etiqueta opcional (value) de cada etiqueta que quiera añadir. El parámetro tags especifica una matriz de objetos, un objeto para cada clave de etiqueta y su valor de etiqueta asociado.
Por ejemplo, el siguiente comando de la AWS CLI agrega una clave de etiqueta Environment con un valor de etiqueta Prod a la política de configuración especificada. Este ejemplo está formateado para Linux, macOS o Unix y utiliza el carácter de barra invertida (\) de continuación de línea para mejorar la legibilidad.
Ejemplo de comando de la CLI:
$ aws securityhub tag-resource \
--resource-arn arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 \
--tags key=Environment,value=Prod
Donde:
-
resource-arn especifica el ARN de la política de configuración a la que se va a agregar una etiqueta.
-
Environment
-
ProdEnvironment
En el siguiente ejemplo, el comando agrega varias etiquetas a la política de configuración.
$ aws securityhub tag-resource \
--resource-arn arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 \
--tags key=Environment,value=Prod key=CostCenter,value=12345 key=Owner,value=jane-doe
Para cada objeto de una matriz tags, se requieren los argumentos key y value. Sin embargo, el valor del argumento value puede ser una cadena vacía. Si no desea asociar un valor de etiqueta a una clave de etiqueta, no especifique un valor para el argumento value. Por ejemplo, el comando siguiente agrega una clave de etiqueta Owner sin un valor de etiqueta asociado:
$ aws securityhub tag-resource \
--resource-arn arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 \
--tags key=Owner,value=
Si la operación de etiquetado se realiza correctamente, Security Hub devuelve una respuesta HTTP 200 vacía. De lo contrario, Security Hub devuelve una respuesta HTTP 4 xx o 500 que indica el motivo del error de la operación.
Puede revisar las etiquetas (tanto las claves como los valores de las etiquetas) de una regla de automatización o política de configuración de Security Hub mediante la consola o la API de este servicio. La consola no admite la revisión de las etiquetas del recurso de Hub.
Para revisar las etiquetas de varios recursos de Security Hub al mismo tiempo, utilice las operaciones de etiquetado de la API de etiquetado de AWS Resource Groups.
- Console
-
Para revisar las etiquetas de un recurso
Con las credenciales de administrador de Security Hub, abra la consola de AWS Security Hub en https://console.aws.amazon.com/securityhub/.
-
Elija una de las siguientes opciones, en función del tipo de recurso al que desea añadir una etiqueta:
Para revisar las etiquetas de una regla de automatización, seleccione Automatizaciones en el panel de navegación. A continuación, seleccione una regla de automatización.
Para revisar las etiquetas de una política de configuración, seleccione Configuración en el panel de navegación. A continuación, en la pestaña Políticas, seleccione la opción situada junto a una política de configuración. Se abrirá un panel lateral que mostrará el número de etiquetas asignadas a la política. Puede expandir el encabezado Etiquetas para ver las claves y los valores de las etiquetas.
La sección Etiquetas muestra una lista de todas las etiquetas asignadas actualmente al recurso.
- Security Hub API & AWS CLI
-
Para revisar las etiquetas de un recurso
Para recuperar y revisar las etiquetas de un recurso existente, invoque la API ListTagsForResource. En su solicitud, utilice el parámetro resourceArn para especificar el nombre de recurso de Amazon (ARN) del recurso.
Si utiliza la AWS CLI, ejecute el comando list-tags-for-resource y utilice el parámetro resource-arn para especificar el ARN del recurso. Por ejemplo:
$ aws securityhub list-tags-for-resource --resource-arn arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111
Si la operación se completa correctamente, Security Hub devuelve una matriz de tags. Cada objeto de la matriz especifica una etiqueta (tanto la clave como el valor de la etiqueta) que está asignada actualmente al recurso. Por ejemplo:
{
"tags": [
{
"key": "Environment",
"value": "Prod"
},
{
"key": "CostCenter",
"value": "12345"
},
{
"key": "Owner",
"value": ""
}
]
}
Dónde Environment, CostCenter y Owner son las claves de etiqueta que se asignan al recurso. Prod es el valor de etiqueta asociado a la clave de etiqueta Environment. 12345 es el valor de etiqueta asociado a la clave de etiqueta CostCenter. La clave de etiqueta Owner no tiene un valor de etiqueta asociado.
Para mostrar una lista de todos los recursos de Security Hub que tienen etiquetas y todas las etiquetas asociadas a cada uno de esos recursos, utilice la operación GetResources de la API de etiquetado de AWS Resource Groups. En su solicitud, defina el valor del parámetro ResourceTypeFilters en securityhub. Para ello, utilice el AWS CLI, ejecute el comando get-resources y defina el valor del parámetro resource-type-filters en. securityhub Por ejemplo:
$ aws resourcegroupstaggingapi get-resources -\-resource-type-filters "securityhub"
Si la operación se lleva a cabo correctamente, Resource Groups devuelve una matriz ResourceTagMappingList. La matriz contiene un objeto por cada recurso de Security Hub que tenga etiquetas. Cada objeto especifica el ARN de un recurso de Security Hub y las claves y valores de etiqueta que se asignan al recurso.
Para editar las etiquetas (claves o valores de etiqueta) de un recurso de AWS Security Hub, puede utilizar la API de Security Hub. Actualmente, la consola de Security Hub no admite la edición de etiquetas.
Para editar las etiquetas de varios recursos de Security Hub al mismo tiempo, utilice las operaciones de etiquetado de la API de etiquetado de AWS Resource Groups.
La edición de etiquetas de un recurso puede afectar al acceso al recurso. Antes de editar la clave o el valor de etiqueta de un recurso, asegúrese de revisar cualquier política de AWS Identity and Access Management (IAM) que pueda utilizar la etiqueta para controlar el acceso a los recursos.
- Security Hub API & AWS CLI
-
Para editar las etiquetas de un recurso
Al editar una etiqueta de un recurso mediante programación, la etiqueta existente se sobrescribe con valores nuevos. Por lo tanto, la mejor forma de editar una etiqueta depende de si desea editar una clave de etiqueta, un valor de etiqueta o ambos. Para editar una clave de etiqueta, elimine la etiqueta actual y añada una nueva.
Para editar o eliminar únicamente el valor de etiqueta asociado a una clave de etiqueta, sobrescriba el valor existente mediante la operación TagreSource de la API de Security Hub. Si utiliza la AWS CLI, ejecute el comando tag-resource. En su solicitud, especifique el nombre de recurso de Amazon (ARN) del recurso cuyo valor de etiqueta desea editar o eliminar.
Para editar el valor de una etiqueta, utilice el parámetro tags para especificar la clave de etiqueta cuyo valor de etiqueta desea cambiar. También debe especificar el nuevo valor de etiqueta para la clave. Por ejemplo, el siguiente comando AWS CLI cambia el valor de etiqueta de Prod a Test para la etiqueta Environment asignada a la regla de automatización especificada. Este ejemplo está formateado para Linux, macOS o Unix y utiliza el carácter de continuación de línea de barra invertida (\) para mejorar la legibilidad.
$ aws securityhub tag-resource \
--resource-arn arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 \
--tags key=Environment,value=Test
Donde:
-
resource-arn especifica el ARN de la política de configuración.
-
Environment
-
TestEnvironment
Para eliminar un valor de etiqueta de una clave de etiqueta, no especifique un valor para el argumento value de la clave en el parámetro tags. Por ejemplo:
$ aws securityhub tag-resource \
--resource-arn arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 \
--tags key=Owner,value=
Si la operación se realiza correctamente, Security Hub devuelve una respuesta HTTP 200 vacía. De lo contrario, Security Hub devuelve una respuesta HTTP 4 xx o 500 que indica el motivo del error de la operación.
Para eliminar etiquetas de un recurso de AWS Security Hub, puede usar la API de Security Hub. Actualmente, la consola de Security Hub no admite la eliminación de etiquetas.
Para eliminar las etiquetas de varios recursos de Security Hub al mismo tiempo, utilice las operaciones de etiquetado de la API de etiquetado de AWS Resource Groups.
La eliminación de etiquetas de un recurso puede afectar al acceso al recurso. Antes de eliminar una etiqueta, revise cualquier política de AWS Identity and Access Management (IAM) que pueda utilizarla para controlar el acceso a los recursos.
- Security Hub API & AWS CLI
-
Para eliminar etiquetas de un recurso
Para eliminar una o más etiquetas de un recurso mediante programación, utilice la operación UntagResource de la API de Security Hub. En su solicitud, utilice el parámetro resourceArn para especificar el nombre de recurso de Amazon (ARN) del recurso del que desea eliminar la etiqueta. Utilice el parámetro tagKeys para especificar la clave de etiqueta de la etiqueta que se va a eliminar. Para eliminar varias etiquetas, añada el parámetro tagKeys y el argumento de cada etiqueta que desee eliminar, separados por un signo &, por ejemplo, tagKeys=key1&tagKeys=key2. Para eliminar únicamente un valor de etiqueta específico (no una clave de etiqueta) de un recurso, edite la etiqueta en lugar de eliminarla.
Si utiliza la AWS CLI, ejecute el comando untag-resource para eliminar una o más etiquetas de un recurso. Para el parámetro resource-arn, especifique el ARN del recurso del que se va a eliminar una etiqueta. Utilice el parámetro tag-keys para especificar la clave de etiqueta de la etiqueta que se va a eliminar. Por ejemplo, el siguiente comando elimina la etiqueta Environment (tanto la clave como el valor de la etiqueta) de la política de configuración especificada:
$ aws securityhub untag-resource \
--resource-arn arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 \
--tag-keys Environment
Donde resource-arn especifica el ARN de la política de configuración de la que se va a eliminar una etiqueta y Environment
Para eliminar varias etiquetas de un recurso, agregue cada clave adicional como argumento para el parámetro tag-keys: Por ejemplo:
$ aws securityhub untag-resource \
--resource-arn arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 \
--tag-keys Environment Owner
Si la operación se realiza correctamente, Security Hub devuelve una respuesta HTTP 200 vacía. De lo contrario, Security Hub devuelve una respuesta HTTP 4 xx o 500 que indica el motivo del error de la operación.
