Etiquetado de recursos de Security Hub - AWS Security Hub
Conceptos básicos del etiquetadoUso de etiquetas en políticas de IAM

Etiquetado de recursos de Security Hub

Una etiqueta es una marca opcional que puede definir y asignar a recursos de AWS, incluidos ciertos tipos de recursos del CSPM de AWS Security Hub. Las etiquetas pueden ayudarle a identificar, clasificar y administrar recursos de distintas formas, como por finalidad, propietario, entorno u otros criterios. Por ejemplo, puede usar etiquetas para distinguir entre los recursos, identificar recursos que admiten ciertos requisitos de conformidad o flujos de trabajo, o asignar costos.

Puede agregar etiquetas a los siguientes tipos de recursos del CSPM de Security Hub:

  • Reglas de automatización

  • Políticas de configuración

  • HubRecurso de

Conceptos básicos del etiquetado

Un recurso puede tener hasta 50 etiquetas. Cada etiqueta está formada por una clave de etiqueta y un valor de etiqueta opcional, ambos definidos por el usuario. Un clave de etiqueta es una etiqueta general que actúa como una categoría para un valor de etiqueta más específicos. Un valor de etiqueta actúa como descriptor de una clave de etiqueta.

Por ejemplo, si crea reglas de automatización diferentes para entornos diferentes (un conjunto de reglas de automatización para las cuentas de prueba y otro para las cuentas de producción), puede asignar una clave de etiqueta Environment a esas reglas. El valor de etiqueta asociado puede ser Test para las reglas asociadas a cuentas de prueba y Prod para las reglas asociadas a las cuentas de producción y unidades organizativas.

A la hora de definir y asignar etiquetas a recursos del CSPM de AWS Security Hub, tenga en cuenta lo siguiente:

  • Cada recurso puede tener un máximo de 50 etiquetas.

  • Para cada recurso, cada clave de etiqueta debe ser única y solo puede tener un valor.

  • Las claves y los valores de las etiquetas distinguen entre mayúsculas y minúsculas. Le recomendamos que defina una estrategia de uso de mayúsculas y minúsculas en las etiquetas e implemente esa estrategia sistemáticamente en todos los recursos.

  • Una clave de etiqueta puede tener un máximo de 128 caracteres UTF-8. Una clave de valor puede tener un máximo de 256 caracteres UTF-8. Los caracteres pueden ser letras, números, espacios o los siguientes símbolos: _ . : / = + - @

  • El prefijo aws: se reserva para el uso por parte de AWS. No puede usarlo en las claves o valores de etiqueta que defina. Además, las claves o valores de etiqueta que utilizan este prefijo no se pueden cambiar ni quitar. Las etiquetas que usan este prefijo no cuentan para la cuota de 50 etiquetas por recurso.

  • Las etiquetas que asigne estarán disponibles solo para suCuenta de AWS y sólo en el lugar Región de AWS en el que las asigne.

  • Si asigna etiquetas a un recurso mediante el CSPM de Security Hub, las etiquetas se aplican solo al recurso almacenado directamente en el CSPM de Security Hub en la Región de AWS correspondiente. No se aplican a ningún recurso de apoyo asociado que el CSPM de Security Hub cree, utilice o mantenga en su nombre en otros Servicios de AWS. Por ejemplo, si asigna etiquetas a una regla de automatización que actualiza los resultados relacionados con Amazon Simple Storage Service (Amazon S3), las etiquetas se aplican únicamente a la regla de automatización en el CSPM de Security Hub para la región especificada. No se aplican a sus buckets de S3. Para asignar también etiquetas a un recurso asociado, puede usar Grupos de recursos de AWS o el Servicio de AWS que almacena el recurso, por ejemplo, Amazon S3 para un bucket de S3. La asignación de etiquetas a los recursos asociados resulta útil a la hora de identificar los recursos de apoyo de los recursos del CSPM de Security Hub.

  • Si elimina un recurso, también se eliminará cualquier etiqueta asignada a dicho recurso.

importante

No almacene datos confidenciales ni de otro tipo en etiquetas. Las etiquetas son accesibles desde muchos Servicios de AWS, incluida la Administración de facturación y costos de AWS. No se diseñaron para utilizarse con datos confidenciales.

Para agregar y administrar etiquetas en los recursos del CSPM de Security Hub, puede usar la consola del CSPM de Security Hub, la API del CSPM de Security Hub o la API de etiquetado de Grupos de recursos de AWS. Con el CSPM de Security Hub, puede agregar etiquetas a un recurso en el momento en que se crea. También puede añadir y gestionar etiquetas para los recursos individuales existentes. Con Resource Groups, puede agregar y administrar etiquetas en bloque para varios recursos existentes que abarcan varios Servicios de AWS, incluido el CSPM de Security Hub.

Para obtener más consejos y prácticas recomendadas sobre las etiquetas, consulte Etiquetado de los recursos de AWS en la Guía del usuario sobre el etiquetado de recursos de AWS.

Uso de etiquetas en políticas de IAM

Una vez que comience a etiquetar los recursos, puede definir permisos de recursos basados en etiquetas en las políticas de AWS Identity and Access Management (IAM). Al utilizar las etiquetas de esta manera, puede implementar un control detallado de los usuarios y roles de su Cuenta de AWS que tienen permiso para crear y etiquetar recursos, y los usuarios y roles que tienen permiso para añadir, editar y quitar etiquetas de forma más general. Para controlar el acceso utilizando etiquetas, puede usar claves de condición relacionadas con etiquetas en el Elemento de condición de las políticas de IAM.

Por ejemplo, puede crear una política de IAM que permita a un usuario tener acceso completo a todos los recursos del CSPM de AWS Security Hub si la etiqueta Owner del recurso especifica su nombre de usuario:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ModifyResourceIfOwner",
            "Effect": "Allow",
            "Action": "securityhub:*",
            "Resource": "*",
            "Condition": {
                "StringEqualsIgnoreCase": {"aws:ResourceTag/Owner": "${aws:username}"}
            }
        }
    ]
}

Si define los permisos de nivel de recurso basados en etiquetas, estos entrarán en vigor inmediatamente. Esto significa que sus recursos están más seguros en cuanto se crean y que puede empezar a aplicar el uso de etiquetas de nuevos recursos rápidamente. También puede usar permisos de nivel de recurso para controlar las claves y valores de etiqueta que se pueden asociar a recursos nuevos y existentes. Para obtener más información, consulte Control del acceso a los recursos de AWS mediante etiquetas en la Guía del usuario de IAM.