Adición de etiquetas a los recursos del CSPM de Security Hub

Una etiqueta es una marca opcional que puede definir y asignar a recursos de AWS, incluidos ciertos tipos de recursos del CSPM de AWS Security Hub. Con las etiquetas, puede identificar, clasificar y administrar recursos de distintas formas, como por finalidad, propietario, entorno u otros criterios. Por ejemplo, puede usar etiquetas para aplicar políticas, asignar costos, distinguir entre las versiones de los recursos o identificar los recursos que respaldan determinados requisitos de conformidad o flujos de trabajo.

Puede agregar etiquetas a los siguientes tipos de recursos del CSPM de Security Hub:

• Reglas de automatización

• Políticas de configuración

• HubRecurso de

Un recurso puede tener hasta 50 etiquetas. Cada etiqueta consta de una clave de etiqueta necesaria y un valor de etiqueta opcional. Una clave de etiqueta es una etiqueta general que actúa como una categoría para un valor de etiqueta más específico. Un valor de etiqueta actúa como descriptor de una clave de etiqueta. Para obtener más información acerca de las opciones y los requisitos de etiquetado, consulte Conceptos básicos del etiquetado.

Para agregar etiquetas a un recurso del CSPM de Security Hub, puede utilizar la consola o la API del CSPM de Security Hub. Sin embargo, la consola no permite agregar etiquetas al recurso de Hub.

Después de agregar las etiquetas, puede editarlas y cambiar la clave o el valor.

Para agregar o editar las etiquetas de varios recursos del CSPM de Security Hub al mismo tiempo, utilice las operaciones de etiquetado de la API de etiquetado de Grupos de recursos de AWS.

importante

La adición de etiquetas a un recurso puede afectar al acceso al recurso. Antes de agregar una etiqueta a un recurso, revise las políticas de AWS Identity and Access Management (IAM) que pudieran utilizar etiquetas para controlar el acceso a recursos.

Console

Para agregar etiquetas a un recurso del CSPM de Security Hub (consola)

Cuando crea una regla de automatización o una política de configuración, la consola del CSPM de Security Hub ofrece opciones para agregarle etiquetas. Puede proporcionar la clave y el valor de la etiqueta en la sección Etiquetas.

Security Hub CSPM API

Para agregar etiquetas a un recurso del CSPM de Security Hub (API)

Para crear un recurso y añadirle una o más etiquetas mediante programación, utilice la operación adecuada para el tipo de recurso que desee crear:

• Para crear una política de configuración y agregarle una o más etiquetas, invoque la API CreateConfigurationPolicy o, si utiliza la AWS CLI, ejecute el comando create-configuration-policy.

• Para crear una regla de automatización y añadirle una o más etiquetas, invoque la API CreateAutomationRule o, si utiliza la AWS CLI, ejecute el comando create-automation-rule.

• Para habilitar el CSPM de Security Hub y agregar una o más etiquetas al recurso de Hub, invoque la API EnableSecurityHub o, si utiliza la AWS Command Line Interface (AWS CLI), ejecute el comando enable-security-hub.

En su solicitud, use el parámetro tags para especificar la clave de etiqueta y el valor de etiqueta opcional de cada etiqueta que quiera añadir al recurso. El parámetro tags especifica una matriz de uno o varios objetos. Cada objeto especifica una clave de etiqueta y su valor de etiqueta asociado.

Para agregar una o más etiquetas a un recurso existente, utilice la operación TagResource de la API del CSPM de Security Hub o, si utiliza la AWS CLI, ejecute el comando tag-resource. En su solicitud, especifique el nombre de recurso de Amazon (ARN) del recurso al que desea añadir una etiqueta. Use el parámetro tags para especificar la clave de etiqueta (key) y el valor de etiqueta opcional (value) de cada etiqueta que quiera añadir. El parámetro tags especifica una matriz de objetos, un objeto para cada clave de etiqueta y su valor de etiqueta asociado.

Por ejemplo, el siguiente comando de la AWS CLI agrega una clave de etiqueta Environment con un valor de etiqueta Prod a la política de configuración especificada. Este ejemplo está formateado para Linux, macOS o Unix y utiliza el carácter de barra invertida (\) de continuación de línea para mejorar la legibilidad.

Ejemplo de comando de la CLI:

$ aws securityhub tag-resource \
--resource-arn arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 \
--tags '{"Environment":"Prod"}'

Donde:

• resource-arn especifica el ARN de la política de configuración a la que se va a agregar una etiqueta.

• Environment es la clave de etiqueta de la etiqueta que se va a añadir a la regla.

• Prod es el valor de etiqueta para la clave de etiqueta especificada (Environment).

En el siguiente ejemplo, el comando agrega varias etiquetas a la política de configuración.

$ aws securityhub tag-resource \
--resource-arn arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 \
--tags '{"Environment":"Prod", "CostCenter":"12345", "Owner":"jane-doe"}'

Para cada objeto de una matriz tags, se requieren los argumentos key y value. Sin embargo, el valor del argumento value puede ser una cadena vacía. Si no desea asociar un valor de etiqueta a una clave de etiqueta, no especifique un valor para el argumento value. Por ejemplo, el comando siguiente añade una clave de etiqueta Owner sin un valor de etiqueta asociado:

$ aws securityhub tag-resource \
--resource-arn arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 \
--tags '{"Owner":""}'

Si la operación de etiquetado se realiza correctamente, el CSPM de Security Hub devuelve una respuesta HTTP 200 vacía. De lo contrario, el CSPM de Security Hub devuelve una respuesta HTTP 4 xx o 500 que indica el motivo del error de la operación.