Marquage des ressources d'Amazon Security Lake - Amazon Security Lake
Principes fondamentaux du balisageUtilisation de balises dans les politiques IAMAjout de balises à des ressourcesRévision des balises pour les ressourcesModification des balises pour les ressourcesSuppression de balises de ressources

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Marquage des ressources d'Amazon Security Lake

Une balise est une étiquette facultative que vous pouvez définir et attribuer aux AWS ressources, notamment à certains types de ressources Amazon Security Lake. Les balises peuvent vous aider à identifier, à classer et à gérer les ressources de différentes manières, par exemple en fonction de leur objectif, de leur propriétaire, de leur environnement ou d'autres critères. Par exemple, vous pouvez utiliser des balises pour appliquer des politiques, répartir les coûts, distinguer les ressources ou identifier les ressources qui répondent à certaines exigences de conformité ou à certains flux de travail.

Vous pouvez attribuer des balises aux types de ressources Security Lake suivants : les abonnés et la configuration du lac de données pour votre Compte AWS compte individuel Régions AWS.

Principes fondamentaux du balisage

Une ressource peut avoir jusqu'à 50 balises. Chaque balise est constituée d'une clé de balise obligatoire et d'une valeur de balise facultative que vous définissez. Une clé de balise est une étiquette générale qui fait office de catégorie pour une valeur de balise plus spécifique. Une valeur de balise tient lieu de descripteur pour une clé de balise.

Par exemple, si vous ajoutez des abonnés pour analyser les données de sécurité provenant de différents environnements (un ensemble d'abonnés pour les données dans le cloud et un autre pour les données locales), vous pouvez attribuer une clé de Environment balise à ces abonnés. La valeur de balise associée peut être Cloud destinée aux abonnés qui analysent les données provenant de Services AWS et On-Premises pour les autres.

Lorsque vous définissez et attribuez des balises aux ressources Amazon Security Lake, gardez les points suivants à l'esprit :

  • Chaque ressource peut avoir un maximum de 50 balises.

  • Pour chaque ressource, chaque clé de balise doit être unique et ne peut avoir qu'une seule valeur de balise.

  • Les clés et valeurs de balise sont sensibles à la casse. À titre de bonne pratique, nous vous recommandons de définir une stratégie de capitalisation des balises et de mettre en œuvre cette stratégie de manière cohérente dans l'ensemble de vos ressources.

  • Une clé de balise peut comporter au maximum 128 caractères UTF-8. La valeur d'une balise peut comporter au maximum 256 caractères UTF-8. Les caractères peuvent être des lettres, des chiffres, des espaces ou les symboles suivants : _. :/= + - @

  • Le aws: préfixe est réservé à l'usage de AWS. Vous ne pouvez pas l'utiliser dans les clés ou les valeurs de balise que vous définissez. En outre, vous ne pouvez pas modifier ou supprimer les clés de balise ou les valeurs qui utilisent ce préfixe. Les balises qui utilisent ce préfixe ne sont pas comptabilisées dans le quota de 50 balises par ressource.

  • Tous les tags que vous attribuez ne sont disponibles que pour vous Compte AWS et uniquement dans le pays Région AWS dans lequel vous les attribuez.

  • Si vous attribuez des balises à une ressource à l'aide de Security Lake, les balises ne sont appliquées qu'à la ressource stockée directement dans Security Lake dans le cas applicable Région AWS. Ils ne s'appliquent à aucune ressource de support associée que Security Lake crée, utilise ou gère pour vous dans d'autres domaines Services AWS. Par exemple, si vous attribuez des balises à votre lac de données, les balises ne sont appliquées qu'à la configuration de votre lac de données dans Security Lake pour la région spécifiée. Ils ne sont pas appliqués au compartiment Amazon Simple Storage Service (Amazon S3) qui stocke les données de votre journal et de vos événements. Pour attribuer également des balises à une ressource associée, vous pouvez utiliser AWS Resource Groups ou Service AWS celle qui stocke la ressource, par exemple Amazon S3 pour un compartiment S3. L'attribution de balises aux ressources associées peut vous aider à identifier les ressources de support pour votre lac de données.

  • Si vous supprimez une ressource, toutes les balises qui lui sont attribuées sont également supprimées.

Pour obtenir des restrictions supplémentaires, des conseils et des meilleures pratiques, consultez la section Marquage de vos AWS ressources dans le Guide de l'utilisateur AWS des ressources de balisage.

Important

Ne stockez pas de données confidentielles ou d'autres types de données sensibles dans des balises. Les tags sont accessibles depuis de nombreuses personnes Services AWS, notamment AWS Billing and Cost Management. Ils ne sont pas destinés à être utilisés pour des données sensibles.

Pour ajouter et gérer des balises pour les ressources de Security Lake, vous pouvez utiliser la console Security Lake ou l'API Security Lake.

Utilisation de balises dans les politiques IAM

Une fois que vous avez commencé à baliser les ressources, vous pouvez définir des autorisations basées sur des balises au niveau des ressources dans les politiques AWS Identity and Access Management (IAM). En utilisant les balises de cette manière, vous pouvez mettre en œuvre un contrôle granulaire des utilisateurs et des rôles autorisés à créer et à étiqueter des ressources, et des utilisateurs et rôles autorisés à ajouter, modifier et supprimer des balises de manière plus générale. Compte AWS Pour contrôler l'accès en fonction des balises, vous pouvez utiliser les clés de condition associées aux balises dans l'élément Condition des politiques IAM.

Par exemple, vous pouvez créer une politique qui permet à un utilisateur d'avoir un accès complet à toutes les ressources Amazon Security Lake, si le Owner tag de la ressource indique son nom d'utilisateur :

{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "ModifyResourceIfOwner",
            "Effect": "Allow",
            "Action": "securitylake:*",
            "Resource": "*",
            "Condition": {
                "StringEqualsIgnoreCase": {"aws:ResourceTag/Owner": "${aws:username}"}
            }
        }
    ]
}

Si vous définissez des autorisations au niveau des ressources basées sur des balises, les autorisations prennent effet immédiatement. Vos ressources sont ainsi plus sécurisées dès leur création et vous pouvez rapidement commencer à appliquer l'utilisation des balises pour les nouvelles ressources. Vous pouvez également utiliser des autorisations au niveau des ressources afin de contrôler les clés et les valeurs de balise qui peuvent être associés à des ressources nouvelles et existantes. Pour plus d'informations, consultez la section Contrôle de l'accès aux AWS ressources à l'aide de balises dans le guide de l'utilisateur IAM.

Ajouter des balises aux ressources Amazon Security Lake

Pour ajouter des balises à une ressource Amazon Security Lake, vous pouvez utiliser la console Security Lake ou l'API Security Lake.

Important

L'ajout de balises à une ressource peut affecter l'accès à celle-ci. Avant d'ajouter une balise à une ressource, passez en revue les politiques AWS Identity and Access Management (IAM) susceptibles d'utiliser des balises pour contrôler l'accès aux ressources.

Console

Lorsque vous activez Security Lake pour un abonné Région AWS ou que vous en créez un, la console Security Lake propose des options permettant d'ajouter des balises à la ressource, qu'il s'agisse de la configuration du lac de données pour la région ou pour l'abonné. Suivez les instructions de la console pour ajouter des balises à la ressource lors de sa création.

Pour ajouter une ou plusieurs balises à une ressource existante à l'aide de la console Security Lake, procédez comme suit.

Ajout d’une balise à une ressource

  1. Ouvrez la console Security Lake à l'adresse https://console.aws.amazon.com/securitylake/.

  2. Selon le type de ressource auquel vous souhaitez ajouter une balise, effectuez l'une des opérations suivantes :

    • Pour une configuration de lac de données, choisissez Regions dans le volet de navigation. Ensuite, dans le tableau Régions, sélectionnez la Région.

    • Pour un abonné, choisissez Subscribers dans le volet de navigation. Ensuite, dans le tableau Mes abonnés, sélectionnez l'abonné.

      Si l'abonné n'apparaît pas dans le tableau, utilisez le Région AWS sélecteur dans le coin supérieur droit de la page pour sélectionner la région dans laquelle vous l'avez créé. Le tableau répertorie les abonnés existants uniquement pour la région actuelle.

  3. Choisissez Modifier.

  4. Développez la section identification. Cette section répertorie toutes les balises actuellement attribuées à la ressource.

  5. Dans la section Balises, choisissez Ajouter une balise.

  6. Dans le champ Clé, entrez la clé de balise pour la balise à ajouter à la ressource. Ensuite, dans le champ Valeur, entrez éventuellement une valeur de balise pour la clé.

    Une clé de balise peut contenir jusqu'à 128 caractères. Une valeur de balise peut contenir jusqu'à 256 caractères. Les caractères peuvent être des lettres, des chiffres, des espaces ou les symboles suivants : _. :/= + - @

  7. Pour ajouter une autre balise à la ressource, choisissez Ajouter une nouvelle balise, puis répétez l'étape précédente. Vous pouvez attribuer jusqu'à 50 balises à une ressource.

  8. Lorsque vous avez fini d'ajouter des balises, choisissez Enregistrer.

API

Pour créer une ressource et y ajouter une ou plusieurs balises par programmation, utilisez l'Createopération appropriée au type de ressource que vous souhaitez créer :

Dans votre demande, utilisez le tags paramètre pour spécifier la clé de balise (key) et la valeur de balise facultative (value) pour chaque balise à ajouter à la ressource. Le tags paramètre spécifie un tableau d'objets. Chaque objet spécifie une clé de balise et la valeur de balise associée.

Pour ajouter une ou plusieurs balises à une ressource existante, utilisez TagResourcel'API Security Lake ou, si vous utilisez la AWS CLI, exécutez la commande tag-resource. Dans votre demande, spécifiez le Amazon Resource Name (ARN) de la ressource à laquelle vous souhaitez ajouter une balise. Utilisez le tags paramètre pour spécifier la clé de balise (key) et la valeur de balise facultative (value) pour chaque balise à ajouter. Comme c'est le cas pour les Create opérations et les commandes, le tags paramètre spécifie un tableau d'objets, un objet pour chaque clé de balise et sa valeur de balise associée.

Par exemple, la AWS CLI commande suivante ajoute une clé de Environment balise avec une valeur de Cloud balise à l'abonné spécifié. Cet exemple est formaté pour Linux, macOS ou Unix et utilise le caractère de continuation de ligne barre oblique inverse (\) pour améliorer la lisibilité.

$ aws securitylake tag-resource \
--resource-arn arn:aws:securitylake:us-east-1:123456789012:subscriber/1234abcd-12ab-34cd-56ef-1234567890ab \
--tags key=Environment,value=Cloud

Où :

  • resource-arnspécifie l'ARN de l'abonné auquel ajouter un tag.

  • Environmentest la clé du tag à ajouter à l'abonné.

  • Cloudest la valeur de balise pour la clé de balise spécifiée (Environment).

Dans l'exemple suivant, la commande ajoute plusieurs balises à l'abonné.

$ aws securitylake tag-resource \
--resource-arn arn:aws:securitylake:us-east-1:123456789012:subscriber/1234abcd-12ab-34cd-56ef-1234567890ab \
--tags key=Environment,value=Cloud key=CostCenter,value=12345 key=Owner,value=jane-doe

Pour chaque objet d'un tags tableau, les value arguments key et sont obligatoires. Toutefois, la valeur de l'valueargument peut être une chaîne vide. Si vous ne souhaitez pas associer une valeur de balise à une clé de balise, ne spécifiez pas de valeur pour l'valueargument. Par exemple, la commande suivante ajoute une clé de Owner balise sans valeur de balise associée :

$ aws securitylake tag-resource \
--resource-arn arn:aws:securitylake:us-east-1:123456789012:subscriber/1234abcd-12ab-34cd-56ef-1234567890ab \
--tags key=Owner,value=

Si une opération de balisage réussit, Security Lake renvoie une réponse HTTP 200 vide. Sinon, Security Lake renvoie une réponse HTTP 4 xx ou 500 indiquant pourquoi l'opération a échoué.

Révision des balises pour les ressources Amazon Security Lake

Vous pouvez consulter les balises (clés de balise et valeurs de balise) d'une ressource Amazon Security Lake à l'aide de la console Security Lake ou de l'API Security Lake.

Console

Procédez comme suit pour consulter les balises d'une ressource à l'aide de la console Security Lake.

Pour consulter les balises d'une ressource

  1. Ouvrez la console Security Lake à l'adresse https://console.aws.amazon.com/securitylake/.

  2. Selon le type de ressource dont vous souhaitez vérifier les balises, effectuez l'une des opérations suivantes :

    • Pour une configuration de lac de données, choisissez Regions dans le volet de navigation. Dans le tableau Régions, sélectionnez la région, puis choisissez Modifier. Développez ensuite la section Tags.

    • Pour un abonné, choisissez Subscribers dans le volet de navigation. Ensuite, dans le tableau Mes abonnés, choisissez le nom de l'abonné.

      Si l'abonné n'apparaît pas dans le tableau, utilisez le Région AWS sélecteur dans le coin supérieur droit de la page pour sélectionner la région dans laquelle vous l'avez créé. Le tableau répertorie les abonnés existants uniquement pour la région actuelle.

La section Balises répertorie toutes les balises actuellement attribuées à la ressource.

API

Pour récupérer et examiner les balises d'une ressource existante par programmation, utilisez le ListTagsForResourcefonctionnement de l'API Security Lake. Dans votre demande, utilisez le resourceArn paramètre pour spécifier le nom de ressource Amazon (ARN) de la ressource.

Si vous utilisez le AWS Command Line Interface (AWS CLI), exécutez la list-tags-for-resourcecommande et utilisez le resource-arn paramètre pour spécifier l'ARN de la ressource. Par exemple :

$ aws securitylake list-tags-for-resource --resource-arn arn:aws:securitylake:us-east-1:123456789012:subscriber/1234abcd-12ab-34cd-56ef-1234567890ab

Dans l'exemple précédent, arn:aws:securitylake:us-east- 1:123456789012:subscriber/1234abcd-12ab-34cd-56ef-1234567890ab est l'ARN d'un abonné existant.

Si l'opération aboutit, Security Lake renvoie un tags tableau. Chaque objet du tableau spécifie une balise (clé de balise et valeur de balise) actuellement attribuée à la ressource. Par exemple :

{
    "tags": [
        {
            "key": "Environment",
            "value": "Cloud"
        },
        {
            "key": "CostCenter",
            "value": "12345"
        },
        {
            "key": "Owner",
            "value": ""
        }
    ]
}

EnvironmentCostCenter, et Owner sont les clés de balise attribuées à la ressource. Cloudest la valeur de balise associée à la clé de Environment balise. 12345est la valeur de balise associée à la clé de CostCenter balise. Aucune valeur de Owner balise n'est associée à la clé de balise.

Modification des balises pour les ressources Amazon Security Lake

Pour modifier les balises (clés de balise ou valeurs de balise) d'une ressource Amazon Security Lake, vous pouvez utiliser la console Security Lake ou l'API Security Lake.

Important

La modification des balises d'une ressource peut avoir une incidence sur l'accès à cette ressource. Avant de modifier une clé ou une valeur de balise pour une ressource, passez en revue les politiques AWS Identity and Access Management (IAM) susceptibles d'utiliser la balise pour contrôler l'accès aux ressources.

Console

Procédez comme suit pour modifier les balises d'une ressource à l'aide de la console Security Lake.

Pour modifier les balises d'une ressource

  1. Ouvrez la console Security Lake à l'adresse https://console.aws.amazon.com/securitylake/.

  2. Selon le type de ressource dont vous souhaitez modifier les balises, effectuez l'une des opérations suivantes :

    • Pour une configuration de lac de données, choisissez Regions dans le volet de navigation. Ensuite, dans le tableau Régions, sélectionnez la Région.

    • Pour un abonné, choisissez Subscribers dans le volet de navigation. Ensuite, dans le tableau Mes abonnés, sélectionnez l'abonné.

      Si l'abonné n'apparaît pas dans le tableau, utilisez le Région AWS sélecteur dans le coin supérieur droit de la page pour sélectionner la région dans laquelle vous l'avez créé. Le tableau répertorie les abonnés existants uniquement pour la région actuelle.

  3. Choisissez Modifier.

  4. Développez la section identification. La section Balises répertorie toutes les balises actuellement attribuées à la ressource.

  5. Effectuez l’une des actions suivantes :

    • Pour ajouter une valeur de balise à une clé de balise existante, entrez la valeur dans le champ Valeur à côté de la clé de balise.

    • Pour modifier une clé de balise existante, choisissez Supprimer à côté de la balise. Choisissez ensuite Ajouter une nouvelle étiquette. Dans le champ Clé qui apparaît, entrez la nouvelle clé de balise. Entrez éventuellement une valeur de balise associée dans le champ Valeur.

    • Pour modifier la valeur d'une balise existante, choisissez X dans la zone Valeur qui contient la valeur. Entrez ensuite la nouvelle valeur de balise dans le champ Valeur.

    • Pour supprimer une valeur de balise existante, choisissez X dans la zone Valeur qui contient la valeur.

    • Pour supprimer une balise existante (clé et valeur de balise), choisissez Supprimer à côté de la balise.

    Une ressource peut avoir jusqu'à 50 balises. Une clé de balise peut contenir jusqu'à 128 caractères. Une valeur de balise peut contenir jusqu'à 256 caractères. Les caractères peuvent être des lettres, des chiffres, des espaces ou les symboles suivants : _. :/= + - @

  6. Lorsque vous avez terminé de modifier les balises, choisissez Enregistrer.

API

Lorsque vous modifiez une balise pour une ressource par programmation, vous remplacez la balise existante par de nouvelles valeurs. Par conséquent, la meilleure façon de modifier une balise dépend de la modification d'une clé de balise, d'une valeur de balise ou des deux. Pour modifier une clé de balise, supprimez la balise actuelle et ajoutez-en une nouvelle.

Pour modifier ou supprimer uniquement la valeur de balise associée à une clé de balise, remplacez la valeur existante à l'aide TagResourcede l'API Security Lake. Si vous utilisez le AWS Command Line Interface (AWS CLI), exécutez la commande tag-resource. Dans votre demande, spécifiez le Amazon Resource Name (ARN) de la ressource dont vous souhaitez modifier ou supprimer la valeur de balise.

Pour modifier la valeur d'une balise, utilisez le tags paramètre pour spécifier la clé de balise dont vous souhaitez modifier la valeur de balise. Spécifiez également la nouvelle valeur de balise pour la clé. Par exemple, la AWS CLI commande suivante modifie la valeur de balise de Cloud à On-Premises pour la clé de Environment balise attribuée à l'abonné spécifié. Cet exemple est formaté pour Linux, macOS ou Unix et utilise le caractère de continuation de ligne barre oblique inverse (\) pour améliorer la lisibilité.

$ aws securitylake tag-resource \
--resource-arn arn:aws:securitylake:us-east-1:123456789012:subscriber/1234abcd-12ab-34cd-56ef-1234567890ab \
--tags key=Environment,value=On-Premises

Où :

  • resource-arnspécifie l'ARN de l'abonné.

  • Environmentest la clé de balise associée à la valeur de balise à modifier.

  • On-Premisesest la nouvelle valeur de balise pour la clé de balise spécifiée (Environment).

Pour supprimer une valeur de balise d'une clé de balise, ne spécifiez pas de valeur pour l'valueargument de la clé dans le tags paramètre. Par exemple :

$ aws securitylake tag-resource \
--resource-arn arn:aws:securitylake:us-east-1:123456789012:subscriber/1234abcd-12ab-34cd-56ef-1234567890ab \
--tags key=Owner,value=

Si l'opération réussit, Security Lake renvoie une réponse HTTP 200 vide. Sinon, Security Lake renvoie une réponse HTTP 4 xx ou 500 indiquant pourquoi l'opération a échoué.

Supprimer les balises des ressources Amazon Security Lake

Pour supprimer des balises d'une ressource Amazon Security Lake, vous pouvez utiliser la console Security Lake ou l'API Security Lake.

Important

La suppression de balises d'une ressource peut affecter l'accès à cette ressource. Avant de supprimer un tag, passez en revue les politiques AWS Identity and Access Management (IAM) susceptibles d'utiliser le tag pour contrôler l'accès aux ressources.

Console

Procédez comme suit pour supprimer une ou plusieurs balises d'une ressource à l'aide de la console Security Lake.

Pour supprimer un tag d'une ressource

  1. Ouvrez la console Security Lake à l'adresse https://console.aws.amazon.com/securitylake/.

  2. Selon le type de ressource dont vous souhaitez supprimer une balise, effectuez l'une des opérations suivantes :

    • Pour une configuration de lac de données, choisissez Regions dans le volet de navigation. Ensuite, dans le tableau Régions, sélectionnez la Région.

    • Pour un abonné, choisissez Subscribers dans le volet de navigation. Ensuite, dans le tableau Mes abonnés, sélectionnez l'abonné.

      Si l'abonné n'apparaît pas dans le tableau, utilisez le Région AWS sélecteur dans le coin supérieur droit de la page pour sélectionner la région dans laquelle vous l'avez créé. Le tableau répertorie les abonnés existants uniquement pour la région actuelle.

  3. Choisissez Modifier.

  4. Développez la section identification. La section Balises répertorie toutes les balises actuellement attribuées à la ressource.

  5. Effectuez l’une des actions suivantes :

    • Pour supprimer uniquement la valeur de balise d'une balise, choisissez X dans la zone Valeur qui contient la valeur à supprimer.

    • Pour supprimer à la fois la clé de balise et la valeur de balise (par paire) d'une balise, choisissez Supprimer à côté de la balise à supprimer.

  6. Pour supprimer des balises supplémentaires de la ressource, répétez l'étape précédente pour chaque balise supplémentaire à supprimer.

  7. Lorsque vous avez fini de supprimer les balises, choisissez Enregistrer.

API

Pour supprimer une ou plusieurs balises d'une ressource par programmation, utilisez le UntagResourcefonctionnement de l'API Security Lake. Dans votre demande, utilisez le resourceArn paramètre pour spécifier le nom de ressource Amazon (ARN) de la ressource dont vous souhaitez supprimer une balise. Utilisez le tagKeys paramètre pour spécifier la clé de balise de la balise à supprimer. Pour supprimer plusieurs balises, ajoutez le tagKeys paramètre et l'argument de chaque balise à supprimer, séparés par une esperluette (&), par exemple,. tagKeys=key1&tagKeys=key2 Pour supprimer uniquement une valeur de balise spécifique (et non une clé de balise) d'une ressource, modifiez la balise au lieu de la supprimer.

Si vous utilisez le AWS Command Line Interface (AWS CLI), exécutez la commande untag-resource pour supprimer une ou plusieurs balises d'une ressource. Pour le resource-arn paramètre, spécifiez l'ARN de la ressource dont vous souhaitez supprimer une balise. Utilisez le tag-keys paramètre pour spécifier la clé de balise de la balise à supprimer. Par exemple, la commande suivante supprime le Environment tag (à la fois la clé du tag et la valeur du tag) de l'abonné spécifié :

$ aws securitylake untag-resource \
--resource-arn arn:aws:securitylake:us-east-1:123456789012:subscriber/1234abcd-12ab-34cd-56ef-1234567890ab \
--tag-keys Environment

Where resource-arn indique l'ARN de l'abonné dont le tag doit être supprimé, et Environment représente la clé du tag à supprimer.

Pour supprimer plusieurs balises d'une ressource, ajoutez chaque clé de balise supplémentaire en tant qu'argument pour le tag-keys paramètre. Par exemple :

$ aws securitylake untag-resource \
--resource-arn arn:aws:securitylake:us-east-1:123456789012:subscriber/1234abcd-12ab-34cd-56ef-1234567890ab \
--tag-keys Environment Owner

Si l'opération réussit, Security Lake renvoie une réponse HTTP 200 vide. Sinon, Security Lake renvoie une réponse HTTP 4 xx ou 500 indiquant pourquoi l'opération a échoué.