Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Balisage des ressources AWS du Security Hub
Une balise est une étiquette facultative que vous pouvez définir et attribuer à AWS des ressources, notamment à certains types de ressources AWS Security Hub. Les balises peuvent vous aider à identifier, à classer et à gérer les ressources de différentes manières, par exemple en fonction de leur objectif, de leur propriétaire, de leur environnement ou d'autres critères. Par exemple, vous pouvez utiliser des balises pour distinguer les ressources, identifier les ressources qui répondent à certaines exigences de conformité ou à certains flux de travail, ou répartir les coûts.
Vous pouvez attribuer des balises aux types de ressources Security Hub suivants : règles d'automatisation, politiques de configuration et Hub ressource.
Une ressource peut avoir jusqu'à 50 balises. Chaque balise est constituée d'une clé de balise obligatoire et d'une valeur de balise facultative que vous définissez. Une clé de balise est une étiquette générale qui fait office de catégorie pour une valeur de balise plus spécifique. Une valeur de balise tient lieu de descripteur pour une clé de balise.
Par exemple, si vous créez différentes règles d'automatisation pour différents environnements (un ensemble de règles d'automatisation pour les comptes de test et un autre pour les comptes de production), vous pouvez attribuer une clé de Environment balise à ces règles. La valeur de balise associée peut Test correspondre aux règles associées aux comptes de test et Prod aux règles associées aux comptes de production et aux unités d'organisation.
Lorsque vous définissez et attribuez des balises aux ressources du AWS Security Hub, gardez les points suivants à l'esprit :
-
Chaque ressource peut avoir un maximum de 50 balises.
-
Pour chaque ressource, chaque clé de balise doit être unique et ne peut avoir qu'une seule valeur de balise.
-
Les clés et valeurs de balise sont sensibles à la casse. À titre de bonne pratique, nous vous recommandons de définir une stratégie de capitalisation des balises et de mettre en œuvre cette stratégie de manière cohérente dans l'ensemble de vos ressources.
-
Une clé de balise peut comporter au maximum 128 caractères UTF-8. La valeur d'une balise peut comporter au maximum 256 caractères UTF-8. Les caractères peuvent être des lettres, des chiffres, des espaces ou les symboles suivants : _. :/= + - @
-
Le aws: préfixe est réservé à l'usage deAWS. Vous ne pouvez pas l'utiliser dans les clés ou les valeurs de balise que vous définissez. En outre, vous ne pouvez pas modifier ou supprimer les clés de balise ou les valeurs qui utilisent ce préfixe. Les balises qui utilisent ce préfixe ne sont pas comptabilisées dans le quota de 50 balises par ressource.
-
Tous les tags que vous attribuez ne sont disponibles que pour vous Compte AWS et uniquement dans le pays Région AWS dans lequel vous les attribuez.
-
Si vous attribuez des balises à une ressource à l'aide de Security Hub, les balises ne sont appliquées qu'à la ressource stockée directement dans Security Hub dans le cas applicableRégion AWS. Ils ne s'appliquent à aucune ressource de support associée que Security Hub crée, utilise ou gère pour vous dans d'autres domainesServices AWS. Par exemple, si vous attribuez des balises à une règle d'automatisation qui met à jour les résultats relatifs à Amazon Simple Storage Service (Amazon S3), les balises sont appliquées uniquement à votre règle d'automatisation dans Security Hub pour la région spécifiée. Ils ne sont pas appliqués à vos compartiments S3. Pour attribuer également des balises à une ressource associée, vous pouvez utiliser AWS Resource Groups ou Service AWS celle qui stocke la ressource, par exemple Amazon S3 pour un compartiment S3. L'attribution de balises aux ressources associées peut vous aider à identifier les ressources de support pour vos ressources Security Hub.
-
Si vous supprimez une ressource, toutes les balises qui lui sont attribuées sont également supprimées.
Ne stockez pas de données confidentielles ou d'autres types de données sensibles dans des balises. Les tags sont accessibles depuis de nombreuses personnesServices AWS, notammentAWS Billing and Cost Management. Ils ne sont pas destinés à être utilisés pour des données sensibles.
Pour ajouter et gérer des balises pour les ressources du Security Hub, vous pouvez utiliser la console Security Hub, l'API Security Hub ou l'API de AWS Resource Groups balisage. Security Hub vous permet d'ajouter des balises à une ressource lorsque vous la créez. Vous pouvez également ajouter et gérer des balises pour des ressources existantes individuelles. Avec Resource Groups, vous pouvez ajouter et gérer des balises en bloc pour plusieurs ressources existantes couvrant plusieurs ressourcesServices AWS, y compris Security Hub.
Pour obtenir des conseils supplémentaires et des meilleures pratiques en matière de balisage, consultez la section Marquage de vos AWS ressources dans le Guide de l'utilisateur des AWSressources de balisage.
Une fois que vous avez commencé à baliser les ressources, vous pouvez définir des autorisations basées sur des balises au niveau des ressources dans les politiques AWS Identity and Access Management (IAM). En utilisant les balises de cette manière, vous pouvez mettre en œuvre un contrôle granulaire des utilisateurs et des rôles autorisés à créer et à étiqueter des ressources, et des utilisateurs et rôles autorisés à ajouter, modifier et supprimer des balises de manière plus générale. Compte AWS Pour contrôler l'accès en fonction des balises, vous pouvez utiliser les clés de condition associées aux balises dans l'élément Condition des politiques IAM.
Par exemple, vous pouvez créer une politique IAM qui permet à un utilisateur d'avoir un accès complet à toutes les ressources du AWS Security Hub, si le Owner tag de la ressource indique son nom d'utilisateur :
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ModifyResourceIfOwner",
"Effect": "Allow",
"Action": "securityhub:*",
"Resource": "*",
"Condition": {
"StringEqualsIgnoreCase": {"aws:ResourceTag/Owner": "${aws:username}"}
}
}
]
}
Si vous définissez des autorisations au niveau des ressources basées sur des balises, les autorisations prennent effet immédiatement. Vos ressources sont ainsi plus sécurisées dès leur création et vous pouvez rapidement commencer à appliquer l'utilisation des balises pour les nouvelles ressources. Vous pouvez également utiliser des autorisations au niveau des ressources afin de contrôler les clés et les valeurs de balise qui peuvent être associés à des ressources nouvelles et existantes. Pour plus d'informations, consultez la section Contrôle de l'accès aux ressources AWS à l'aide de balises du Guide de l'utilisateur IAM.
Pour ajouter des balises à une ressource AWS Security Hub individuelle, vous pouvez utiliser la console Security Hub ou l'API Security Hub. La console ne prend pas en charge l'ajout de balises à la Hub ressource.
Pour ajouter des balises à plusieurs ressources Security Hub en même temps, utilisez les opérations de balisage de l'API de AWS Resource Groupsbalisage.
L'ajout de balises à une ressource peut affecter l'accès à cette ressource. Avant d'ajouter une balise à une ressource, passez en revue les politiques AWS Identity and Access Management (IAM) susceptibles d'utiliser des balises pour contrôler l'accès aux ressources.
- Console
-
Ajout d’une balise à une ressource
Lorsque vous créez une règle d'automatisation ou une politique de configuration, la console Security Hub propose des options permettant d'y ajouter des balises. Vous pouvez fournir la clé et la valeur de la balise dans la section Tags.
- Security Hub API & AWS CLI
-
Ajout d’une balise à une ressource
Pour créer une ressource et y ajouter une ou plusieurs balises par programmation, utilisez l'opération appropriée au type de ressource que vous souhaitez créer :
Dans votre demande, utilisez le tags paramètre pour spécifier la clé de balise et la valeur de balise facultative pour chaque balise à ajouter à la ressource. Le tags paramètre spécifie un tableau d'objets. Chaque objet spécifie une clé de balise et la valeur de balise associée.
Pour ajouter une ou plusieurs balises à une ressource existante, utilisez TagResourcel'API Security Hub ou, si vous utilisez laAWS CLI, exécutez la commande tag-resource. Dans votre demande, spécifiez le Amazon Resource Name (ARN) de la ressource à laquelle vous souhaitez ajouter une balise. Utilisez le tags paramètre pour spécifier la clé de balise (key) et la valeur de balise facultative (value) pour chaque balise à ajouter. Le tags paramètre spécifie un tableau d'objets, un objet pour chaque clé de balise et la valeur de balise associée.
Par exemple, la AWS CLI commande suivante ajoute une clé de Environment balise avec une valeur de Prod balise à la politique de configuration spécifiée. Cet exemple est formaté pour Linux, macOS ou Unix et utilise le caractère de continuation de ligne inversée (\) pour améliorer la lisibilité.
Exemple de commande CLI :
$ aws securityhub tag-resource \
--resource-arn arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 \
--tags key=Environment,value=Prod
Où :
-
resource-arnspécifie l'ARN de la politique de configuration à laquelle ajouter une balise.
-
Environment
-
ProdEnvironment
Dans l'exemple suivant, la commande ajoute plusieurs balises à la politique de configuration.
$ aws securityhub tag-resource \
--resource-arn arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 \
--tags key=Environment,value=Prod key=CostCenter,value=12345 key=Owner,value=jane-doe
Pour chaque objet d'un tags tableau, les value arguments key et sont obligatoires. Toutefois, la valeur de l'valueargument peut être une chaîne vide. Si vous ne souhaitez pas associer une valeur de balise à une clé de balise, ne spécifiez pas de valeur pour l'valueargument. Par exemple, la commande suivante ajoute une clé de Owner balise sans valeur de balise associée :
$ aws securityhub tag-resource \
--resource-arn arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 \
--tags key=Owner,value=
Si une opération de balisage réussit, Security Hub renvoie une réponse HTTP 200 vide. Sinon, Security Hub renvoie une réponse HTTP 4 xx ou 500 indiquant pourquoi l'opération a échoué.
Vous pouvez consulter les balises (clés de balise et valeurs de balise) d'une règle d'automatisation ou d'une politique de configuration du Security Hub à l'aide de la console Security Hub ou de l'API Security Hub. La console ne prend pas en charge la révision des balises de la Hub ressource.
Pour consulter les balises de plusieurs ressources Security Hub en même temps, utilisez les opérations de balisage de l'API de AWS Resource Groupsbalisage.
- Console
-
Pour consulter les balises d'une ressource
À l'aide des informations d'identification de l'administrateur du Security Hub, ouvrez la console AWS Security Hub à l'adresse https://console.aws.amazon.com/securityhub/.
-
Selon le type de ressource auquel vous souhaitez ajouter une balise, effectuez l'une des opérations suivantes :
Pour consulter les balises d'une règle d'automatisation, choisissez Automations dans le volet de navigation. Choisissez ensuite une règle d'automatisation.
Pour consulter les balises d'une politique de configuration, choisissez Configuration dans le volet de navigation. Ensuite, dans l'onglet Stratégies, sélectionnez l'option à côté d'une politique de configuration. Un panneau latéral s'ouvre et indique le nombre de balises attribuées à la politique. Vous pouvez développer l'en-tête Tags pour afficher les clés et les valeurs des balises.
La section Balises répertorie toutes les balises actuellement attribuées à la ressource.
- Security Hub API & AWS CLI
-
Pour consulter les balises d'une ressource
Pour récupérer et consulter les balises d'une ressource existante, appelez l'ListTagsForResourceAPI. Dans votre demande, utilisez le resourceArn paramètre pour spécifier le nom de ressource Amazon (ARN) de la ressource.
Si vous utilisez leAWS CLI, exécutez la list-tags-for-resourcecommande et utilisez le resource-arn paramètre pour spécifier l'ARN de la ressource. Par exemple :
$ aws securityhub list-tags-for-resource --resource-arn arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111
Si l'opération aboutit, Security Hub renvoie un tags tableau. Chaque objet du tableau spécifie une balise (clé de balise et valeur de balise) actuellement attribuée à la ressource. Par exemple :
{
"tags": [
{
"key": "Environment",
"value": "Prod"
},
{
"key": "CostCenter",
"value": "12345"
},
{
"key": "Owner",
"value": ""
}
]
}
Où EnvironmentCostCenter, et Owner sont les clés de balise attribuées à la ressource. Prodest la valeur de balise associée à la clé de Environment balise. 12345est la valeur de balise associée à la clé de CostCenter balise. Aucune valeur de Owner balise n'est associée à la clé de balise.
Pour récupérer la liste de toutes les ressources Security Hub dotées de balises et de toutes les balises attribuées à chacune de ces ressources, utilisez le GetResourcesfonctionnement de l'API de AWS Resource Groups balisage. Dans votre demande, définissez la valeur du ResourceTypeFilters paramètre sursecurityhub. Pour ce faireAWS CLI, exécutez la commande get-resources et définissez la valeur du resource-type-filters paramètre sur. securityhub Par exemple :
$ aws resourcegroupstaggingapi get-resources -\-resource-type-filters "securityhub"
Si l'opération aboutit, Resource Groups renvoie un ResourceTagMappingList tableau. Le tableau contient un objet pour chaque ressource Security Hub dotée de balises. Chaque objet spécifie l'ARN d'une ressource Security Hub, ainsi que les clés de balise et les valeurs attribuées à la ressource.
Pour modifier les balises (clés de balise ou valeurs de balise) d'une ressource AWS Security Hub, vous pouvez utiliser l'API Security Hub. La console Security Hub ne prend actuellement pas en charge la modification des balises.
Pour modifier les balises de plusieurs ressources Security Hub en même temps, utilisez les opérations de balisage de l'API de AWS Resource Groupsbalisage.
La modification des balises d'une ressource peut avoir une incidence sur l'accès à cette ressource. Avant de modifier une clé ou une valeur de balise pour une ressource, passez en revue les politiques AWS Identity and Access Management (IAM) susceptibles d'utiliser la balise pour contrôler l'accès aux ressources.
- Security Hub API & AWS CLI
-
Pour modifier les balises d'une ressource
Lorsque vous modifiez une balise pour une ressource par programmation, vous remplacez la balise existante par de nouvelles valeurs. Par conséquent, la meilleure façon de modifier une balise dépend de la modification d'une clé de balise, d'une valeur de balise ou des deux. Pour modifier une clé de balise, supprimez la balise actuelle et ajoutez-en une nouvelle.
Pour modifier ou supprimer uniquement la valeur de balise associée à une clé de balise, remplacez la valeur existante à l'aide TagResourcede l'API Security Hub. Si vous utilisez leAWS CLI, exécutez la commande tag-resource. Dans votre demande, spécifiez le Amazon Resource Name (ARN) de la ressource dont vous souhaitez modifier ou supprimer la valeur de balise.
Pour modifier la valeur d'une balise, utilisez le tags paramètre pour spécifier la clé de balise dont vous souhaitez modifier la valeur de balise. Vous devez également spécifier la nouvelle valeur de balise pour la clé. Par exemple, la AWS CLI commande suivante modifie la valeur de balise de Prod à Test pour la clé de Environment balise affectée à la règle d'automatisation spécifiée. Cet exemple est formaté pour Linux, macOS ou Unix et utilise le caractère de continuation de ligne inversée (\) pour améliorer la lisibilité.
$ aws securityhub tag-resource \
--resource-arn arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 \
--tags key=Environment,value=Test
Où :
-
resource-arnspécifie l'ARN de la politique de configuration.
-
Environment
-
TestEnvironment
Pour supprimer une valeur de balise d'une clé de balise, ne spécifiez pas de valeur pour l'valueargument de la clé dans le tags paramètre. Par exemple :
$ aws securityhub tag-resource \
--resource-arn arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 \
--tags key=Owner,value=
Si l'opération aboutit, Security Hub renvoie une réponse HTTP 200 vide. Sinon, Security Hub renvoie une réponse HTTP 4 xx ou 500 indiquant pourquoi l'opération a échoué.
Pour supprimer des balises d'une ressource AWS Security Hub, vous pouvez utiliser l'API Security Hub. La console Security Hub ne prend actuellement pas en charge la suppression des balises.
Pour supprimer des balises de plusieurs ressources Security Hub en même temps, utilisez les opérations de balisage de l'API de AWS Resource Groupsbalisage.
La suppression de balises d'une ressource peut affecter l'accès à cette ressource. Avant de supprimer un tag, passez en revue les politiques AWS Identity and Access Management (IAM) susceptibles d'utiliser le tag pour contrôler l'accès aux ressources.
- Security Hub API & AWS CLI
-
Pour supprimer des balises d'une ressource
Pour supprimer une ou plusieurs balises d'une ressource par programmation, utilisez UntagResourcel'API Security Hub. Dans votre demande, utilisez le resourceArn paramètre pour spécifier le nom de ressource Amazon (ARN) de la ressource dont vous souhaitez supprimer une balise. Utilisez le tagKeys paramètre pour spécifier la clé de balise de la balise à supprimer. Pour supprimer plusieurs balises, ajoutez le tagKeys paramètre et l'argument de chaque balise à supprimer, séparés par une esperluette (&), par exemple,. tagKeys=key1&tagKeys=key2 Pour supprimer uniquement une valeur de balise spécifique (et non une clé de balise) d'une ressource, modifiez la balise au lieu de la supprimer.
Si vous utilisez leAWS CLI, exécutez la commande untag-resource pour supprimer une ou plusieurs balises d'une ressource. Pour le resource-arn paramètre, spécifiez l'ARN de la ressource dont vous souhaitez supprimer une balise. Utilisez le tag-keys paramètre pour spécifier la clé de balise de la balise à supprimer. Par exemple, la commande suivante supprime la Environment balise (à la fois la clé et la valeur de la balise) de la politique de configuration spécifiée :
$ aws securityhub untag-resource \
--resource-arn arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 \
--tag-keys Environment
Where resource-arn indique l'ARN de la politique de configuration dont il faut supprimer une balise et Environment
Pour supprimer plusieurs balises d'une ressource, ajoutez chaque clé de balise supplémentaire en tant qu'argument pour le tag-keys paramètre. Par exemple :
$ aws securityhub untag-resource \
--resource-arn arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 \
--tag-keys Environment Owner
Si l'opération aboutit, Security Hub renvoie une réponse HTTP 200 vide. Sinon, Security Hub renvoie une réponse HTTP 4 xx ou 500 indiquant pourquoi l'opération a échoué.
