Ajouter des tags aux ressources du Security Hub

Une balise est une étiquette que vous pouvez définir et attribuer à AWS des ressources, notamment à certains types de ressources AWS Security Hub. À l'aide de balises, vous pouvez identifier, classer et gérer les ressources de différentes manières, par exemple en fonction de leur objectif, de leur propriétaire, de leur environnement ou d'autres critères. Par exemple, vous pouvez utiliser des balises pour : appliquer des politiques, répartir les coûts, distinguer les versions des ressources ou identifier les ressources qui répondent à certaines exigences de conformité ou à certains flux de travail.

Vous pouvez ajouter des balises aux types de ressources Security Hub suivants :

• Règles d'automatisation

• Politiques de configuration

• Hub ressource

Une ressource peut avoir jusqu'à 50 balises. Chaque balise comprend une clé de balise obligatoire et une valeur de balise facultative. Une clé de balise est une étiquette générale qui fait office de catégorie pour une valeur de balise plus spécifique. Une valeur de balise tient lieu de descripteur pour une clé de balise. Pour plus d'informations sur les options et les exigences en matière de balisage, consultezPrincipes fondamentaux du balisage.

Pour ajouter des balises à une ressource Security Hub, vous pouvez utiliser la console Security Hub ou le Security HubAPI. Cependant, la console ne prend pas en charge l'ajout de balises à la Hub ressource.

Après avoir ajouté des balises, vous pouvez modifier la balise et modifier la clé ou la valeur de la balise.

Pour ajouter ou modifier des balises pour plusieurs ressources Security Hub en même temps, utilisez les opérations de balisage du AWS Resource Groups APIbalisage.

Important

L'ajout de balises à une ressource peut affecter l'accès à cette ressource. Avant d'ajouter une balise à une ressource, passez en revue toutes les politiques AWS Identity and Access Management (IAM) susceptibles d'utiliser des balises pour contrôler l'accès aux ressources.

Console

Pour ajouter des balises à une ressource Security Hub (console)

Lorsque vous créez une règle d'automatisation ou une politique de configuration, la console Security Hub propose des options permettant d'y ajouter des balises. Vous pouvez fournir la clé et la valeur de la balise dans la section Tags.

Security Hub API

Pour ajouter des balises à une ressource Security Hub (API)

Pour créer une ressource et y ajouter une ou plusieurs balises par programmation, utilisez l'opération appropriée au type de ressource que vous souhaitez créer :

• Pour créer une politique de configuration et y ajouter une ou plusieurs balises, appelez la commande CreateConfigurationPolicyAPIou, si vous utilisez la AWS CLI, exécutez la create-configuration-policycommande.

• Pour créer une règle d'automatisation et y ajouter une ou plusieurs balises, appelez la commande CreateAutomationRuleAPIou, si vous utilisez la AWS CLI, exécutez la create-automation-rulecommande.

• Pour activer Security Hub et ajouter une ou plusieurs balises à votre Hub ressource, appelez la commande EnableSecurityHubAPIou, si vous utilisez le AWS Command Line Interface (AWS CLI), exécutez la enable-security-hubcommande.

Dans votre demande, utilisez le tags paramètre pour spécifier la clé de balise et la valeur de balise facultative pour chaque balise à ajouter à la ressource. Le tags paramètre spécifie un tableau d'objets. Chaque objet spécifie une clé de balise et la valeur de balise associée.

Pour ajouter une ou plusieurs balises à une ressource existante, utilisez TagResourcele Security Hub API ou, si vous utilisez le AWS CLI, exécutez la commande tag-resource. Dans votre demande, spécifiez le nom de ressource Amazon (ARN) de la ressource à laquelle vous souhaitez ajouter une balise. Utilisez le tags paramètre pour spécifier la clé de balise (key) et la valeur de balise facultative (value) pour chaque balise à ajouter. Le tags paramètre spécifie un tableau d'objets, un objet pour chaque clé de balise et la valeur de balise associée.

Par exemple, la AWS CLI commande suivante ajoute une clé de Environment balise avec une valeur de Prod balise à la politique de configuration spécifiée. Cet exemple est formaté pour Linux, macOS ou Unix et utilise le caractère de continuation de ligne barre oblique inverse (\) pour améliorer la lisibilité.

Exemple de CLI commande :

$ aws securityhub tag-resource \
--resource-arn arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 \
--tags '{"Environment":"Prod"}'

Où :

• resource-arnspécifie la politique ARN de configuration à laquelle ajouter une balise.

• Environmentest la clé de balise de la balise à ajouter à la règle.

• Prodest la valeur de balise pour la clé de balise spécifiée (Environment).

Dans l'exemple suivant, la commande ajoute plusieurs balises à la politique de configuration.

$ aws securityhub tag-resource \
--resource-arn arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 \
--tags '{"Environment":"Prod", "CostCenter":"12345", "Owner":"jane-doe"}'

Pour chaque objet d'un tags tableau, les value arguments key et sont obligatoires. Toutefois, la valeur de l'valueargument peut être une chaîne vide. Si vous ne souhaitez pas associer une valeur de balise à une clé de balise, ne spécifiez pas de valeur pour l'valueargument. Par exemple, la commande suivante ajoute une clé de Owner balise sans valeur de balise associée :

$ aws securityhub tag-resource \
--resource-arn arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 \
--tags '{"Owner":""}'

Si une opération de balisage réussit, Security Hub renvoie une réponse HTTP 200 vide. Sinon, Security Hub renvoie une réponse HTTP 4 xx ou 500 indiquant pourquoi l'opération a échoué.