Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Menandai sumber daya AWS Security Hub
Tag adalah label opsional yang dapat Anda tentukan dan tetapkan ke AWS sumber daya, termasuk jenis sumber daya AWS Security Hub tertentu. Tag dapat membantu Anda mengidentifikasi, mengkategorikan, dan mengelola sumber daya dengan cara yang berbeda, seperti berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Misalnya, Anda dapat menggunakan tag untuk membedakan sumber daya, mengidentifikasi sumber daya yang mendukung persyaratan kepatuhan atau alur kerja tertentu, atau mengalokasikan biaya.
Anda dapat menetapkan tag ke jenis sumber daya Security Hub berikut: aturan otomatisasi, kebijakan konfigurasi, dan Hub
sumber daya.
Sumber daya dapat memiliki sebanyak 50 tag. Setiap tag terdiri dari kunci tag yang diperlukan dan nilai tag opsional, yang keduanya Anda tentukan. Kunci tag adalah label umum yang bertindak sebagai kategori untuk nilai tag yang lebih spesifik. Nilai tag bertindak sebagai deskriptor untuk kunci tag.
Misalnya, jika Anda membuat aturan otomatisasi yang berbeda untuk lingkungan yang berbeda (satu set aturan otomatisasi untuk akun pengujian dan satu lagi untuk akun produksi), Anda dapat menetapkan kunci Environment
tag untuk aturan tersebut. Nilai tag terkait mungkin Test
untuk aturan yang terkait dengan akun pengujian, dan Prod
untuk aturan yang terkait dengan akun produksi dan OU.
Saat Anda menentukan dan menetapkan tag ke sumber daya AWS Security Hub, ingatlah hal berikut:
-
Setiap sumber daya dapat memiliki maksimum 50 tag.
-
Untuk setiap sumber daya, setiap kunci tag harus unik dan hanya dapat memiliki satu nilai tag.
-
Kunci dan nilai tag peka huruf besar dan kecil. Sebagai praktik terbaik, kami menyarankan Anda menentukan strategi untuk memanfaatkan tag dan menerapkan strategi itu secara konsisten di seluruh sumber daya Anda.
-
Tombol tag dapat memiliki maksimal 128 karakter UTF-8. Nilai tag dapat memiliki maksimal 256 karakter UTF-8. Karakter dapat berupa huruf, angka, spasi, atau simbol berikut: _.:/= + - @
-
aws:
Awalan dicadangkan untuk digunakan olehAWS. Anda tidak dapat menggunakannya dalam kunci tag atau nilai apa pun yang Anda tentukan. Selain itu, Anda tidak dapat mengubah atau menghapus kunci tag atau nilai yang menggunakan awalan ini. Tag yang menggunakan awalan ini tidak dihitung terhadap kuota 50 tag per sumber daya.
-
Setiap tag yang Anda tetapkan hanya tersedia untuk Anda Akun AWS dan hanya Wilayah AWS di mana Anda menetapkannya.
-
Jika Anda menetapkan tag ke sumber daya menggunakan Security Hub, tag hanya akan diterapkan ke sumber daya yang disimpan langsung di Security Hub di yang berlakuWilayah AWS. Mereka tidak diterapkan pada sumber daya pendukung terkait yang dibuat, digunakan, atau dikelola oleh Security Hub untuk Anda di tempat lainLayanan AWS. Misalnya, jika Anda menetapkan tag ke aturan otomatisasi yang memperbarui temuan yang terkait dengan Amazon Simple Storage Service (Amazon S3), tag hanya diterapkan ke aturan otomatisasi di Security Hub untuk Wilayah yang ditentukan. Mereka tidak diterapkan ke ember S3 Anda. Untuk juga menetapkan tag ke sumber daya terkait, Anda dapat menggunakan AWS Resource Groups atau Layanan AWS yang menyimpan sumber daya—misalnya, Amazon S3 untuk bucket S3. Menetapkan tag ke sumber daya terkait dapat membantu Anda mengidentifikasi sumber daya pendukung untuk sumber daya Security Hub Anda.
-
Jika Anda menghapus sumber daya, tag apa pun yang ditetapkan ke sumber daya juga akan dihapus.
Jangan menyimpan rahasia atau jenis data sensitif lainnya dalam tag. Tag dapat diakses dari banyak orangLayanan AWS, termasukAWS Billing and Cost Management. Mereka tidak dimaksudkan untuk digunakan untuk data sensitif.
Untuk menambahkan dan mengelola tag untuk sumber daya Security Hub, Anda dapat menggunakan konsol Security Hub, Security Hub API, atau API AWS Resource Groups Tagging. Dengan Security Hub, Anda dapat menambahkan tag ke sumber daya saat membuat sumber daya. Anda juga dapat menambahkan dan mengelola tag untuk sumber daya individual yang ada. Dengan Resource Groups, Anda dapat menambahkan dan mengelola tag secara massal untuk beberapa sumber daya yang ada yang mencakup beberapaLayanan AWS, termasuk Security Hub.
Untuk tips penandaan tambahan dan praktik terbaik, lihat Menandai AWS sumber daya Anda di Panduan Pengguna Tagging AWS Resources.
Setelah Anda mulai menandai sumber daya, Anda dapat menentukan izin tingkat sumber daya berbasis tag dalam kebijakan (IAM). AWS Identity and Access Management Dengan menggunakan tag dengan cara ini, Anda dapat menerapkan kontrol terperinci tentang pengguna dan peran mana yang Akun AWS memiliki izin untuk membuat dan menandai sumber daya, dan pengguna dan peran mana yang memiliki izin untuk menambahkan, mengedit, dan menghapus tag secara lebih umum. Untuk mengontrol akses berdasarkan tag, Anda dapat menggunakan kunci kondisi terkait tag di elemen Kondisi kebijakan IAM.
Misalnya, Anda dapat membuat kebijakan IAM yang memungkinkan pengguna memiliki akses penuh ke semua sumber daya AWS Security Hub, jika Owner
tag untuk sumber daya menentukan nama pengguna mereka:
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ModifyResourceIfOwner",
"Effect": "Allow",
"Action": "securityhub:*",
"Resource": "*",
"Condition": {
"StringEqualsIgnoreCase": {"aws:ResourceTag/Owner": "${aws:username}"}
}
}
]
}
Jika Anda menentukan izin tingkat sumber daya berbasis tag, izin akan segera berlaku. Ini berarti bahwa sumber daya Anda lebih aman segera setelah dibuat, dan Anda dapat dengan cepat mulai menerapkan penggunaan tag untuk sumber daya baru. Anda juga dapat menggunakan izin tingkat sumber daya untuk mengontrol kunci dan nilai tag mana yang dapat dikaitkan dengan sumber daya baru dan yang sudah ada. Untuk informasi selengkapnya, lihat Mengontrol akses ke AWS sumber daya menggunakan tag di Panduan Pengguna IAM.
Untuk menambahkan tag ke sumber daya AWS Security Hub individual, Anda dapat menggunakan konsol Security Hub atau Security Hub API. Konsol tidak mendukung penambahan tag ke Hub
sumber daya.
Untuk menambahkan tag ke beberapa sumber daya Security Hub secara bersamaan, gunakan operasi penandaan API AWS Resource GroupsPenandaan.
Menambahkan tag ke sumber daya dapat memengaruhi akses ke sumber daya. Sebelum menambahkan tag ke sumber daya, tinjau kebijakan AWS Identity and Access Management (IAM) apa pun yang mungkin menggunakan tag untuk mengontrol akses ke sumber daya.
- Console
-
Untuk menambahkan tag ke sumber daya
Saat Anda membuat aturan otomatisasi atau kebijakan konfigurasi, konsol Security Hub menyediakan opsi untuk menambahkan tag ke dalamnya. Anda dapat memberikan kunci tag dan nilai tag di bagian Tag.
- Security Hub API & AWS CLI
-
Untuk menambahkan tag ke sumber daya
Untuk membuat sumber daya dan menambahkan satu atau beberapa tag ke dalamnya secara terprogram, gunakan operasi yang sesuai untuk jenis sumber daya yang ingin Anda buat:
Dalam permintaan Anda, gunakan tags
parameter untuk menentukan kunci tag dan nilai tag opsional untuk setiap tag untuk ditambahkan ke sumber daya. tags
Parameter menentukan array objek. Setiap objek menentukan kunci tag dan nilai tag terkait.
Untuk menambahkan satu atau beberapa tag ke sumber daya yang ada, gunakan TagResourcepengoperasian Security Hub API atau, jika Anda menggunakanAWS CLI, jalankan perintah tag-resource. Dalam permintaan Anda, tentukan Nama Sumber Daya Amazon (ARN) dari sumber daya yang ingin Anda tambahkan tag. Gunakan tags
parameter untuk menentukan kunci tag (key
) dan nilai tag opsional (value
) untuk setiap tag yang akan ditambahkan. tags
Parameter menentukan array objek, satu objek untuk setiap kunci tag dan nilai tag terkait.
Misalnya, AWS CLI perintah berikut menambahkan kunci Environment
tag dengan nilai Prod
tag ke kebijakan konfigurasi yang ditentukan. Contoh ini diformat untuk Linux, macOS, atau Unix, dan menggunakan karakter garis miring terbalik (\) untuk meningkatkan keterbacaan.
Contoh perintah CLI:
$
aws securityhub tag-resource \
--resource-arn arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111
\
--tags key=Environment
,value=Prod
Di mana:
-
resource-arn
menentukan ARN dari kebijakan konfigurasi untuk menambahkan tag ke.
-
Environment
adalah kunci tag tag untuk ditambahkan ke aturan.
-
Prod
adalah nilai tag untuk kunci tag tertentu (Environment
).
Dalam contoh berikut, perintah menambahkan beberapa tag ke kebijakan konfigurasi.
$
aws securityhub tag-resource \
--resource-arn arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111
\
--tags key=Environment
,value=Prod
key=CostCenter
,value=12345
key=Owner
,value=jane-doe
Untuk setiap objek dalam tags
array, kedua value
argumen key
dan argumen diperlukan. Namun, nilai untuk value
argumen dapat berupa string kosong. Jika Anda tidak ingin mengaitkan nilai tag dengan kunci tag, jangan tentukan nilai untuk value
argumen tersebut. Misalnya, perintah berikut menambahkan kunci Owner
tag tanpa nilai tag terkait:
$
aws securityhub tag-resource \
--resource-arn arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111
\
--tags key=Owner
,value=
Jika operasi penandaan berhasil, Security Hub mengembalikan respons HTTP 200 kosong. Jika tidak, Security Hub mengembalikan respons HTTP 4 xx atau 500 yang menunjukkan mengapa operasi gagal.
Anda dapat meninjau tag (kunci tag dan nilai tag) untuk aturan otomatisasi Security Hub atau kebijakan konfigurasi menggunakan konsol Security Hub atau Security Hub API. Konsol tidak mendukung tag peninjauan untuk Hub
sumber daya.
Untuk meninjau tag untuk beberapa sumber daya Security Hub secara bersamaan, gunakan operasi penandaan API AWS Resource GroupsPenandaan.
- Console
-
Untuk meninjau tag untuk sumber daya
Menggunakan kredensi administrator Security Hub, buka konsol AWS Security Hub di https://console.aws.amazon.com/securityhub/.
-
Bergantung pada jenis sumber daya yang ingin Anda tambahkan tag, lakukan salah satu hal berikut:
Untuk meninjau tag untuk aturan otomatisasi, pilih Otomatisasi di panel navigasi. Kemudian, pilih aturan otomatisasi.
Untuk meninjau tag untuk kebijakan konfigurasi, pilih Konfigurasi di panel navigasi. Kemudian, pada tab Kebijakan, pilih opsi di sebelah kebijakan konfigurasi. Panel samping terbuka yang menunjukkan jumlah tag yang ditetapkan ke kebijakan. Anda dapat memperluas header Tag untuk melihat kunci tag dan nilai tag.
Bagian Tag mencantumkan semua tag yang saat ini ditetapkan ke sumber daya.
- Security Hub API & AWS CLI
-
Untuk meninjau tag untuk sumber daya
Untuk mengambil dan meninjau tag untuk sumber daya yang ada, panggil API. ListTagsForResource Dalam permintaan Anda, gunakan resourceArn
parameter untuk menentukan Nama Sumber Daya Amazon (ARN) sumber daya.
Jika Anda menggunakanAWS CLI, jalankan list-tags-for-resourceperintah dan gunakan resource-arn
parameter untuk menentukan ARN sumber daya. Sebagai contoh:
$
aws securityhub list-tags-for-resource --resource-arn arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111
Jika operasi berhasil, Security Hub mengembalikan tags
array. Setiap objek dalam array menentukan tag (baik kunci tag dan nilai tag) yang saat ini ditetapkan ke sumber daya. Sebagai contoh:
{
"tags": [
{
"key": "Environment",
"value": "Prod"
},
{
"key": "CostCenter",
"value": "12345"
},
{
"key": "Owner",
"value": ""
}
]
}
Di mana Environment
CostCenter
,, dan Owner
merupakan kunci tag yang ditetapkan ke sumber daya. Prod
adalah nilai tag yang terkait dengan kunci Environment
tag. 12345
adalah nilai tag yang terkait dengan kunci CostCenter
tag. Kunci Owner
tag tidak memiliki nilai tag terkait.
Untuk mengambil daftar semua sumber daya Security Hub yang memiliki tag dan semua tag yang ditetapkan ke masing-masing sumber daya tersebut, gunakan GetResourcespengoperasian API AWS Resource Groups Tagging. Dalam permintaan Anda, tetapkan nilai untuk ResourceTypeFilters
parameter kesecurityhub
. Untuk melakukan ini menggunakanAWS CLI, jalankan perintah get-resources dan atur nilai untuk resource-type-filters
parameter ke. securityhub
Sebagai contoh:
$
aws resourcegroupstaggingapi get-resources -\-resource-type-filters "securityhub"
Jika operasi berhasil, Resource Groups mengembalikan ResourceTagMappingList
array. Array berisi satu objek untuk setiap sumber daya Security Hub yang memiliki tag. Setiap objek menentukan ARN sumber daya Security Hub, serta kunci tag serta nilai yang ditetapkan ke sumber daya.
Untuk mengedit tag (kunci tag atau nilai tag) untuk sumber daya AWS Security Hub, Anda dapat menggunakan Security Hub API. Konsol Security Hub saat ini tidak mendukung pengeditan tag.
Untuk mengedit tag untuk beberapa sumber daya Security Hub secara bersamaan, gunakan operasi penandaan API AWS Resource GroupsPenandaan.
Mengedit tag untuk sumber daya dapat memengaruhi akses ke sumber daya. Sebelum Anda mengedit kunci tag atau nilai untuk sumber daya, tinjau kebijakan AWS Identity and Access Management (IAM) apa pun yang mungkin menggunakan tag untuk mengontrol akses ke sumber daya.
- Security Hub API & AWS CLI
-
Untuk mengedit tag untuk sumber daya
Saat Anda mengedit tag untuk sumber daya secara terprogram, Anda menimpa tag yang ada dengan nilai baru. Oleh karena itu, cara terbaik untuk mengedit tag tergantung pada apakah Anda ingin mengedit kunci tag, nilai tag, atau keduanya. Untuk mengedit kunci tag, hapus tag saat ini dan tambahkan tag baru.
Untuk mengedit atau menghapus hanya nilai tag yang terkait dengan kunci tag, timpa nilai yang ada dengan menggunakan TagResourcepengoperasian Security Hub API. Jika Anda menggunakanAWS CLI, jalankan perintah tag-resource. Dalam permintaan Anda, tentukan Nama Sumber Daya Amazon (ARN) sumber daya yang nilai tagnya ingin Anda edit atau hapus.
Untuk mengedit nilai tag, gunakan tags
parameter untuk menentukan kunci tag yang nilai tag yang ingin Anda ubah. Anda juga harus menentukan nilai tag baru untuk kunci tersebut. Misalnya, AWS CLI perintah berikut mengubah nilai tag dari Prod
menjadi kunci Test
Environment
tag yang ditetapkan ke aturan otomatisasi yang ditentukan. Contoh ini diformat untuk Linux, macOS, atau Unix, dan menggunakan karakter garis miring terbalik (\) untuk meningkatkan keterbacaan.
$
aws securityhub tag-resource \
--resource-arn arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111
\
--tags key=Environment
,value=Test
Di mana:
-
resource-arn
menentukan ARN dari kebijakan konfigurasi.
-
Environment
adalah kunci tag yang terkait dengan nilai tag untuk diubah.
-
Test
adalah nilai tag baru untuk kunci tag tertentu (Environment
).
Untuk menghapus nilai tag dari kunci tag, jangan tentukan nilai untuk value
argumen kunci dalam tags
parameter. Sebagai contoh:
$
aws securityhub tag-resource \
--resource-arn arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111
\
--tags key=Owner
,value=
Jika operasi berhasil, Security Hub mengembalikan respons HTTP 200 kosong. Jika tidak, Security Hub mengembalikan respons HTTP 4 xx atau 500 yang menunjukkan mengapa operasi gagal.
Untuk menghapus tag dari sumber daya AWS Security Hub, Anda dapat menggunakan Security Hub API. Konsol Security Hub saat ini tidak mendukung penghapusan tag.
Untuk menghapus tag dari beberapa sumber daya Security Hub secara bersamaan, gunakan operasi penandaan API AWS Resource GroupsPenandaan.
Menghapus tag dari sumber daya dapat memengaruhi akses ke sumber daya. Sebelum Anda menghapus tag, tinjau kebijakan AWS Identity and Access Management (IAM) apa pun yang mungkin menggunakan tag untuk mengontrol akses ke sumber daya.
- Security Hub API & AWS CLI
-
Untuk menghapus tag dari sumber daya
Untuk menghapus satu atau beberapa tag dari sumber daya secara terprogram, gunakan UntagResourcepengoperasian Security Hub API. Dalam permintaan Anda, gunakan resourceArn
parameter untuk menentukan Amazon Resource Name (ARN) sumber daya untuk menghapus tag dari. Gunakan tagKeys
parameter untuk menentukan kunci tag tag yang akan dihapus. Untuk menghapus beberapa tag, tambahkan tagKeys
parameter dan argumen untuk setiap tag yang akan dihapus, dipisahkan oleh ampersand (&) —misalnya,. tagKeys=key1
&tagKeys=key2
Untuk menghapus hanya nilai tag tertentu (bukan kunci tag) dari sumber daya, edit tag alih-alih menghapus tag.
Jika Anda menggunakanAWS CLI, jalankan perintah untag-resource untuk menghapus satu atau beberapa tag dari sumber daya. Untuk resource-arn
parameter, tentukan ARN sumber daya untuk menghapus tag dari. Gunakan tag-keys
parameter untuk menentukan kunci tag tag yang akan dihapus. Misalnya, perintah berikut menghapus Environment
tag (kunci tag dan nilai tag) dari kebijakan konfigurasi yang ditentukan:
$
aws securityhub untag-resource \
--resource-arn arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111
\
--tag-keys Environment
Di mana resource-arn
menentukan ARN dari kebijakan konfigurasi untuk menghapus tag dari, Environment
dan merupakan kunci tag tag untuk dihapus.
Untuk menghapus beberapa tag dari sumber daya, tambahkan setiap kunci tag tambahan sebagai argumen untuk tag-keys
parameter. Sebagai contoh:
$
aws securityhub untag-resource \
--resource-arn arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111
\
--tag-keys Environment
Owner
Jika operasi berhasil, Security Hub mengembalikan respons HTTP 200 kosong. Jika tidak, Security Hub mengembalikan respons HTTP 4 xx atau 500 yang menunjukkan mengapa operasi gagal.