Etichettatura delle risorse di Amazon Security Lake - Amazon Security Lake
Nozioni fondamentali sull'etichettaturaUtilizzo di tag nelle policy IAMAggiunta di tag alle risorseRevisione dei tag relativi alle risorseModifica dei tag per le risorseRimozione dei tag dalle risorse

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Etichettatura delle risorse di Amazon Security Lake

Un tag è un'etichetta opzionale che puoi definire e assegnare alle AWS risorse, inclusi determinati tipi di risorse Amazon Security Lake. I tag possono aiutarti a identificare, classificare e gestire le risorse in diversi modi, ad esempio per scopo, proprietario, ambiente o altri criteri. Ad esempio, puoi utilizzare i tag per applicare politiche, allocare costi, distinguere tra risorse o identificare risorse che supportano determinati requisiti o flussi di lavoro di conformità.

È possibile assegnare tag ai seguenti tipi di risorse Security Lake: abbonati e configurazione del data lake individualmente. Account AWS Regioni AWS

Nozioni fondamentali sull'etichettatura

Una risorsa può avere fino a 50 tag. Ogni tag è composto da una chiave di tag obbligatoria e da un valore di tag opzionale, entrambi definibili dall'utente. Una chiave di tag è un'etichetta generale che funge da categoria per un valore di tag più specifico. Un valore di tag funge da descrittore di una chiave di tag.

Ad esempio, se aggiungi abbonati per analizzare i dati di sicurezza provenienti da ambienti diversi (un set di abbonati per i dati cloud e un altro set per i dati locali), puoi assegnare una chiave di Environment tag a tali abbonati. Il valore del tag associato potrebbe essere Cloud destinato agli abbonati che analizzano i dati provenienti da Servizi AWS e per gli altri. On-Premises

Quando definisci e assegni tag alle risorse di Amazon Security Lake, tieni presente quanto segue:

  • Ogni risorsa può avere un massimo di 50 tag.

  • Per ogni risorsa, ogni chiave di tag deve essere unica e può avere un solo valore di tag.

  • I valori e le chiavi dei tag rispettano la distinzione tra maiuscole e minuscole. Come best practice, ti consigliamo di definire una strategia per utilizzare i tag in maiuscolo e di implementarla in modo coerente tra le tue risorse.

  • Una chiave tag può contenere un massimo di 128 caratteri UTF-8. Il valore di un tag può contenere un massimo di 256 caratteri UTF-8. I caratteri possono essere lettere, numeri, spazi o i seguenti simboli: _.:/= + - @

  • Il aws: prefisso è riservato all'uso di AWS. Non puoi usarlo in nessuna chiave o valore di tag che definisci. Inoltre, non è possibile modificare o rimuovere le chiavi o i valori dei tag che utilizzano questo prefisso. I tag che utilizzano questo prefisso non vengono conteggiati per la quota di 50 tag per ogni risorsa.

  • Tutti i tag che assegni sono disponibili solo per te Account AWS e solo nel gruppo Regione AWS in cui li assegni.

  • Se si assegnano tag a una risorsa utilizzando Security Lake, i tag vengono applicati solo alla risorsa archiviata direttamente in Security Lake nel paese applicabile. Regione AWS Non vengono applicati a nessuna risorsa di supporto associata che Security Lake crea, utilizza o gestisce per te in altri Servizi AWS. Ad esempio, se si assegnano tag al data lake, i tag vengono applicati solo alla configurazione del data lake in Security Lake per la regione specificata. Non vengono applicati al bucket Amazon Simple Storage Service (Amazon S3) che archivia i dati di log ed eventi. Per assegnare tag anche a una risorsa associata, puoi utilizzare AWS Resource Groups o Servizio AWS quello che memorizza la risorsa, ad esempio Amazon S3 per un bucket S3. L'assegnazione di tag alle risorse associate può aiutarti a identificare le risorse di supporto per il tuo data lake.

  • Se si elimina una risorsa, vengono eliminati anche tutti i tag assegnati alla risorsa.

Per ulteriori restrizioni, suggerimenti e best practice, consulta Tagging your AWS resources nella Tagging AWS Resources User Guide.

Importante

Non archiviate dati riservati o di altro tipo nei tag. I tag sono accessibili da molti Servizi AWS, tra cui AWS Billing and Cost Management. Non sono destinati a essere utilizzati per dati sensibili.

Per aggiungere e gestire i tag per le risorse di Security Lake, puoi utilizzare la console di Security Lake o l'API di Security Lake.

Utilizzo di tag nelle policy IAM

Dopo aver iniziato ad assegnare tag alle risorse, puoi definire autorizzazioni a livello di risorsa basate su tag nelle policy (IAM). AWS Identity and Access Management Utilizzando i tag in questo modo, puoi implementare un controllo granulare su quali utenti e ruoli all'interno dell'azienda Account AWS sono autorizzati a creare e contrassegnare risorse e quali utenti e ruoli sono autorizzati ad aggiungere, modificare e rimuovere tag più in generale. Per controllare l'accesso in base ai tag, puoi utilizzare le chiavi di condizione relative ai tag nell'elemento Condition delle politiche IAM.

Ad esempio, puoi creare una policy che consenta a un utente di avere accesso completo a tutte le risorse di Amazon Security Lake, se il Owner tag della risorsa specifica il suo nome utente:

{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "ModifyResourceIfOwner",
            "Effect": "Allow",
            "Action": "securitylake:*",
            "Resource": "*",
            "Condition": {
                "StringEqualsIgnoreCase": {"aws:ResourceTag/Owner": "${aws:username}"}
            }
        }
    ]
}

Se vengono definite autorizzazioni a livello di risorsa basate su tag, le autorizzazioni diventano subito effettive. Ciò significa che le risorse sono più sicure non appena vengono create e che è possibile avviare rapidamente l'applicazione di tag alle nuove risorse. È inoltre possibile utilizzare le autorizzazioni a livello di risorsa per controllare quali chiavi e valori di tag possono essere associati a risorse nuove ed esistenti. Per ulteriori informazioni, consulta Controlling access to AWS resources using tags nella IAM User Guide.

Aggiungere tag alle risorse di Amazon Security Lake

Per aggiungere tag a una risorsa Amazon Security Lake, puoi utilizzare la console Security Lake o l'API Security Lake.

Importante

L'aggiunta di tag a una risorsa può influire sull'accesso alla risorsa. Prima di aggiungere un tag a una risorsa, esamina le politiche AWS Identity and Access Management (IAM) che potrebbero utilizzare i tag per controllare l'accesso alle risorse.

Console

Quando abiliti Security Lake per un abbonato Regione AWS o crei un abbonato, la console Security Lake offre opzioni per aggiungere tag alla risorsa, ovvero la configurazione del data lake per la regione o il sottoscrittore. Segui le istruzioni sulla console per aggiungere tag alla risorsa quando la crei.

Per aggiungere uno o più tag a una risorsa esistente utilizzando la console Security Lake, segui questi passaggi.

Per aggiungere un tag a una risorsa

  1. Apri la console Security Lake all'indirizzo https://console.aws.amazon.com/securitylake/.

  2. A seconda del tipo di risorsa a cui vuoi aggiungere un tag, esegui una delle seguenti operazioni:

    • Per una configurazione di data lake, scegli Regioni nel riquadro di navigazione. Quindi, nella tabella Regioni, seleziona la Regione.

    • Per un abbonato, scegli Sottoscrittori nel riquadro di navigazione. Quindi, nella tabella I miei abbonati, seleziona l'abbonato.

      Se l'abbonato non compare nella tabella, usa il Regione AWS selettore nell'angolo superiore destro della pagina per selezionare la regione in cui hai creato l'abbonato. La tabella elenca gli abbonati esistenti solo per la regione corrente.

  3. Scegli Modifica.

  4. Espandere la sezione Tag. Questa sezione elenca tutti i tag attualmente assegnati alla risorsa.

  5. Nella sezione Tag, seleziona Aggiungi nuovo tag.

  6. Nella casella Chiave, inserisci la chiave del tag da aggiungere alla risorsa. Quindi, nella casella Valore, inserite facoltativamente un valore di tag per la chiave.

    Una chiave di tag può contenere fino a un massimo di 128 caratteri. Un valore di tag può contenere fino a un massimo di 256 caratteri. I caratteri possono essere lettere, numeri, spazi o i seguenti simboli: _.:/= + - @

  7. Per aggiungere un altro tag alla risorsa, scegli Aggiungi nuovo tag, quindi ripeti il passaggio precedente. Puoi assegnare fino a 50 tag a una risorsa.

  8. Quando hai finito di aggiungere i tag, scegli Salva.

API

Per creare una risorsa e aggiungervi uno o più tag a livello di codice, utilizzate l'Createoperazione appropriata per il tipo di risorsa che desiderate creare:

Nella richiesta, utilizzate il tags parametro per specificare il tag key (key) e il tag value opzionale (value) per ogni tag da aggiungere alla risorsa. Il tags parametro specifica una matrice di oggetti. Ogni oggetto specifica una chiave di tag e il relativo valore di tag associato.

Per aggiungere uno o più tag a una risorsa esistente, utilizza l'TagResourceoperazione dell'API Security Lake o, se utilizzi il AWS CLI, esegui il comando tag-resource. Nella richiesta, specifica l'Amazon Resource Name (ARN) della risorsa a cui desideri aggiungere un tag. Utilizza il tags parametro per specificare la chiave del tag (key) e il valore del tag opzionale (value) per ogni tag da aggiungere. Come nel caso delle Create operazioni e dei comandi, il tags parametro specifica una matrice di oggetti, un oggetto per ogni chiave di tag e il valore del tag associato.

Ad esempio, il AWS CLI comando seguente aggiunge una chiave di Environment tag con un valore di Cloud tag al sottoscrittore specificato. Questo esempio è formattato per Linux, macOS o Unix e utilizza il carattere di continuazione di barra rovesciata (\) per migliorare la leggibilità.

$ aws securitylake tag-resource \
--resource-arn arn:aws:securitylake:us-east-1:123456789012:subscriber/1234abcd-12ab-34cd-56ef-1234567890ab \
--tags key=Environment,value=Cloud

Dove:

  • resource-arnspecifica l'ARN del sottoscrittore a cui aggiungere un tag.

  • Environmentè la chiave del tag da aggiungere al sottoscrittore.

  • Cloudè il valore del tag per la chiave del tag specificata (Environment).

Nell'esempio seguente, il comando aggiunge diversi tag al sottoscrittore.

$ aws securitylake tag-resource \
--resource-arn arn:aws:securitylake:us-east-1:123456789012:subscriber/1234abcd-12ab-34cd-56ef-1234567890ab \
--tags key=Environment,value=Cloud key=CostCenter,value=12345 key=Owner,value=jane-doe

Per ogni oggetto di una tags matrice, sono obbligatori key sia gli value argomenti che. Tuttavia, il valore dell'valueargomento può essere una stringa vuota. Se non desiderate associare un valore di tag a una chiave di tag, non specificate un valore per l'valueargomento. Ad esempio, il comando seguente aggiunge una chiave di Owner tag senza alcun valore di tag associato:

$ aws securitylake tag-resource \
--resource-arn arn:aws:securitylake:us-east-1:123456789012:subscriber/1234abcd-12ab-34cd-56ef-1234567890ab \
--tags key=Owner,value=

Se un'operazione di tagging ha esito positivo, Security Lake restituisce una risposta HTTP 200 vuota. Altrimenti, Security Lake restituisce una risposta HTTP 4 xx o 500 che indica il motivo per cui l'operazione non è riuscita.

Revisione dei tag per le risorse di Amazon Security Lake

Puoi esaminare i tag (sia chiavi che valori dei tag) per una risorsa Amazon Security Lake utilizzando la console Security Lake o l'API Security Lake.

Console

Segui questi passaggi per esaminare i tag di una risorsa utilizzando la console Security Lake.

Per esaminare i tag di una risorsa

  1. Aprire la console Security Lake all'indirizzo https://console.aws.amazon.com/securitylake/.

  2. A seconda del tipo di risorsa di cui desideri esaminare i tag, esegui una delle seguenti operazioni:

    • Per una configurazione di data lake, scegli Regioni nel riquadro di navigazione. Nella tabella Regioni, seleziona la Regione, quindi scegli Modifica. Quindi espandi la sezione Tag.

    • Per un abbonato, scegli Abbonati nel riquadro di navigazione. Quindi, nella tabella I miei abbonati, scegli il nome dell'abbonato.

      Se l'abbonato non compare nella tabella, usa il Regione AWS selettore nell'angolo in alto a destra della pagina per selezionare la regione in cui hai creato l'abbonato. La tabella elenca gli abbonati esistenti solo per la regione corrente.

La sezione Tag elenca tutti i tag attualmente assegnati alla risorsa.

API

Per recuperare e rivedere i tag di una risorsa esistente a livello di codice, utilizza il ListTagsForResourcefunzionamento dell'API Security Lake. Nella tua richiesta, utilizza il resourceArn parametro per specificare l'Amazon Resource Name (ARN) della risorsa.

Se stai usando il AWS Command Line Interface (AWS CLI), esegui il list-tags-for-resourcecomando e usa il resource-arn parametro per specificare l'ARN della risorsa. Per esempio:

$ aws securitylake list-tags-for-resource --resource-arn arn:aws:securitylake:us-east-1:123456789012:subscriber/1234abcd-12ab-34cd-56ef-1234567890ab

Nell'esempio precedente, arn:aws:securitylake:us-east- 1:123456789012:subscriber/1234abcd-12ab-34cd-56ef-1234567890ab è l'ARN di un abbonato esistente.

Se l'operazione ha esito positivo, Security Lake restituisce un array. tags Ogni oggetto dell'array specifica un tag (sia la chiave del tag che il valore del tag) attualmente assegnato alla risorsa. Per esempio:

{
    "tags": [
        {
            "key": "Environment",
            "value": "Cloud"
        },
        {
            "key": "CostCenter",
            "value": "12345"
        },
        {
            "key": "Owner",
            "value": ""
        }
    ]
}

Dove Environment e CostCenter Owner sono le chiavi dei tag assegnate alla risorsa. Cloudè il valore del tag associato alla chiave del Environment tag. 12345è il valore del tag associato alla chiave del CostCenter tag. La chiave Owner tag non ha un valore di tag associato.

Modifica dei tag per le risorse di Amazon Security Lake

Per modificare i tag (chiavi o valori dei tag) per una risorsa Amazon Security Lake, puoi utilizzare la console Security Lake o l'API Security Lake.

Importante

La modifica dei tag di una risorsa può influire sull'accesso alla risorsa. Prima di modificare la chiave o il valore di un tag per una risorsa, esamina le politiche AWS Identity and Access Management (IAM) che potrebbero utilizzare il tag per controllare l'accesso alle risorse.

Console

Segui questi passaggi per modificare i tag di una risorsa utilizzando la console Security Lake.

Per modificare i tag di una risorsa

  1. Aprire la console Security Lake all'indirizzo https://console.aws.amazon.com/securitylake/.

  2. A seconda del tipo di risorsa di cui desiderate modificare i tag, effettuate una delle seguenti operazioni:

    • Per una configurazione di data lake, scegli Regioni nel riquadro di navigazione. Quindi, nella tabella Regioni, seleziona la Regione.

    • Per un abbonato, scegli Sottoscrittori nel riquadro di navigazione. Quindi, nella tabella I miei abbonati, seleziona l'abbonato.

      Se l'abbonato non compare nella tabella, usa il Regione AWS selettore nell'angolo superiore destro della pagina per selezionare la regione in cui hai creato l'abbonato. La tabella elenca gli abbonati esistenti solo per la regione corrente.

  3. Scegli Modifica.

  4. Espandere la sezione Tag. La sezione Tag elenca tutti i tag attualmente assegnati alla risorsa.

  5. Effettua una delle seguenti operazioni:

    • Per aggiungere un valore di tag a una chiave di tag esistente, inserite il valore nella casella Valore accanto alla chiave del tag.

    • Per modificare una chiave di tag esistente, scegliete Rimuovi accanto al tag. Quindi scegli Aggiungi nuovo tag. Nella casella Chiave che appare, inserisci la nuova chiave del tag. Facoltativamente, inserite un valore di tag associato nella casella Valore.

    • Per modificare il valore di un tag esistente, scegliete X nella casella Valore che contiene il valore. Quindi inserite il nuovo valore del tag nella casella Valore.

    • Per rimuovere un valore di tag esistente, scegliete X nella casella Valore che contiene il valore.

    • Per rimuovere un tag esistente (sia la chiave che il valore del tag), scegliete Rimuovi accanto al tag.

    Una risorsa può avere fino a 50 tag. Una chiave di tag può contenere fino a un massimo di 128 caratteri. Un valore di tag può contenere fino a un massimo di 256 caratteri. I caratteri possono essere lettere, numeri, spazi o i seguenti simboli: _.:/= + - @

  6. Quando hai finito di modificare i tag, scegli Salva.

API

Quando modificate un tag per una risorsa a livello di codice, sovrascrivete il tag esistente con nuovi valori. Pertanto, il modo migliore per modificare un tag dipende dal fatto che si desideri modificare una chiave di tag, un valore di tag o entrambi. Per modificare una chiave di tag, rimuovi il tag corrente e aggiungi un nuovo tag.

Per modificare o rimuovere solo il valore del tag associato a una chiave di tag, sovrascrivi il valore esistente utilizzando il TagResourcefunzionamento dell'API Security Lake. Se stai usando il AWS Command Line Interface (AWS CLI), esegui il comando tag-resource. Nella richiesta, specifica l'Amazon Resource Name (ARN) della risorsa di cui desideri modificare o rimuovere il valore del tag.

Per modificare il valore di un tag, utilizza il tags parametro per specificare la chiave del tag di cui desideri modificare il valore del tag. Specificate anche il nuovo valore del tag per la chiave. Ad esempio, il AWS CLI comando seguente modifica il valore del tag da Cloud a On-Premises per la chiave di Environment tag assegnata al sottoscrittore specificato. Questo esempio è formattato per Linux, macOS o Unix e utilizza il carattere di continuazione di barra rovesciata (\) per migliorare la leggibilità.

$ aws securitylake tag-resource \
--resource-arn arn:aws:securitylake:us-east-1:123456789012:subscriber/1234abcd-12ab-34cd-56ef-1234567890ab \
--tags key=Environment,value=On-Premises

Dove:

  • resource-arnspecifica l'ARN del sottoscrittore.

  • Environmentè la chiave del tag associata al valore del tag da modificare.

  • On-Premisesè il nuovo valore del tag per la chiave di tag specificata (Environment).

Per rimuovere un valore di tag da una chiave di tag, non specificate un valore per l'valueargomento della chiave nel tags parametro. Per esempio:

$ aws securitylake tag-resource \
--resource-arn arn:aws:securitylake:us-east-1:123456789012:subscriber/1234abcd-12ab-34cd-56ef-1234567890ab \
--tags key=Owner,value=

Se l'operazione ha esito positivo, Security Lake restituisce una risposta HTTP 200 vuota. Altrimenti, Security Lake restituisce una risposta HTTP 4 xx o 500 che indica il motivo per cui l'operazione non è riuscita.

Rimozione di tag dalle risorse di Amazon Security Lake

Per rimuovere i tag da una risorsa Amazon Security Lake, puoi utilizzare la console Security Lake o l'API Security Lake.

Importante

La rimozione dei tag da una risorsa può influire sull'accesso alla risorsa. Prima di rimuovere un tag, esamina le politiche AWS Identity and Access Management (IAM) che potrebbero utilizzare il tag per controllare l'accesso alle risorse.

Console

Segui questi passaggi per rimuovere uno o più tag da una risorsa utilizzando la console Security Lake.

Per rimuovere un tag da una risorsa

  1. Aprire la console Security Lake all'indirizzo https://console.aws.amazon.com/securitylake/.

  2. A seconda del tipo di risorsa da cui si desidera rimuovere un tag, effettuate una delle seguenti operazioni:

    • Per una configurazione di data lake, scegli Regioni nel riquadro di navigazione. Quindi, nella tabella Regioni, seleziona la Regione.

    • Per un abbonato, scegli Sottoscrittori nel riquadro di navigazione. Quindi, nella tabella I miei abbonati, seleziona l'abbonato.

      Se l'abbonato non compare nella tabella, usa il Regione AWS selettore nell'angolo superiore destro della pagina per selezionare la regione in cui hai creato l'abbonato. La tabella elenca gli abbonati esistenti solo per la regione corrente.

  3. Scegli Modifica.

  4. Espandere la sezione Tag. La sezione Tag elenca tutti i tag attualmente assegnati alla risorsa.

  5. Effettua una delle seguenti operazioni:

    • Per rimuovere solo il valore del tag, scegliete X nella casella Valore che contiene il valore da rimuovere.

    • Per rimuovere sia la chiave che il valore del tag (in coppia) per un tag, scegliete Rimuovi accanto al tag da rimuovere.

  6. Per rimuovere tag aggiuntivi dalla risorsa, ripeti il passaggio precedente per ogni tag aggiuntivo da rimuovere.

  7. Quando hai finito di rimuovere i tag, scegli Salva.

API

Per rimuovere uno o più tag da una risorsa a livello di codice, utilizza il UntagResourcefunzionamento dell'API Security Lake. Nella tua richiesta, utilizza il resourceArn parametro per specificare l'Amazon Resource Name (ARN) della risorsa da cui rimuovere un tag. Usa il tagKeys parametro per specificare la chiave del tag da rimuovere. Per rimuovere più tag, aggiungete il tagKeys parametro e l'argomento per ogni tag da rimuovere, separati da una e commerciale (&), ad esempio. tagKeys=key1&tagKeys=key2 Per rimuovere solo un valore di tag specifico (non una chiave di tag) da una risorsa, modifica il tag anziché rimuovere il tag.

Se stai usando il AWS Command Line Interface (AWS CLI), esegui il comando untag-resource per rimuovere uno o più tag da una risorsa. Per il resource-arn parametro, specificate l'ARN della risorsa da cui rimuovere un tag. Utilizzate il tag-keys parametro per specificare la chiave del tag da rimuovere. Ad esempio, il comando seguente rimuove il Environment tag (sia la chiave del tag che il valore del tag) dal sottoscrittore specificato:

$ aws securitylake untag-resource \
--resource-arn arn:aws:securitylake:us-east-1:123456789012:subscriber/1234abcd-12ab-34cd-56ef-1234567890ab \
--tag-keys Environment

Dove resource-arn specifica l'ARN del sottoscrittore da cui rimuovere un tag Environment ed è la chiave del tag da rimuovere.

Per rimuovere più tag da una risorsa, aggiungi ogni chiave di tag aggiuntiva come argomento per il parametro. tag-keys Per esempio:

$ aws securitylake untag-resource \
--resource-arn arn:aws:securitylake:us-east-1:123456789012:subscriber/1234abcd-12ab-34cd-56ef-1234567890ab \
--tag-keys Environment Owner

Se l'operazione ha esito positivo, Security Lake restituisce una risposta HTTP 200 vuota. Altrimenti, Security Lake restituisce una risposta HTTP 4 xx o 500 che indica il motivo per cui l'operazione non è riuscita.