Security Hub CSPM の AWS リソースタグ付け標準

AWS Security Hub CSPM によって開発された AWS リソースタグ付け標準は、AWS リソースにタグが抜けていないかどうかを判断するのに役立ちます。タグは、AWS リソースを整理するためのメタデータとして機能するキーと値のペアです。ほとんどの AWS リソースでは、リソースの作成時または作成後にリソースにタグを追加するオプションがあります。リソースの例としては、Amazon CloudFront ディストリビューション、Amazon Elastic Compute Cloud (Amazon EC2) インスタンス、AWS Secrets Manager のシークレットなどがあります。タグは、AWS リソースの管理、識別、整理、検索、フィルタリングに役立ちます。

各 タグは 2 つの部分で構成されます:

• タグキー (例: CostCenter、Environment、または Project)。タグキーでは、大文字と小文字が区別されます。

• タグ値 (例: 111122223333 または Production)。タグキーと同様に、タグ値では大文字と小文字が区別されます。

タグを使用し、リソースを目的、所有者、環境などの基準別に分類できます。AWS リソースへのタグ付けについては、「AWS リソースとタグエディタのタグ付けユーザーガイド」を参照してください。

Security Hub CSPM の AWS リソースタグ付け標準に適用されるコントロールごとに、オプションでサポートされているパラメータを使用して、コントロールがチェックするタグキーを指定できます。タグキーを指定しない場合、コントロールはタグキーが 1 つ以上存在するかどうかのチェックのみを行い、リソースにタグキーがない場合は失敗します。

AWS リソースタグ付け標準を有効にする前には、AWS Config でリソース記録を有効にして設定しておくことが重要です。リソース記録を設定するときは、標準に適用されるコントロールによってチェックされるすべてのタイプの AWS リソースに対し有効にすることも忘れないでください。そうしないと、Security Hub CSPM が適切なリソースを評価できず、標準に適用されるコントロールの正確な検出結果を生成できない可能性があります。記録するリソースのタイプのリストなどを含む詳細については、「コントロール検出結果に必要な AWS Config リソース」を参照してください。

AWS リソースタグ付け標準を有効にすると、標準に適用されるコントロールの検出結果の受信が始まります。Security Hub CSPM が、他の有効な標準に適用されるコントロールと同じ AWS Config サービスにリンクされたルールを使用するコントロールの検出結果を生成するまでに、最大 18 時間かかる場合があることに注意してください。詳細については、「セキュリティチェックの実行スケジュール」を参照してください。

AWS リソースタグ付け標準の Amazon リソースネーム (ARN) は、arn:aws:securityhub:region::standards/aws-resource-tagging-standard/v/1.0.0 です。ここで region は、該当する AWS リージョン のリージョンコードを表します。Security Hub CSPM API の GetEnabledStandards オペレーションを使用して、現在有効な標準の ARN を確認することもできます。

注記

AWS リソースタグ付け標準は、アジアパシフィック (ニュージーランド) およびアジアパシフィック (台北) リージョンでは利用できません。

標準に適用されるコントロール

次のリストは、どの AWS Security Hub CSPM コントロールが AWS リソースタグ付け標準 (v1.0.0) に適用されるかを示します。コントロールの詳細を確認するには、コントロールを選択します。

• [ACM.3] ACM 証明書にはタグを付ける必要があります

• [Amplify.1] Amplify アプリにはタグを付ける必要があります

• [Amplify.2] Amplify ブランチにはタグを付ける必要があります

• [AppConfig.1] AWS AppConfig アプリケーションにはタグを付ける必要があります

• [AppConfig.2] AWS AppConfig 設定プロファイルにはタグを付ける必要があります

• [AppConfig.3] AWS AppConfig 環境にはタグを付ける必要があります

• [AppConfig.4] AWS AppConfig 拡張機能の関連付けにはタグを付ける必要があります

• [AppFlow.1] Amazon AppFlow フローにはタグを付ける必要があります

• [AppRunner.1] App Runner サービスにはタグを付ける必要があります

• [AppRunner.2] App Runner VPC コネクタにはタグを付ける必要があります

• [AppSync.4] AWS AppSync GraphQL API にはタグを付ける必要があります

• [Athena.2] Athena データカタログにはタグを付ける必要があります

• [Athena.3] Athena ワークグループにはタグを付ける必要があります

• [AutoScaling.10] EC2 Auto Scaling グループにタグを付ける必要があります

• [Backup.2] AWS Backup リカバリポイントはタグを付ける必要があります

• [Backup.3] AWS Backup ボールトにはタグを付ける必要があります

• [Backup.4] AWS Backup レポートプランにはタグを付ける必要があります

• [Backup.5] AWS Backup バックアッププランにはタグを付ける必要があります

• [Batch.1] バッチジョブキューにはタグを付ける必要があります

• [Batch.2] バッチスケジューリングポリシーにはタグを付ける必要があります

• [Batch.3] バッチコンピューティング環境にはタグを付ける必要があります

• [Batch.4] マネージドバッチコンピューティング環境のコンピューティングリソースプロパティにはタグを付ける必要があります

• [CloudFormation.2] CloudFormation スタックにはタグを付ける必要があります

• [CloudFront.14] CloudFront ディストリビューションにはタグを付ける必要があります

• [CloudTrail.9] CloudTrail 証跡にはタグを付ける必要があります

• [CodeArtifact.1] CodeArtifact リポジトリにはタグを付ける必要があります

• [CodeGuruProfiler.1] CodeGuru Profiler プロファイリンググループにはタグを付ける必要があります

• [CodeGuruReviewer.1] CodeGuru Reviewer リポジトリの関連付けにはタグを付ける必要があります

• [Connect.1] Amazon Connect Customer Profiles オブジェクトタイプにはタグを付ける必要があります

• [DataSync.2] DataSync タスクにはタグを付ける必要があります

• [Detective.1] 検出動作グラフにはタグを付ける必要があります

• [DMS.2] DMS 証明書にはタグを付ける必要があります

• [DMS.3] DMS イベントサブスクリプションにはタグを付ける必要があります

• [DMS.4] DMS レプリケーションインスタンスにはタグを付ける必要があります

• [DMS.5] DMS レプリケーションサブネットグループにはタグを付ける必要があります

• [DynamoDB.5] DynamoDB テーブルにはタグを付ける必要があります

• [EC2.33] EC2 Transit Gateway アタッチメントにはタグを付ける必要があります

• [EC2.34] EC2 Transit Gateway ルートテーブルにはタグを付ける必要があります

• [EC2.35] EC2 ネットワークインターフェイスにはタグを付ける必要があります

• [EC2.36] EC2 カスタマーゲートウェイにはタグを付ける必要があります

• [EC2.37] EC2 Elastic IP アドレスにはタグを付ける必要があります

• [EC2.38] EC2 インスタンスにはタグを付ける必要があります

• [EC2.39] EC2 インターネットゲートウェイにはタグを付ける必要があります

• [EC2.40] EC2 NAT ゲートウェイにはタグを付ける必要があります

• [EC2.41] EC2 ネットワーク ACL にはタグを付ける必要があります

• [EC2.42] EC2 ルートテーブルにはタグを付ける必要があります

• [EC2.43] EC2 セキュリティグループにはタグを付ける必要があります

• [EC2.44] EC2 サブネットにはタグを付ける必要があります

• [EC2.45] EC2 ボリュームにはタグを付ける必要があります

• [EC2.46] Amazon VPC にはタグを付ける必要があります

• [EC2.47] Amazon VPC エンドポイントサービスはタグを付ける必要があります

• [EC2.48] Amazon VPC フローログにはタグを付ける必要があります

• [EC2.49] Amazon VPC ピアリング接続にはタグを付ける必要があります

• [EC2.50] EC2 VPN ゲートウェイにはタグを付ける必要があります

• [EC2.52] EC2 Transit Gateway にはタグを付ける必要があります

• [EC2.174] EC2 DHCP オプションセットにはタグを付ける必要があります

• [EC2.175] EC2 起動テンプレートにはタグを付ける必要があります

• [EC2.176] EC2 プレフィックスリストにはタグを付ける必要があります

• [EC2.177] EC2 トラフィックミラーセッションにはタグを付ける必要があります

• [EC2.178] EC2 トラフィックミラーフィルターにはタグを付ける必要があります

• [EC2.179] EC2 トラフィックミラーターゲットにはタグを付ける必要があります

• [ECR.4] ECR パブリックリポジトリにはタグを付ける必要があります

• [ECS.13] ECS サービスにはタグを付ける必要があります

• [ECS.14] ECS クラスターにはタグを付ける必要があります

• [ECS.15] ECS タスク定義にはタグを付ける必要があります

• [EFS .5] EFS アクセスポイントにはタグを付ける必要があります

• [EKS.6] EKS クラスターにはタグを付ける必要があります

• [EKS.7] EKS ID プロバイダーの設定にはタグを付ける必要があります

• [ES.9] Elasticsearch ドメインにはタグを付ける必要があります

• [EventBridge.2] EventBridge イベントバスにはタグを付ける必要があります

• [FraudDetector.1] Amazon Fraud Detector エンティティタイプにはタグを付ける必要があります

• [FraudDetector.2] Amazon Fraud Detector ラベルにはタグを付ける必要があります

• [FraudDetector.3] Amazon Fraud Detector の結果にはタグを付ける必要があります

• [FraudDetector.4] Amazon Fraud Detector 変数にはタグを付ける必要があります

• [GlobalAccelerator.1] Global Accelerator アクセラレーターにはタグを付ける必要があります

• [Glue.1] AWS Glue ジョブにはタグを付ける必要があります

• [GuardDuty.2] GuardDuty フィルターにはタグを付ける必要があります

• [GuardDuty.3] GuardDuty IPSets にはタグを付ける必要があります

• [GuardDuty.4] GuardDuty ディテクターにはタグを付ける必要があります

• [IAM.23] IAM Access Analyzer アナライザーにはタグを付ける必要があります

• [IAM.24] IAM ロールにはタグを付ける必要があります

• [IAM.25] IAM ユーザーにはタグを付ける必要があります

• [IoT.1] AWS IoT Device Defender セキュリティプロファイルにはタグを付ける必要があります

• [IoT.2] AWS IoT Core 緩和アクションにはタグを付ける必要があります

• [IoT.3] AWS IoT Core ディメンションにはタグを付ける必要があります

• [IoT.4] AWS IoT Core オーソライザーにはタグを付ける必要があります

• [IoT.5] AWS IoT Core ロールエイリアスにはタグを付ける必要があります

• [IoT.6] AWS IoT Core ポリシーにはタグを付ける必要があります

• [IoTEvents.1] AWS IoT Events 入力にはタグを付ける必要があります

• [IoTEvents.2] AWS IoT Events ディテクターモデルにはタグを付ける必要があります

• [IoTEvents.3] AWS IoT Events アラームモデルにはタグを付ける必要があります

• [IoTSiteWise.1] AWS IoT SiteWise アセットモデルにはタグを付ける必要があります

• [IoTSiteWise.2] AWS IoT SiteWise ダッシュボードにはタグを付ける必要があります

• [IoTSiteWise.3] AWS IoT SiteWise ゲートウェイにはタグを付ける必要があります

• [IoTSiteWise.4] AWS IoT SiteWise ポータルにはタグを付ける必要があります

• [IoTSiteWise.5] AWS IoT SiteWise プロジェクトにはタグを付ける必要があります

• [IoTTwinMaker.1] AWS IoT TwinMaker 同期ジョブにはタグを付ける必要があります

• [IoTTwinMaker.2] AWS IoT TwinMaker ワークスペースにはタグを付ける必要があります

• [IoTTwinMaker.3] AWS IoT TwinMaker シーンにはタグを付ける必要があります

• [IoTTwinMaker.4] AWS IoT TwinMaker エンティティにはタグを付ける必要があります

• [IoTWireless.1] AWS IoT Wireless マルチキャストグループにはタグを付ける必要があります

• [IoTWireless.2] AWS IoT Wireless サービスプロファイルにはタグを付ける必要があります

• [IoTWireless.3] AWS IoT Wireless FUOTA タスクにはタグを付ける必要があります

• [IVS.1] IVS 再生キーペアにはタグを付ける必要があります

• [IVS.2] IVS 記録設定にはタグを付ける必要があります

• [IVS.3] IVS チャネルにはタグを付ける必要があります

• [Keyspaces.1] Amazon Keyspaces キースペースにはタグを付ける必要があります

• [Kinesis.2] Kinesis ストリームにはタグを付ける必要があります

• [Lambda.6] Lambda 関数にはタグを付ける必要があります

• [MQ.4] Amazon MQ ブローカーにはタグを付ける必要があります

• [NetworkFirewall.7] Network Firewall ファイアウォールにはタグを付ける必要があります

• [NetworkFirewall.8] Network Firewall ファイアウォールポリシーにはタグを付ける必要があります

• [Opensearch.9] OpenSearch ドメインはにはタグを付ける必要があります

• [PCA.2] AWS プライベート CA 証明書にはタグを付ける必要があります

• [RDS.28] RDS DB クラスターにはタグを付ける必要があります

• [RDS.29] RDS DB クラスタースナップショットにはタグを付ける必要があります

• [RDS.30] RDS DB インスタンスにはタグを付ける必要があります

• [RDS.31] RDS DB セキュリティグループにはタグを付ける必要があります

• [RDS.32] RDS DB スナップショットにはタグを付ける必要があります

• [RDS.33] RDS DB サブネットグループにはタグを付ける必要があります

• [Redshift.11] Redshift クラスターにはタグを付ける必要があります

• [Redshift.12] Redshift イベント通知サブスクリプションにはタグを付ける必要があります

• [Redshift.13] Redshift クラスタースナップショットにはタグを付ける必要があります

• [Redshift.14] Redshift クラスターサブネットグループにはタグを付ける必要があります

• [Redshift.17] Redshift クラスターパラメータグループはタグ付けする必要があります

• [Route53.1] Route 53 ヘルスチェックにはタグを付ける必要があります

• [SageMaker.6] SageMaker アプリのイメージ設定にはタグを付ける必要があります

• [SageMaker.7] SageMaker イメージにはタグを付ける必要があります

• [SecretsManager.5] Secrets Manager のシークレットにはタグを付ける必要があります

• [SES.1] SES 連絡先リストにはタグを付ける必要があります

• [SES.2] SES 設定セットにはタグを付ける必要があります

• [SNS.3] SNS トピックにはタグを付ける必要があります

• [SQS.2] SQS キューにはタグを付ける必要があります

• [SSM.5] SSM ドキュメントにはタグを付ける必要があります

• [StepFunctions.2] Step Functions アクティビティにはタグを付ける必要があります

• [Transfer.1] AWS Transfer Family ワークフローにはタグを付ける必要があります

• [Transfer.4] Transfer Family 契約にはタグを付ける必要があります

• [Transfer.5] Transfer Family 証明書にはタグを付ける必要があります

• [Transfer.6] Transfer Family コネクタにはタグを付ける必要があります

• [Transfer.7] Transfer Family プロファイルにはタグを付ける必要があります