Security Hub CSPM リソースへのタグの追加 - AWS Security Hub

Security Hub CSPM リソースへのタグの追加

タグは、特定のタイプの AWS Security Hub CSPM リソースなど、AWS リソースを定義および割り当てることができるラベルです。タグを使用すると、目的、所有者、環境、その他の条件など、さまざまな方法でリソースを識別、分類、管理できます。例えば、タグを使用してポリシーを適用したり、コストを割り当てたり、リソースのバージョンを区別したり、特定のコンプライアンス要件やワークフローをサポートするリソースを識別したりできます。

以下のタイプの Security Hub CSPM リソースにタグを追加できます。

  • 自動化ルール

  • 設定ポリシー

  • Hub リソース:

リソースには、最大 50 個のタグを含めることができます。各タグは、必要なタグキーとオプションのタグ値で設定されています。タグキー は、より具体的なタグ値のカテゴリとして動作する一般的なラベルです。タグ値は、タグキーの記述子として機能します。タグ付けのオプションおよび要件の詳細は、「タグ付けの基本」を参照してください。

Security Hub CSPM リソースにタグを追加するには、Security Hub CSPM コンソールまたは Security Hub CSPM API を使用します。ただし、コンソールは Hub リソースへのタグの追加をサポートしていません。

タグを追加したら、タグを編集し、タグキーまたはタグ値を変更できます。

複数の Security Hub CSPM リソースのタグを同時に追加または編集するには、AWS Resource Groups Tagging API のタグ付けオペレーションを使用します。

重要

リソースにタグを追加すると、リソースへのアクセスに影響を与える可能性があります。リソースにタグを追加する前に、タグを使用してリソースへのアクセスを管理する可能性のある AWS Identity and Access Management (IAM) ポリシーを必ず確認してください。

Console

Security Hub CSPM リソースにタグを追加するには (コンソール)

自動化ルールまたは設定ポリシーを作成すると、Security Hub CSPM コンソールにタグを追加するオプションが表示されます。タグキーとタグ値はタグセクションで指定できます。

Security Hub CSPM API

Security Hub CSPM リソース (API) にタグを追加するには

リソースを作成して 1 つ以上のタグをプログラムで追加するには、作成するリソースのタイプに適した操作を使用します。

  • 設定ポリシーを作成して 1 つまたは複数のタグを追加するには、CreateConfigurationPolicy API を呼び出すか、AWS CLI を使用している場合は create-configuration-policy コマンドを実行します。

  • 自動化ルールを作成して 1 つ以上のタグを追加するには、CreateAutomationRule API を呼び出すか、AWS CLI を使用している場合は create-automation-rule コマンドを実行します。

  • Security Hub CSPM を有効にして Hub リソースに 1 つ以上のタグを追加するには、EnableSecurityHub API を呼び出すか、AWS Command Line Interface (AWS CLI) を使用している場合は enable-security-hub コマンドを実行します。

リクエストでは、tags パラメータを使用して、リソースに追加する各タグのタグキーとオプションのタグ値を指定します。tags パラメータは、オブジェクトの配列を指定します。各オブジェクトはタグキーとそれに関連するタグ値を指定します。

既存のリソースに 1 つ以上のタグを追加するには、Security Hub CSPM API の TagResource オペレーションを使用するか、AWS CLIを使用している場合は tag-resource コマンドを実行します。リクエストでは、タグを追加するリソースの Amazon リソースネーム (ARN) を指定します。tags パラメータを使用して、追加する各タグのタグキー (key) とオプションのタグ値 (value) を指定します。tags パラメータは、オブジェクトの配列、各タグキーに 1 つのオブジェクト、および関連するタグ値を指定します。

例えば、次の AWS CLI コマンドは、タグ値が ProdEnvironment タグキーを指定した設定ポリシーに追加します。この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\) の行継続文字を使用しています。

CLI コマンドの例:

$ aws securityhub tag-resource \
--resource-arn arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 \
--tags '{"Environment":"Prod"}'

コードの説明は以下のとおりです。

  • resource-arn ではタグを追加する設定ポリシーの ARN を指定します。

  • Environment はルールに追加するタグのタグキーです。

  • Prod は指定されたタグキー (Environment) のタグ値です。

次の例では、コマンドは設定ポリシーに複数のタグを追加します。

$ aws securityhub tag-resource \
--resource-arn arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 \
--tags '{"Environment":"Prod", "CostCenter":"12345", "Owner":"jane-doe"}'

tags配列内の各オブジェクトには、keyvalueとの引数の両方が必要です。ただし、value引数の値は空の文字列とすることができます。タグ値をタグキーに関連付けない場合、value 引数の値を指定しないでください。たとえば、以下のコマンドは、関連付けられたタグ値を含まないOwnerタグキーを追加します。

$ aws securityhub tag-resource \
--resource-arn arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 \
--tags '{"Owner":""}'

タグ付けオペレーションが成功すると、Security Hub CSPM は空の HTTP 200 レスポンスを返します。それ以外の場合、Security Hub CSPM は HTTP 4xx またはオペレーションが失敗した理由を示す 500 レスポンスを返します。