As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Colocar tags em recursos do Amazon Security Lake
Uma tag é um rótulo opcional que você pode definir e atribuir aos AWS recursos, incluindo certos tipos de recursos do Amazon Security Lake. As tags podem ajudar a identificar, categorizar e gerenciar recursos de diferentes maneiras, como por finalidade, proprietário, ambiente ou outros critérios. Por exemplo, você pode usar tags para aplicar políticas, alocar custos, distinguir entre recursos ou identificar recursos que suportam determinados requisitos de conformidade ou fluxos de trabalho.
Você pode atribuir tags aos seguintes tipos de recursos do Security Lake: assinantes e a configuração do data lake individual Regiões da AWS. Conta da AWS
Um recurso pode ter até 50 tags. Cada tag consiste em uma chave de tag obrigatória e um valor de tag opcional, ambos definidos por você. Uma chave de tag é um rótulo geral que atua como uma categoria para valores de tags mais específicos. Um valor de tag atua como um descritor de uma chave de tag.
Por exemplo, se você adicionar assinantes para analisar dados de segurança de diferentes ambientes (um conjunto de assinantes para dados na nuvem e outro conjunto para dados on-premises), poderá atribuir uma chave de tag Environment a esses assinantes. O valor da tag associada pode ser Cloud para assinantes que analisam dados de Serviços da AWS e On-Premises para os outros.
Ao definir e atribuir tags aos recursos do Amazon Security Lake, lembre-se do seguinte:
-
Cada recurso pode ter um máximo de 50 tags.
-
Em todos os recurso, cada chave de tag precisa ser exclusiva e ter apenas um valor de tag.
-
As chaves e valores das tags diferenciam maiúsculas de minúsculas. Recomendamos definir uma estratégia para letras maiúsculas em tags e implementá-la de forma consistente em todos os recursos.
-
Uma chave de tag pode ter no máximo 128 caracteres UTF-8. Um valor de tag pode ter no máximo 256 caracteres UTF-8. Os caracteres podem ser letras, números, espaços ou os seguintes símbolos: _ . : / = + - @
-
O aws: prefixo é reservado para uso por AWS. Não é possível usá-lo em nenhuma chave ou valor de tag definido por você. Você também não pode editar ou remover chaves ou valores de tag que usam esse prefixo. As tags que usam esse prefixo não adicionam à cota de 50 tags por recurso.
-
Todas as tags que você atribuir estão disponíveis somente para você Conta da AWS e somente no local Região da AWS em que você as atribui.
-
Se você atribuir tags a um recurso usando o Security Lake, elas serão aplicadas somente ao recurso armazenado diretamente no Security Lake, na Região da AWS aplicável. As tags não são aplicadas a nenhum recurso associado ou de suporte criado, usado ou mantido pelo Security Lake em outros Serviços da AWS. Por exemplo, se você atribuir tags ao data lake, elas serão aplicadas somente à configuração do data lake no Security Lake para a Região especificada. Elas não são aplicados ao bucket do Amazon Simple Storage Service (Amazon S3) que armazena seus dados de log e de eventos. Para também atribuir tags a um recurso associado, você pode usar AWS Resource Groups ou AWS service (Serviço da AWS) aquele que armazena o recurso — por exemplo, Amazon S3 para um bucket do S3. A atribuição de tags a recursos associados pode ajudar você a identificar recursos de suporte para seu data lake.
-
Se você excluir um recurso, todas as tags associadas a ele também serão excluídas.
Para obter mais restrições, dicas e melhores práticas, consulte Como marcar seus AWS recursos no Guia do usuário de AWS recursos de marcação.
Não armazene dados sensíveis ou outros tipos de dados confidenciais em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing and Cost Management. As tags não devem ser usadas para dados confidenciais.
Para gerenciar tags ou adicioná-las a recursos do Security Lake, você pode usar o console do Security Lake ou a API Security Lake.
Depois de começar a colocar tags em recursos, defina permissões baseadas em tags a nível de recurso nas políticas AWS Identity and Access Management (IAM). Ao usar tags dessa forma, você pode implementar um controle granular de quais usuários e funções em sua empresa Conta da AWS têm permissão para criar e marcar recursos e quais usuários e funções têm permissão para adicionar, editar e remover tags de forma mais geral. Para controlar o acesso com base em tags, use chaves de condição relacionadas à tag no elemento de Condição das políticas do IAM.
Por exemplo, é possível criar uma política que permita que um usuário tenha acesso completo a todos os recursos do Amazon Security Lake, se a tag Owner do recurso especificar esse nome de usuário:
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ModifyResourceIfOwner",
"Effect": "Allow",
"Action": "securitylake:*",
"Resource": "*",
"Condition": {
"StringEqualsIgnoreCase": {"aws:ResourceTag/Owner": "${aws:username}"}
}
}
]
}
Se você definir permissões em nível de recurso e baseadas em tag, elas entrarão em vigor imediatamente. Isso significa que seus recursos ficam mais seguros assim que são criados, e que é possível começar a aplicar rapidamente o uso de tags em novos recursos. Também é possível usar permissões em nível de recurso para controlar quais valores e chaves de tag podem ser associados a recursos novos e existentes. Para obter mais informações, consulte Controle do acesso a AWS recursos usando tags no Guia do usuário do IAM.
Para adicionar tags a um recurso do Amazon Security Lake, use o console do Security Lake ou a API Security Lake.
Adicionar tags a um recurso pode afetar o acesso a ele. Antes de adicionar uma tag a um recurso, revise todas as políticas AWS Identity and Access Management (IAM) que possam usar tags para controlar o acesso aos recursos.
- Console
-
Quando você ativa o Security Lake para um assinante Região da AWS ou cria um, o console do Security Lake fornece opções para adicionar tags ao recurso — a configuração do data lake para a região ou o assinante. Siga as instruções no console para adicionar tags ao recurso quando for criá-lo.
Para adicionar uma ou mais tags a um recurso existente usando o console do Security Lake, siga estas etapas.
Adicionar uma tag a um recurso
Abra o console do Security Lake em https://console.aws.amazon.com/securitylake/.
-
Realize uma das seguintes ações, dependendo do tipo de recurso que vai receber a tag:
-
Para uma configuração de data lake, escolha Regiões no painel de navegação. Em seguida, na tabela Regiões, selecione a Região.
-
Para um assinante, escolha Assinantes no painel de navegação. Em seguida, na tabela Meus assinantes, selecione o assinante.
Se o assinante não aparecer na tabela, use o seletor Região da AWS no canto superior direito da página para selecionar a Região correspondente. A tabela lista somente os assinantes existentes da atual Região.
-
Selecione a opção Editar.
-
Expanda a seção Tags. Essa seção lista todas as tags atribuídas ao recurso atualmente.
-
Na seção Tags, escolha Adicionar nova tag.
-
Na caixa Chave, insira a chave da tag a ser adicionada ao recurso. Depois, na caixa Valor, insira o valor da tag (opcional).
Uma chave de tag pode ter até 128 caracteres. Um valor de tag pode conter até 256 caracteres. Os caracteres podem ser letras, números, espaços ou os seguintes símbolos: _ . : / = + - @
-
Para adicionar outra tag ao recurso, escolha Adicionar nova tag e repita a etapa anterior. É possível atribuir até 50 tags a um recurso.
-
Quando terminar, selecione Salvar.
- API
-
Para criar um recurso e adicionar uma ou mais tags a ele programaticamente, use a operação Create apropriada para o tipo de recurso que deseja criar:
Em sua solicitação, use o parâmetro tags para especificar a chave da tag (key) e o valor opcional de tag (value) para cada tag a ser adicionada ao recurso. O parâmetro tags especifica uma matriz de objetos. Cada objeto especifica uma chave de tag e seu valor associado.
Para adicionar uma ou mais tags a um recurso existente, use a TagResourceoperação da API Security Lake ou, se estiver usando a AWS CLI, execute o comando tag-resource. Na solicitação, especifique o nome do recurso da Amazon (ARN) ao qual a tag será adicionada. Use o parâmetro tags para especificar a chave da tag (key) e o valor opcional de tag (value) para cada tag a ser adicionada. Como no caso de operações e comandos Create, o parâmetro tags especifica uma matriz de objetos, um objeto para cada chave de tag e seu valor de tag associado.
Por exemplo, o AWS CLI comando a seguir adiciona uma chave de Environment tag com um valor de Cloud tag ao assinante especificado. Este exemplo está formatado para Linux, macOS ou Unix e usa o caractere de continuação de linha “barra invertida (\)” para melhorar a legibilidade.
$ aws securitylake tag-resource \
--resource-arn arn:aws:securitylake:us-east-1:123456789012:subscriber/1234abcd-12ab-34cd-56ef-1234567890ab \
--tags key=Environment,value=Cloud
Em que:
-
resource-arn especifica o ARN do assinante ao qual a tag será adicionada.
-
Environment
-
CloudEnvironment
No exemplo a seguir, o comando adiciona várias tags ao assinante.
$ aws securitylake tag-resource \
--resource-arn arn:aws:securitylake:us-east-1:123456789012:subscriber/1234abcd-12ab-34cd-56ef-1234567890ab \
--tags key=Environment,value=Cloud key=CostCenter,value=12345 key=Owner,value=jane-doe
Para cada objeto em uma matriz tags, os argumentos key e value são obrigatórios. Entretanto, o valor do argumento value pode ser uma string vazia. Se você não quiser associar um valor a uma chave, não especifique um valor para o argumento value. Por exemplo, o comando a seguir adiciona uma chave de tag Owner sem valor associado:
$ aws securitylake tag-resource \
--resource-arn arn:aws:securitylake:us-east-1:123456789012:subscriber/1234abcd-12ab-34cd-56ef-1234567890ab \
--tags key=Owner,value=
Se uma operação de tag for bem-sucedida, o Security Lake retornará uma resposta HTTP 200 vazia. Caso contrário, o Security Lake retornará uma resposta HTTP 4 xx ou 500 que indica por que a operação falhou.
Você pode analisar as tags (chaves e valores) de um recurso do Amazon Security Lake usando o console do Security Lake ou a API Security Lake.
- Console
-
Siga estas etapas para analisar as tags de um recurso usando o console.
Para revisar as tags de um recurso
Abra o console do Security Lake em https://console.aws.amazon.com/securitylake/.
-
Realize uma das seguintes ações, dependendo do tipo de recurso da tag a ser analisada:
-
Para uma configuração de data lake, escolha Regiões no painel de navegação. Na tabela Regiões, selecione a Região e escolha Editar. Expanda a seção Tags.
-
Para um assinante, escolha Assinantes no painel de navegação. Em seguida, na tabela Meus assinantes, selecione o nome de assinante.
Se o assinante não aparecer na tabela, use o seletor Região da AWS no canto superior direito da página para selecionar a Região correspondente. A tabela lista somente os assinantes existentes da atual Região.
A seção Tags lista todas as tags atribuídas ao recurso atualmente.
- API
-
Para recuperar e revisar programaticamente as tags de um recurso existente, use a ListTagsForResourceoperação da API Security Lake. Em sua solicitação, use o parâmetro resourceArn para especificar o nome do recurso da Amazon (ARN).
Se você estiver usando o AWS Command Line Interface (AWS CLI), execute o list-tags-for-resourcecomando e use o resource-arn parâmetro para especificar o ARN do recurso. Por exemplo: .
$ aws securitylake list-tags-for-resource --resource-arn arn:aws:securitylake:us-east-1:123456789012:subscriber/1234abcd-12ab-34cd-56ef-1234567890ab
No exemplo anterior, arn:aws:securitylake:us-east-1:123456789012:subscriber/1234abcd-12ab-34cd-56ef-1234567890ab é o ARN de um assinante existente.
Se a operação for bem-sucedida, o Security Lake retornará uma matriz tags. Cada objeto na matriz especifica uma tag (tanto a chave quanto o valor) que está atualmente atribuída ao recurso. Por exemplo: .
{
"tags": [
{
"key": "Environment",
"value": "Cloud"
},
{
"key": "CostCenter",
"value": "12345"
},
{
"key": "Owner",
"value": ""
}
]
}
Onde Environment, CostCenter e Owner são as chaves de tag atribuídas ao recurso. Cloud é o valor da tag associado à chave da tag Environment. 12345 é o valor da tag associado à chave da tag CostCenter. A chave de tag Owner não tem nenhum valor associado.
Você pode editar as tags (chaves e valores) de um recurso do Amazon Security Lake usando o console do Security Lake ou a API Security Lake.
Editar as tags de um recurso pode afetar o acesso a ele. Antes de editar a chave ou o valor de uma tag para um recurso, revise todas as políticas AWS Identity and Access Management (IAM) que possam usar a tag para controlar o acesso aos recursos.
- Console
-
Siga estas etapas para editar as tags de um recurso usando o console.
Para editar de tags de um recurso
Abra o console do Security Lake em https://console.aws.amazon.com/securitylake/.
-
Realize uma das seguintes ações, dependendo do tipo de recurso da tag a ser editada:
-
Para uma configuração de data lake, escolha Regiões no painel de navegação. Em seguida, na tabela Regiões, selecione a Região.
-
Para um assinante, escolha Assinantes no painel de navegação. Em seguida, na tabela Meus assinantes, selecione o assinante.
Se o assinante não aparecer na tabela, use o seletor Região da AWS no canto superior direito da página para selecionar a Região correspondente. A tabela lista somente os assinantes existentes da atual Região.
-
Selecione a opção Editar.
-
Expanda a seção Tags. A seção Tags lista todas as tags atribuídas ao recurso atualmente.
-
Faça o seguinte:
-
Para adicionar um valor a uma chave existente, insira o valor na caixa Valor ao lado da chave de tag.
-
Para alterar uma chave existente, escolha Remover ao lado da tag. Depois, selecione Adicionar nova tag. Na caixa Chave, insira a nova chave de tag. Na caixa Valor, insira o valor da tag (opcional).
-
Para alterar o valor de uma tag existente, escolha X na caixa Valor que contém o valor. Em seguida, digite o novo valor na caixa Valor.
-
Para remover o valor de uma tag existente, escolha X na caixa Valor que contém o valor.
-
Para remover uma tag existente (tanto a chave quanto o valor), escolha Remover ao lado da tag.
Um recurso pode ter até 50 tags. Uma chave de tag pode ter até 128 caracteres. Um valor de tag pode conter até 256 caracteres. Os caracteres podem ser letras, números, espaços ou os seguintes símbolos: _ . : / = + - @
-
Depois de concluir a edição da tag, selecione Salvar.
- API
-
Ao editar uma tag para um recurso programaticamente, você substitui a tag existente por novos valores. Portanto, a melhor maneira de editar uma tag depende se você deseja editar uma chave, um valor ou ambos. Para editar uma chave, remova a tag atual e adicione uma nova.
Para editar ou remover somente o valor da tag associado a uma chave de tag, substitua o valor existente usando a TagResourceoperação da API Security Lake. Se você estiver usando o AWS Command Line Interface (AWS CLI), execute o comando tag-resource. Na solicitação, especifique o nome do recurso da Amazon (ARN) cujo valor você quer editar ou remover.
Para editar um valor de tag, use o parâmetro tags para especificar a chave que terá seu valor alterado. Especifique também o novo valor da chave. Por exemplo, o AWS CLI comando a seguir altera o valor da tag de Cloud On-Premises para para a chave de Environment tag atribuída ao assinante especificado. Este exemplo está formatado para Linux, macOS ou Unix e usa o caractere de continuação de linha “barra invertida (\)” para melhorar a legibilidade.
$ aws securitylake tag-resource \
--resource-arn arn:aws:securitylake:us-east-1:123456789012:subscriber/1234abcd-12ab-34cd-56ef-1234567890ab \
--tags key=Environment,value=On-Premises
Em que:
-
resource-arn especifica o ARN do assinante.
-
Environment
-
On-PremisesEnvironment
Para remover um valor de uma chave, não especifique um valor para o argumento value da chave no parâmetro tags. Por exemplo: .
$ aws securitylake tag-resource \
--resource-arn arn:aws:securitylake:us-east-1:123456789012:subscriber/1234abcd-12ab-34cd-56ef-1234567890ab \
--tags key=Owner,value=
Se a operação for bem-sucedida, o Security Lake retornará uma resposta HTTP 200 vazia. Caso contrário, o Security Lake retornará uma resposta HTTP 4 xx ou 500 que indica por que a operação falhou.
Para remover tags de um recurso do Amazon Security Lake, use o console do Security Lake ou a API Security Lake.
Remover tags de um recurso pode afetar o acesso a ele. Antes de remover uma tag, revise todas as políticas AWS Identity and Access Management (IAM) que possam usar a tag para controlar o acesso aos recursos.
- Console
-
Siga estas etapas para remover uma ou mais tags de um recurso usando o console.
Remover uma tag de um recurso
Abra o console do Security Lake em https://console.aws.amazon.com/securitylake/.
-
Realize uma das seguintes ações, dependendo do tipo de recurso de onde a tag será removida:
-
Para uma configuração de data lake, escolha Regiões no painel de navegação. Em seguida, na tabela Regiões, selecione a Região.
-
Para um assinante, escolha Assinantes no painel de navegação. Em seguida, na tabela Meus assinantes, selecione o assinante.
Se o assinante não aparecer na tabela, use o seletor Região da AWS no canto superior direito da página para selecionar a Região correspondente. A tabela lista somente os assinantes existentes da atual Região.
-
Selecione a opção Editar.
-
Expanda a seção Tags. A seção Tags lista todas as tags atribuídas ao recurso atualmente.
-
Faça o seguinte:
-
Para remover somente o valor de um tag, escolha X na caixa Valor que contém o valor a ser removido.
-
Para remover a chave e o valor (enquanto par) de uma tag, escolha Remover ao lado da tag.
-
Para remover outras tags do recurso, repita a etapa anterior para cada tag adicional a ser removida.
-
Ao finalizar a remoção, escolha Salvar.
- API
-
Para remover uma ou mais tags de um recurso programaticamente, use a UntagResourceoperação da API Security Lake. Em sua solicitação, use o parâmetro resourceArn para especificar o nome do recurso da Amazon (ARN) que terá a tag removida. Use o parâmetro tagKeys para especificar a chave da tag a ser removida. Para remover várias tags, anexe o parâmetro tagKeys e o argumento de cada tag a ser removida, separados por (&) — por exemplo, tagKeys=key1&tagKeys=key2. Para remover somente um valor específico (e não a chave) de um recurso, edite a tag em vez de removê-la.
Se você estiver usando o AWS Command Line Interface (AWS CLI), execute o comando untag-resource para remover uma ou mais tags de um recurso. Para o parâmetro resource-arn, especifique o ARN do recurso que terá a tag removida. Use o parâmetro tag-keys para especificar a chave da tag a ser removida. Por exemplo, o comando a seguir remove a tag Environment (tanto a chave quanto o valor da tag) do assinante especificado:
$ aws securitylake untag-resource \
--resource-arn arn:aws:securitylake:us-east-1:123456789012:subscriber/1234abcd-12ab-34cd-56ef-1234567890ab \
--tag-keys Environment
Em que resource-arn especifica o ARN do assinante do, e Environment
Para remover várias tags de um recurso, acrescente cada chave adicional como argumento para o parâmetro tag-keys. Por exemplo: .
$ aws securitylake untag-resource \
--resource-arn arn:aws:securitylake:us-east-1:123456789012:subscriber/1234abcd-12ab-34cd-56ef-1234567890ab \
--tag-keys Environment Owner
Se a operação for bem-sucedida, o Security Lake retornará uma resposta HTTP 200 vazia. Caso contrário, o Security Lake retornará uma resposta HTTP 4 xx ou 500 que indica por que a operação falhou.
