AWS Padrão de marcação de recursos

Esta seção fornece informações sobre o Padrão de Marcação de AWS Recursos.

nota

O padrão AWS de marcação de recursos não está disponível no Oeste do Canadá (Calgary), China e. AWS GovCloud (US)

O que é o padrão AWS de marcação de recursos?

As tags são pares de chaves e valores que atuam como metadados para organizar seus AWS recursos. Com a maioria dos AWS recursos, você tem a opção de adicionar tags ao criar o recurso ou após a criação. Exemplos de recursos incluem uma CloudFront distribuição da Amazon, uma instância do Amazon Elastic Compute Cloud (Amazon EC2) ou uma entrada secreta. AWS Secrets Manager

As tags podem ajudar você a gerenciar, identificar, organizar, pesquisar e filtrar recursos.

Cada tag tem duas partes:

• Uma chave de tag (por exemplo ,CostCenter, Environment ou Project). Chaves de tag fazem distinção entre maiúsculas e minúsculas.

• Um valor de tag (por exemplo, 111122223333 ouProduction). Como chaves de tag, os valores das tags diferenciam maiúsculas de minúsculas.

Você pode usar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios.

Para obter instruções sobre como adicionar tags aos AWS recursos, consulte Como adicionar tags ao seu AWS recurso no Guia do Usuário do AWS Security Hub.

O AWS Resource Tagging Standard, desenvolvido pelo AWS Security Hub, ajuda você a identificar rapidamente se faltam chaves de tag em algum de seus AWS recursos. Você pode personalizar o requiredTagKeys parâmetro para especificar chaves de tag específicas que os controles verificam. Se tags específicas não forem fornecidas, os controles apenas verificarão a existência de pelo menos uma chave de tag.

Ao habilitar o AWS Resource Tagging Standard, você começará a receber descobertas no AWS Security Finding Format (ASFF).

nota

Quando você ativa o AWS Resource Tagging Standard, o Security Hub pode levar até 18 horas para gerar descobertas para controles que usam a mesma regra AWS Config vinculada ao serviço dos controles habilitados em outros padrões habilitados. Para ter mais informações, consulte Programar a execução de verificações de segurança.

Esse padrão tem o seguinte nome de recurso da Amazon (ARN):. arn:aws:securityhub:region::standards/aws-resource-tagging-standard/v/1.0.0

Você também pode usar a GetEnabledStandardsoperação da API do Security Hub para descobrir o ARN de um padrão habilitado.

Controles no padrão AWS de marcação de recursos

O Padrão AWS de Marcação de Recursos inclui os seguintes controles. Selecione um controle para ver uma descrição detalhada dele.

• [ACM.3] Os certificados ACM devem ser marcados

• [AppSync.4] As APIs AWS AppSync do GraphQL devem ser marcadas

• [Athena.2] Os catálogos de dados do Athena devem ser marcados

• [Athena.3] Os grupos de trabalho do Athena devem ser marcados

• [AutoScaling.10] Os grupos do EC2 Auto Scaling devem ser marcados

• [Backup.2] os pontos de AWS Backup recuperação devem ser marcados

• [Backup.3] os AWS Backup cofres devem ser marcados

• [Backup.4] os planos de AWS Backup relatórios devem ser marcados

• [Backup.5] os planos de AWS Backup backup devem ser marcados

• [CloudFormation.2] as CloudFormation pilhas devem ser marcadas

• [CloudFront.14] as CloudFront distribuições devem ser marcadas

• [CloudTrail.9] CloudTrail trilhas devem ser marcadas

• [CodeArtifact.1] CodeArtifact repositórios devem ser marcados

• [Detetive.1] Os gráficos do comportamento do detetive devem ser marcados

• [DMS.2] Os certificados DMS devem ser marcados

• [DMS.3] As assinaturas de eventos do DMS devem ser marcadas

• [DMS.4] As instâncias de replicação do DMS devem ser marcadas

• [DMS.5] Os grupos de sub-redes de replicação do DMS devem ser marcados

• [DynamoDB.5] As tabelas do DynamoDB devem ser marcadas

• [EC2.33] Os anexos do gateway de trânsito EC2 devem ser marcados

• [EC2.34] As tabelas de rotas do gateway de trânsito EC2 devem ser marcadas

• [EC2.35] As interfaces de rede EC2 devem ser marcadas

• [EC2.36] Os gateways de clientes do EC2 devem ser marcados

• [EC2.37] Os endereços IP elásticos do EC2 devem ser marcados

• [EC2.38] As instâncias do EC2 devem ser marcadas

• [EC2.39] Os gateways de internet EC2 devem ser marcados

• [EC2.40] Os gateways NAT EC2 devem ser marcados

• [EC2.41] ACLs de rede EC2 devem ser marcadas

• [EC2.42] As tabelas de rotas do EC2 devem ser marcadas

• [EC2.43] Grupos de segurança do EC2 devem ser marcados

• [EC2.44] As sub-redes do EC2 devem ser marcadas

• [EC2.45] Os volumes do EC2 devem ser marcados

• [EC2.46] Amazon VPCs devem ser marcadas

• [EC2.47] Os serviços de endpoint da Amazon VPC devem ser marcados

• [EC2.48] Os registros de fluxo da Amazon VPC devem ser marcados

• [EC2.49] As conexões de emparelhamento da Amazon VPC devem ser marcadas

• [EC2.50] Os gateways de VPN EC2 devem ser marcados

• [EC2.52] Os gateways de trânsito EC2 devem ser marcados

• [ECR.4] Os repositórios públicos do ECR devem ser marcados

• [ECS.13] Os serviços do ECS devem ser marcados

• [ECS.14] Os clusters ECS devem ser marcados

• [ECS.15] As definições de tarefas do ECS devem ser marcadas

• [EFS.5] Os pontos de acesso do EFS devem ser marcados

• [EKS.6] Os clusters EKS devem ser marcados

• [EKS.7] As configurações do provedor de identidade EKS devem ser marcadas

• [ES.9] Os domínios do Elasticsearch devem ser marcados

• [EventBridge.2] ônibus de EventBridge eventos devem ser etiquetados

• [GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados

• Os AWS Glue trabalhos [Glue.1] devem ser marcados

• [GuardDuty.2] GuardDuty os filtros devem ser marcados

• [GuardDuty.3] Os GuardDuty IPsets devem ser marcados

• [GuardDuty.4] os GuardDuty detectores devem ser marcados

• [IAM.23] Os analisadores do IAM Access Analyzer devem ser marcados

• [IAM.24] As funções do IAM devem ser marcadas

• [IAM.25] Os usuários do IAM devem ser marcados

• [IoT.1] perfis de AWS IoT Core segurança devem ser marcados

• [IoT.2] as ações de AWS IoT Core mitigação devem ser marcadas

• [IoT.3] as AWS IoT Core dimensões devem ser marcadas

• [IoT.4] os AWS IoT Core autorizadores devem ser marcados

• [IoT.5] aliases de AWS IoT Core função devem ser marcados

• As AWS IoT Core políticas [IoT.6] devem ser marcadas

• [Kinesis.2] Os streams do Kinesis devem ser marcados

• [Lambda.6] As funções Lambda devem ser marcadas

• [MQ.4] Os corretores do Amazon MQ devem ser marcados

• [NetworkFirewall.7] Os firewalls do Firewall de Rede devem ser marcados

• [NetworkFirewall.8] As políticas de firewall do Network Firewall devem ser marcadas

• Os OpenSearch domínios [Opensearch.9] devem ser marcados

• [RDS.28] Os clusters de banco de dados do RDS devem ser marcados

• [RDS.29] Os instantâneos do cluster de banco de dados do RDS devem ser marcados

• [RDS.30] As instâncias de banco de dados do RDS devem ser marcadas

• [RDS.31] Os grupos de segurança do RDS DB devem ser marcados

• [RDS.32] Os instantâneos do banco de dados do RDS devem ser marcados

• [RDS.33] Os grupos de sub-redes do banco de dados do RDS devem ser marcados

• [Redshift.11] Os clusters do Redshift devem ser marcados

• [Redshift.12] As assinaturas de notificação de eventos do Redshift devem ser marcadas

• [Redshift.13] Os instantâneos do cluster do Redshift devem ser marcados

• [Redshift.14] Os grupos de sub-redes do cluster Redshift devem ser marcados

• [Route53.1] As verificações de saúde do Route 53 devem ser marcadas

• [SecretsManager.5] Os segredos do Secrets Manager devem ser marcados

• [SES.1] As listas de contatos do SES devem ser marcadas

• [SES.2] Os conjuntos de configuração do SES devem ser marcados

• [SNS.3] Os tópicos do SNS devem ser marcados

• [SQS.2] As filas SQS devem ser marcadas

• [StepFunctions.2] As atividades do Step Functions devem ser marcadas

• Os AWS Transfer Family fluxos de trabalho [Transfer.1] devem ser marcados