As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Marcar recursos do AWS Security Hub
Uma tag é uma etiqueta opcional que você define e atribui a recursos da AWS, incluindo certos tipos de recurso do AWS Security Hub. As tags podem ajudar a identificar, categorizar e gerenciar recursos de diferentes maneiras, como por finalidade, proprietário, ambiente ou outros critérios. Por exemplo, é possível usar tags para distinguir entre recursos, identificar recursos que aceitam determinados requisitos de conformidade ou fluxos de trabalho ou alocar custos.
É possível atribuir tags aos tipos de recursos do Security Hub a seguir: regras de automação, políticas de configuração e o recurso Hub.
Um recurso pode ter até 50 tags. Cada tag consiste em uma chave de tag obrigatória e um valor de tag opcional, ambos definidos por você. Uma chave de tag é um rótulo geral que atua como uma categoria para valores de tags mais específicos. Um valor de tag atua como um descritor de uma chave de tag.
Por exemplo, se você criar regras de automação diferentes para ambientes diferentes (um conjunto de regras de automação para contas de teste e outro para contas de produção), poderá atribuir uma chave de tag Environment a essas regras. O valor da tag associada pode ser Test para as regras associadas às contas de teste e Prod para as regras associadas às contas de produção e UOs.
Ao definir e atribuir tags aos recursos do AWS Security Hub, lembre-se do seguinte:
-
Cada recurso pode ter um máximo de 50 tags.
-
Em todos os recurso, cada chave de tag precisa ser exclusiva e ter apenas um valor de tag.
-
As chaves e valores das tags diferenciam maiúsculas de minúsculas. Recomendamos definir uma estratégia para letras maiúsculas em tags e implementá-la de forma consistente em todos os recursos.
-
Uma chave de tag pode ter no máximo 128 caracteres UTF-8. Um valor de tag pode ter no máximo 256 caracteres UTF-8. Os caracteres podem ser letras, números, espaços ou os seguintes símbolos: _ . : / = + - @
-
O prefixo aws: é reservado para uso da AWS. Não é possível usá-lo em nenhuma chave ou valor de tag definido por você. Você também não pode editar ou remover chaves ou valores de tag que usam esse prefixo. As tags que usam esse prefixo não adicionam à cota de 50 tags por recurso.
-
Todas as tags que você atribuir estão disponíveis somente para sua Conta da AWS e somente no(a) Região da AWS em que você as atribui.
-
Se você atribuir tags a um recurso usando o Security Hub, as tags serão aplicadas somente ao recurso que está armazenado diretamente no Security Hub no(a) Região da AWS aplicável. Eles não são aplicados a nenhum recurso de suporte associado que o Security Hub cria, usa ou mantém para você em outros Serviços da AWS. Por exemplo, se você atribuir tags a uma regra de automação que atualiza descobertas relacionadas ao Amazon Simple Storage Service (Amazon S3), as tags são aplicadas somente à sua regra de automação no Security Hub para a região especificada. Elas não são aplicadas aos seus buckets do S3. Para também atribuir tags a um recurso associado, é possível usar AWS Resource Groups ou AWS service (Serviço da AWS) que armazena o recurso, por exemplo, Amazon S3 para um bucket do S3. A atribuição de tags aos recursos associados pode ajudar você a identificar recursos de suporte para seus recursos do Security Hub.
-
Se você excluir um recurso, quaisquer tags atribuídas ao recurso também serão excluídas.
Não armazene dados confidenciais ou outros tipos de dados sigilosos em tags. Muitos Serviços da AWS conseguem acessar as tags, incluindo AWS Billing and Cost Management. As tags não devem ser usadas para dados confidenciais.
Para adicionar e gerenciar tags para recursos do Security Hub, é possível usar o console do Security Hub, a API do Security Hub ou a API de aplicação de tags do AWS Resource Groups. Com o Security Hub é possível adicionar tags aos recursos ao criá-los. Você também pode adicionar e gerenciar tags para recursos individuais existentes. Com o Resource Groups é possível adicionar e gerenciar tags em lote para vários recursos existentes, abrangendo vários Serviços da AWS, incluindo o Security Hub.
Para obter dicas sobre a aplicação de tags e práticas recomendadas, consulte Aplicação de tags nos seus recursos da AWS no Guia do usuário da aplicação de tags a recursos da AWS.
Depois de começar a colocar tags em recursos, defina permissões baseadas em tags a nível de recurso nas políticas AWS Identity and Access Management (IAM). Usando os tags dessa forma, é possível implementar um controle granular de quais usuários e funções em sua conta da Conta da AWS têm permissão para criar e marcar recursos, e quais usuários e funções têm permissão para criar, editar e remover tags de maneira mais geral. Para controlar o acesso com base em tags, é possível usar chaves de condição relacionadas à tag no elemento Condição das políticas do IAM.
Por exemplo, é possível criar uma política do IAM que permita que um usuário tenha acesso completo a todos os recursos do AWS Security Hub, se a tag Owner para o recurso especificar seu nome de usuário:
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ModifyResourceIfOwner",
"Effect": "Allow",
"Action": "securityhub:*",
"Resource": "*",
"Condition": {
"StringEqualsIgnoreCase": {"aws:ResourceTag/Owner": "${aws:username}"}
}
}
]
}
Se você definir permissões em nível de recurso e baseadas em tag, elas entrarão em vigor imediatamente. Isso significa que seus recursos ficam mais seguros assim que são criados, e que é possível começar a aplicar rapidamente o uso de tags em novos recursos. Também é possível usar permissões em nível de recurso para controlar quais valores e chaves de tag podem ser associados a recursos novos e existentes. Para obter mais informações, consulte Controlar o acesso aos recursos da AWS usando tags no Guia do usuário do IAM.
Para adicionar tags a um recurso individual do AWS Security Hub, é possível usar o console ou a API do Security Hub. O console não aceita a adição de tags ao recurso Hub.
Para adicionar tags a vários recursos do Security Hub ao mesmo tempo, use as operações de tag da API de aplicação de tags do AWS Resource Groups.
Adicionar tags a um recurso pode afetar o acesso a ele. Antes de adicionar uma tag a um recurso, revise todas as políticas do AWS Identity and Access Management (IAM) que possam usar tags para controlar o acesso aos recursos.
- Console
-
Para adicionar uma tag a um recurso
Quando você cria uma regra de automação ou uma política de configuração, o console do Security Hub fornece opções para adicionar tags a ela. É possível fornecer a chave de tag e o valor da tag na seção Tags.
- Security Hub API & AWS CLI
-
Para adicionar uma tag a um recurso
Para criar um recurso e adicionar uma ou mais tags a ele programaticamente, use a operação apropriada para o tipo de recurso que você deseja criar:
Em sua solicitação, use o parâmetro tags para especificar a chave da tag e o valor opcional da tag para cada tag a ser adicionada ao recurso. O parâmetro tags especifica uma matriz de objetos. Cada objeto especifica uma chave de tag e seu valor de tag associado.
Para adicionar uma ou mais tags a um recurso existente, use a operação TagResource da API do Security Hub ou, se estiver usando a AWS CLI, execute o comando tag-resource. Em sua solicitação, especifique o nome do recurso da Amazon (ARN) do recurso ao qual você deseja adicionar uma tag. Use o parâmetro tags para especificar a chave da tag (key) e o valor opcional da tag (value) para cada tag a ser adicionada. O parâmetro tags especifica uma matriz de objetos, um objeto para cada chave de tag e seu valor de tag associado.
Por exemplo, o comando AWS CLI a seguir adiciona uma chave de tag Environment com um valor de tag Prod à política de configuração especificada. Este exemplo está formatado para Linux, macOS ou Unix e usa o caractere de continuação de linha “barra invertida (\)” para melhorar a legibilidade.
Exemplo de comando da CLI:
$ aws securityhub tag-resource \
--resource-arn arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 \
--tags key=Environment,value=Prod
Em que:
-
resource-arn especifica o ARN da política de configuração à qual adicionar uma tag.
-
Environment
-
ProdEnvironment
No exemplo a seguir, o comando adiciona várias tags à política de configuração.
$ aws securityhub tag-resource \
--resource-arn arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 \
--tags key=Environment,value=Prod key=CostCenter,value=12345 key=Owner,value=jane-doe
Para cada objeto em uma matriz tags, os argumentos key e value são obrigatórios. Entretanto, o valor do argumento value pode ser uma string vazia. Se você não quiser associar um valor a uma chave, não especifique um valor para o argumento value. Por exemplo, o comando a seguir adiciona uma chave de tag Owner sem valor de tag associado:
$ aws securityhub tag-resource \
--resource-arn arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 \
--tags key=Owner,value=
Se uma operação de atribuição de tag for bem-sucedida, o Security Hub dará uma resposta HTTP 200 vazia. Caso contrário, o Security Hub dará uma resposta HTTP 4 xx ou 500 que indica por que a operação falhou.
É possível revisar as tags (tanto chaves de tag quanto valores de tag) de uma regra de automação ou política de configuração do Security Hub usando o console do Security Hub ou a API do Security Hub. O console não aceita a revisão de tags para o recurso Hub.
Para revisar tags de vários recursos do Security Hub ao mesmo tempo, use as operações de tag da API de aplicação de tags do AWS Resource Groups.
- Console
-
Para revisar as tags de um recurso
Usando as credenciais do administrador do Security Hub, abra o console do AWS Security Hub em https://console.aws.amazon.com/securityhub/.
-
Realize uma das seguintes ações, dependendo do tipo de recurso que vai receber a tag:
Para revisar as tags de uma regra de automação, escolha Automações no painel de navegação. Em seguida, escolha uma regra de automação.
Para revisar as tags de uma política de configuração, escolha Configuração no painel de navegação. Em seguida, na guia Políticas, selecione a opção ao lado de uma política de configuração. Um painel lateral se abrirá, mostrando o número de tags atribuídas à política. É possível expandir o cabeçalho Tags para ver as chaves e os valores das tags.
A seção Tags lista todas as tags atribuídas ao recurso atualmente.
- Security Hub API & AWS CLI
-
Para revisar as tags de um recurso
Para recuperar e revisar as tags de um recurso existente, invoque a API ListTagsForResource. Em sua solicitação, use o parâmetro resourceArn para especificar o nome do recurso da Amazon (ARN) do recurso.
Se você estiver usando a AWS CLI, execute o comando list-tags-for-resource e use o parâmetro resource-arn para especificar o ARN do recurso. Por exemplo:
$ aws securityhub list-tags-for-resource --resource-arn arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111
Se a operação ocorrer com êxito, o Security Hub dará uma matriz tags. Cada objeto na matriz especifica uma tag (tanto a chave de tag quanto o valor da tag) que está atualmente atribuída ao recurso. Por exemplo:
{
"tags": [
{
"key": "Environment",
"value": "Prod"
},
{
"key": "CostCenter",
"value": "12345"
},
{
"key": "Owner",
"value": ""
}
]
}
Onde Environment, CostCenter e Owner são as chaves de tag atribuídas ao recurso. Prod é o valor da tag associado à chave da tag Environment. 12345 é o valor da tag associado à chave da tag CostCenter. A chave de tag Owner não tem nenhum valor associado.
Para exibir uma lista de todos os recursos do Security Hub que possuam tags, e todas as tags que estejam associadas a cada um desses recursos, use a operação GetResources da API Tags do AWS Resource Groups. Na sua solicitação, defina o valor do parâmetro ResourceTypeFilters como securityhub. Para fazer isso usando o AWS CLI, execute o comando get-resources e defina o valor do parâmetro resource-type-filters como securityhub. Por exemplo:
$ aws resourcegroupstaggingapi get-resources -\-resource-type-filters "securityhub"
Se a operação obtiver êxito, o Resource Groups retornará uma matriz ResourceTagMappingList. A matriz contém um objeto para cada recurso do Security Hub que contenha tags. Cada objeto especifica o ARN de um recurso do Security Hub e as chaves e valores de tag atribuídos ao recurso.
Para editar as tags (chaves de tag ou valores de tag) de um recurso do AWS Security Hub, é possível usar a API do Security Hub. Atualmente, o console do Security Hub não é compatível com a edição de tags.
Para editar tags de vários recursos do Security Hub ao mesmo tempo, use as operações de tag da API de aplicação de tags do AWS Resource Groups.
Editar as tags de um recurso pode afetar o acesso a ele. Antes de editar a chave ou o valor de uma tag para um recurso, revise todas as políticas do AWS Identity and Access Management (IAM) que possam usar a tag para controlar o acesso aos recursos.
- Security Hub API & AWS CLI
-
Para editar as tags de um recurso
Ao editar uma tag para um recurso programaticamente, você substitui a tag existente por novos valores. Portanto, a melhor maneira de editar uma tag depende se você deseja editar uma chave, um valor ou ambos. Para editar uma chave de tag, remova a tag atual e adicione uma nova tag.
Para editar ou remover somente o valor da tag associado a uma chave de tag, substitua o valor existente usando a operação TagResource da API do Security Hub. Se você estiver usando a AWS CLI, execute o comando tag-resource. Em sua solicitação, especifique o nome do recurso da Amazon (ARN) do recurso cujo valor de tag deseja editar ou remover.
Para editar um valor de tag, use o parâmetro tags para especificar a chave de tag cujo valor de tag você deseja alterar. Você também deve especificar o novo valor da tag para a chave. Por exemplo, o comando da AWS CLI a seguir altera o valor da tag de Prod para Test da chave de tag Environment que é atribuída à regra de automação especificada: Este exemplo está formatado para Linux, macOS ou Unix e usa o caractere de continuação de linha de barra invertida (\) para melhorar a legibilidade.
$ aws securityhub tag-resource \
--resource-arn arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 \
--tags key=Environment,value=Test
Em que:
-
O resource-arn especifica o ARN da política de configuração.
-
Environment
-
TestEnvironment
Para remover um valor de uma chave, não especifique um valor para o argumento value da chave no parâmetro tags. Por exemplo:
$ aws securityhub tag-resource \
--resource-arn arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 \
--tags key=Owner,value=
Se a operação for bem-sucedida, o Security Hub retornará uma resposta HTTP 200 vazia. Caso contrário, o Security Hub dará uma resposta HTTP 4 xx ou 500 que indica por que a operação falhou.
Para remover tags de um recurso do AWS Security Hub, é possível usar a API Security Hub. Atualmente, o console do Security Hub não é compatível com a remoção de tags.
Para remover tags de vários recursos do Security Hub ao mesmo tempo, use as operações de tag da API de aplicação de tags do AWS Resource Groups.
Remover tags de um recurso pode afetar o acesso a ele. Antes de remover uma tag, revise todas as políticas do AWS Identity and Access Management (IAM) que possam usar a tag para controlar o acesso aos recursos.
- Security Hub API & AWS CLI
-
Como remover as tags de um recurso
Para remover uma ou mais tags de um recurso de forma programática, use a operação UntagResource da API do Security Hub. Em sua solicitação, use o parâmetro resourceArn para especificar o nome do recurso da Amazon (ARN) do recurso para remover uma tag. Use o parâmetro tagKeys para especificar a chave da tag a ser removida. Para remover várias tags, anexe o parâmetro tagKeys e o argumento de cada tag a ser removida, separados por (&) — por exemplo, tagKeys=key1&tagKeys=key2. Para remover somente um valor de tag específico (não uma chave de tag) de um recurso, edite a tag em vez de removê-la.
Se você estiver usando a AWS CLI, execute o comando untag-resource para remover uma ou mais tags de um recurso. Para o parâmetro resource-arn, especifique o ARN do recurso do qual remover uma tag. Use o parâmetro tag-keys para especificar a chave da tag a ser removida. Por exemplo, o comando a seguir remove a tag Environment (tanto a chave quanto o valor da tag) da política de configuração especificada:
$ aws securityhub untag-resource \
--resource-arn arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 \
--tag-keys Environment
Onde resource-arn especifica o ARN da política de configuração da qual remover uma tag e Environment
Para remover várias tags de um recurso, acrescente cada chave adicional como argumento para o parâmetro tag-keys. Por exemplo:
$ aws securityhub untag-resource \
--resource-arn arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 \
--tag-keys Environment Owner
Se a operação for bem-sucedida, o Security Hub retornará uma resposta HTTP 200 vazia. Caso contrário, o Security Hub dará uma resposta HTTP 4 xx ou 500 que indica por que a operação falhou.
