標記 Amazon 安全湖資源 - Amazon Security Lake
標記基本面在 IAM 政策中使用標籤將標籤新增至資源檢閱資源的標籤編輯資源的標籤移除資源的標籤

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

標記 Amazon 安全湖資源

是可選的標籤,您可以定義並指派給 AWS 資源,包括特定類型的 Amazon Security Lake 資源。標籤可協助您以不同的方式識別、分類及管理資源,例如依用途、擁有者、環境或其他條件。例如,您可以使用標籤來套用原則、分配成本、區分資源,或識別支援特定合規性需求或工作流程的資源。

您可以將標籤指派給下列類型的 Security Lake 資源:訂閱者,以及個別 AWS 帳戶 的資料湖組態 AWS 區域。

標記基本面

資源最多可以擁有 50 個標籤。每個標籤皆包含由您定義的必要「標籤金鑰」與選用「標籤值」。標籤關鍵字是一般標示,可做為更特定標籤值的品類。標籤值是標籤金鑰的描述項。

例如,如果您新增訂閱者以分析來自不同環境的安全性資料 (一組雲端資料的訂閱者,另一組用於內部部署資料),則可以將Environment標籤金鑰指派給這些訂閱者。關聯的標籤值可能Cloud適用於分析來源資料的訂閱者 AWS services,以及其他On-Premises用戶。

當您定義和指派標籤給 Amazon 安全湖資源時,請牢記下列事項:

  • 每個資源的上限為 50 個標籤。

  • 對於每個資源,每個標籤鍵必須是唯一的,並且只能有一個標籤值。

  • 標籤鍵與值皆區分大小寫。最佳做法是,我們建議您定義策略,以便將標籤資本化,並在資源中一致地實作該策略。

  • 一個標籤鍵最多可包含 128 個 UTF-8 字元。一個標籤值最多可包含 256 個 UTF-8 字元。字符可以是字母,數字,空格或以下符號:_。:/= +-@

  • aws:綴保留供使用 AWS。您不能在您定義的任何標籤鍵或值中使用它。此外,您無法變更或移除使用此前置詞的標籤鍵或值。使用此字首的標籤不會計入每個資源 50 個標籤的配額。

  • 您指派的任何標籤僅適用於您的標籤, AWS 帳戶 且僅適用於您指派標籤的標籤。 AWS 區域

  • 如果您使用 Security Lake 將標籤指派給資源,標籤只會套用至直接儲存在適用的 Security Lake 中的資源 AWS 區域。這些資源不會套用至 Security Lake 在其他地方為您建立、使用或維護的任何相關支援資源 AWS services。例如,如果您將標籤指派給資料湖,則標籤僅會套用至指定區域的 Security Lake 中的資料湖組態。它們不適用於存放日誌和事件資料的 Amazon 簡易儲存服務 (Amazon S3) 儲存貯體。若要將標籤指派給關聯的資源,您可以使用 AWS Resource Groups 或存放資源 AWS service 的標籤,例如 Amazon S3 用於 S3 儲存貯體。將標籤指派給關聯資源可協助您識別資料湖的支援資源。

  • 如果刪除資源,也會刪除指定給該資源的任何標籤。

有關其他限制、提示和最佳做法,請參閱標記資 AWS 源使用指南中的標記 AWS 資源

重要

請勿在標籤中儲存機密或其他類型的敏感資料。標籤可以從許多人訪問 AWS services,包括 AWS Billing and Cost Management。它們不打算用於敏感數據。

若要新增和管理安全湖資源的標籤,您可以使用安全湖主控台或安全湖 API。

在 IAM 政策中使用標籤

開始標記資源後,您可以在 AWS Identity and Access Management (IAM) 政策中定義以標籤為基礎的資源層級許可。透過這種方式使用標籤,您可以對您中的哪些使用者和角色 AWS 帳戶 有權建立和標記資源,以及哪些使用者和角色有權更一般地新增、編輯和移除標籤。若要根據標籤控制存取,您可以在 IAM 政策的「條件」元素中使用與標籤相關的條件金鑰。

例如,如果資源的Owner標籤指定了使用者名稱,您可以建立一個政策,允許使用者完全存取所有 Amazon Security Lake 資源:

{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "ModifyResourceIfOwner",
            "Effect": "Allow",
            "Action": "securitylake:*",
            "Resource": "*",
            "Condition": {
                "StringEqualsIgnoreCase": {"aws:ResourceTag/Owner": "${aws:username}"}
            }
        }
    ]
}

如果您定義標籤型、資源層級許可,則許可會立即生效。這表示您的資源一旦建立就會更安全,而且您可以快速開始強制使用新資源的標籤。您也可以使用資源層級許可,以控制哪些標籤金鑰和值可以與新的和現有的資源相關聯。如需詳細資訊,請參閱 IAM 使用者指南中的使用標籤控制 AWS 資源的存取。

將標籤新增至 Amazon 安全湖資源

若要將標籤新增至 Amazon 安全湖資源,您可以使用安全湖主控台或安全湖 API。

重要

將標籤新增至資源可能會影響資源的存取。在將標籤新增至資源之前,請先檢閱任何可能使用標籤來控制資源存取的 AWS Identity and Access Management (IAM) 政策。

Console

當您為某個訂閱者啟用 Security Lake AWS 區域 或建立訂閱者時,Security Lake 主控台會提供新增標籤至資源的選項,也就是區域或訂閱者的資料湖組態。建立資源時,請遵循主控台上的指示,將標籤新增至資源。

若要使用 Security Lake 主控台將一或多個標籤新增至現有資源,請依照下列步驟執行。

將標籤加入資源

  1. 開啟安全湖主控台,網址為 https://console.aws.amazon.com/securitylake/

  2. 根據您要新增標籤的資源類型,執行下列其中一個動作:

    • 對於資料湖組態,請在導覽窗格中選擇 [區域]。然後,在「區」表中,選取「區域」。

    • 對于訂戶,請在導航窗格中選擇「訂戶」。然後,在「我的訂閱者」表格中,選取訂閱者。

      如果訂閱者未出現在表格中,請使用頁面右上角的選取 AWS 區域 器來選取您建立訂閱者的地區。此表格僅列出目前區域的現有訂閱者。

  3. 選擇編輯

  4. 展開 Tags (標籤) 區段。此區段列出目前指定給資源的所有標籤。

  5. 標籤 區域,選擇 新增

  6. 在 [金鑰] 方塊中,輸入要新增至資源之標籤的標籤金鑰。然後,在「」方塊中,選擇性地輸入鍵的標籤值。

    標籤金鑰最多可包含 128 個字元。標籤值最多可包含 256 個字元。字符可以是字母,數字,空格或以下符號:_。:/= +-@

  7. 若要將其他標籤新增至資源,請選擇 [新增標籤],然後重複上述步驟。您最多可以為資源指派 50 個標籤。

  8. 完成新增標籤後,請選擇 [儲存]。

API

若要建立資源並以程式設計方式為其新增一或多個標籤,請針對您要建立的資源類型使用適當的Create作業:

  • 資料湖配置 — 使用CreateDataLake作業,或者,如果您使用的是 AWS Command Line Interface (AWS CLI),則執行create-data-lake命令。

  • 訂閱者 — 使用CreateSubscriber作業,或者,如果您正在使用 AWS CLI,則執行建立訂閱者命令。

在您的請求中,使用tags參數來為每個要新增至資源的標籤指定標籤鍵 (keyvalue) 和可選標籤值 ()。該tags參數指定對象的數組。每個物件都會指定一個標籤鍵及其相關聯的標籤值。

若要將一或多個標籤新增至現有資源,請使用安全湖 API 的TagResource作業,或者,如果您使用的是 AWS CLI,請執行標籤資源命令。在您的請求中,指定要新增標籤的資源的 Amazon 資源名稱 (ARN)。使用tags參數可為要加入的每個標籤指定標籤鍵 (keyvalue) 和可選標籤值 ()。與Create操作和命令的情況一樣,該tags參數指定對象的數組,每個標籤鍵及其相關聯的標籤值一個對象。

例如,下列 AWS CLI 命令會將含有Environment標籤值的標籤索引鍵新增至指定的訂閱者。Cloud此範例已針對 Linux、macOS 或 Unix 格式化,並使用反斜線 (\) 行接續字元來改善可讀性。

$ aws securitylake tag-resource \
--resource-arn arn:aws:securitylake:us-east-1:123456789012:subscriber/1234abcd-12ab-34cd-56ef-1234567890ab \
--tags key=Environment,value=Cloud

其中:

  • resource-arn指定要新增標籤的訂戶的 ARN。

  • Environment是要新增至訂閱者之標籤的標籤索引鍵。

  • Cloud是指定標籤鍵的標籤值 (Environment)。

在下列範例中,命令會將數個標籤新增至訂閱者。

$ aws securitylake tag-resource \
--resource-arn arn:aws:securitylake:us-east-1:123456789012:subscriber/1234abcd-12ab-34cd-56ef-1234567890ab \
--tags key=Environment,value=Cloud key=CostCenter,value=12345 key=Owner,value=jane-doe

對於tags陣列中的每個物件,key和引value數都是必需的。不過,value引數的值可以是空字串。如果您不想將標籤值與標籤鍵建立關聯,請不要指定value引數的值。例如,下列命令會加入沒有關聯Owner標籤值的標籤鍵:

$ aws securitylake tag-resource \
--resource-arn arn:aws:securitylake:us-east-1:123456789012:subscriber/1234abcd-12ab-34cd-56ef-1234567890ab \
--tags key=Owner,value=

如果標記作業成功,安全湖會傳回空的 HTTP 200 回應。否則,安全湖會傳回 HTTP 4 xx 或 500 回應,指出作業失敗的原因。

查看 Amazon 安全湖資源的標籤

您可以使用安全湖主控台或安全湖 API,檢閱 Amazon 安全湖資源的標籤 (標籤金鑰和標籤值)。

Console

請依照下列步驟,使用 Security Lake 主控台檢閱資源的標籤。

若要檢閱資源的標籤

  1. 開啟安全湖主控台,網址為 https://console.aws.amazon.com/securitylake/

  2. 根據您要檢閱其標籤的資源類型,執行下列其中一項作業:

    • 對於資料湖組態,請在導覽窗格中選擇 [區域]。在「區」表格中,選取「區域」,然後選擇「編輯」。然後展開標部分。

    • 對于訂戶,請在導航窗格中選擇「訂戶」。然後,在「我的訂閱者」表格中,選擇訂閱者的名稱。

      如果訂閱者未出現在表格中,請使用頁面右上角的選取 AWS 區域 器來選取您建立訂閱者的地區。此表格僅列出目前區域的現有訂閱者。

標籤」區段會列出目前指定給資源的所有標籤。

API

若要以程式設計方式擷取和檢閱現有資源的標籤,請使用 Security Lake API 的ListTagsForResource作業。在您的請求中,使用resourceArn參數來指定資源的 Amazon 資源名稱 (ARN)。

如果您使用的是 AWS Command Line Interface (AWS CLI),請執行list-tags-for-resource命令並使用resource-arn參數來指定資源的 ARN。例如:

$ aws securitylake list-tags-for-resource --resource-arn arn:aws:securitylake:us-east-1:123456789012:subscriber/1234abcd-12ab-34cd-56ef-1234567890ab

在前面的例子中,ARN:AW:安全湖:美國東部-1:123456789012:訂閱者/1234 英寸 -34AB-56EF-12345 67890ab 是一個現有的用戶的 ARN。

如果操作成功,安全湖返回一個tags數組。陣列中的每個物件都會指定目前指派給資源的標籤 (標籤鍵和標籤值)。例如:

{
    "tags": [
        {
            "key": "Environment",
            "value": "Cloud"
        },
        {
            "key": "CostCenter",
            "value": "12345"
        },
        {
            "key": "Owner",
            "value": ""
        }
    ]
}

其中EnvironmentCostCenter、和Owner是指派給資源的標籤鍵。 Cloud是與標籤鍵相關聯的標Environment籤值。 12345是與標籤鍵相關聯的標CostCenter籤值。標Owner籤鍵沒有關聯的標籤值。

編輯 Amazon 安全湖資源的標籤

若要編輯 Amazon 安全湖資源的標籤 (標記金鑰或標籤值),您可以使用安全湖主控台或安全湖 API。

重要

編輯資源的標籤可能會影響資源的存取。在編輯資源的標籤金鑰或值之前,請先檢閱任何可能使用標籤來控制資源存取權的 AWS Identity and Access Management (IAM) 政策。

Console

請依照下列步驟,使用 Security Lake 主控台編輯資源的標籤。

若要編輯資源的標籤

  1. 開啟安全湖主控台,網址為 https://console.aws.amazon.com/securitylake/

  2. 根據您要編輯其標籤的資源類型,執行下列其中一項作業:

    • 對於資料湖組態,請在導覽窗格中選擇 [區域]。然後,在「區」表中,選取「區域」。

    • 對于訂戶,請在導航窗格中選擇「訂戶」。然後,在「我的訂閱者」表格中,選取訂閱者。

      如果訂閱者未出現在表格中,請使用頁面右上角的選取 AWS 區域 器來選取您建立訂閱者的地區。此表格僅列出目前區域的現有訂閱者。

  3. 選擇編輯

  4. 展開 Tags (標籤) 區段。「標籤」區段會列出目前指定給資源的所有標籤。

  5. 執行下列任何一項:

    • 若要將標籤值加入至現有的標籤關鍵字,請在標籤關鍵字旁的「」方塊中輸入值。

    • 若要變更現有的標籤關鍵字,請選擇標籤旁邊的「移除」。然後選擇「新增標籤」。在出現的「關鍵字」方塊中,輸入新的標籤關鍵字。選擇性地在「值」方塊中輸入關聯的標籤

    • 若要變更現有標籤值,請在包含該值的「」方塊中選擇「X」。然後在「值」方塊中輸入新標籤

    • 若要移除現有的標籤值,請在包含該值的「」方塊中選擇「X」。

    • 若要移除現有標籤 (包括標籤鍵值和標籤值),請選擇標籤旁邊的「移除」。

    資源最多可以擁有 50 個標籤。標籤金鑰最多可包含 128 個字元。標籤值最多可包含 256 個字元。字符可以是字母,數字,空格或以下符號:_。:/= +-@

  6. 編輯完標籤後,請選擇 [儲存]。

API

當您以程式設計方式編輯資源的標籤時,您可以使用新值覆寫現有標籤。因此,編輯標籤的最佳方式取決於您要編輯標籤關鍵字、標籤值還是兩者。若要編輯標籤關鍵字,請移除目前的標籤新增標籤

若只要編輯或移除與標籤金鑰相關聯的標籤值,請使用 Security Lake API 的TagResource作業覆寫現有值。如果您使用的是 AWS Command Line Interface (AWS CLI),請運行標籤資源命令。在您的請求中,指定您要編輯或移除其標籤值的資源的 Amazon 資源名稱 (ARN)。

若要編輯標籤值,請使用tags參數來指定要變更其標籤值的標籤鍵。同時指定鍵的新標籤值。例如,下列 AWS CLI 命令會Cloud將指派給指定訂閱者之Environment標籤索引鍵的標籤值從變更On-Premises為。此範例已針對 Linux、macOS 或 Unix 格式化,並使用反斜線 (\) 行接續字元來改善可讀性。

$ aws securitylake tag-resource \
--resource-arn arn:aws:securitylake:us-east-1:123456789012:subscriber/1234abcd-12ab-34cd-56ef-1234567890ab \
--tags key=Environment,value=On-Premises

其中:

  • resource-arn指定訂戶的 ARN。

  • Environment是與要變更的標籤值相關聯的標籤鍵。

  • On-Premises是指定標籤鍵的新標籤值 (Environment)。

若要從標籤鍵移除標籤值,請勿為參數中索value引鍵的引tags數指定值。例如:

$ aws securitylake tag-resource \
--resource-arn arn:aws:securitylake:us-east-1:123456789012:subscriber/1234abcd-12ab-34cd-56ef-1234567890ab \
--tags key=Owner,value=

如果作業成功,安全湖會傳回空的 HTTP 200 回應。否則,安全湖會傳回 HTTP 4 xx 或 500 回應,指出作業失敗的原因。

從 Amazon 安全湖資源中刪除標籤

若要從 Amazon 安全湖資源移除標籤,您可以使用安全湖主控台或安全湖 API。

重要

從資源中移除標籤可能會影響對資源的存取。移除標籤之前,請先檢閱任何可能使用標籤控制資源存取權的 AWS Identity and Access Management (IAM) 政策。

Console

請依照下列步驟,使用 Security Lake 主控台移除資源中的一或多個標籤。

若要從資源中移除標籤

  1. 開啟安全湖主控台,網址為 https://console.aws.amazon.com/securitylake/

  2. 根據您要從中移除標籤的資源類型,執行下列其中一個動作:

    • 對於資料湖組態,請在導覽窗格中選擇 [區域]。然後,在「區」表中,選取「區域」。

    • 對于訂戶,請在導航窗格中選擇「訂戶」。然後,在「我的訂閱者」表格中,選取訂閱者。

      如果訂閱者未出現在表格中,請使用頁面右上角的選取 AWS 區域 器來選取您建立訂閱者的地區。此表格僅列出目前區域的現有訂閱者。

  3. 選擇編輯

  4. 展開 Tags (標籤) 區段。「標籤」區段會列出目前指定給資源的所有標籤。

  5. 執行下列任何一項:

    • 若只要移除標籤的標籤值,請在包含要移除的值的「值」方塊中選擇「X」。

    • 若要同時移除標籤的標籤鍵和標籤值 (以配對形式),請選擇要移除的標籤旁邊的「移除」。

  6. 若要從資源中移除其他標籤,請針對每個要移除的其他標籤重複上述步驟。

  7. 完成移除標籤後,請選擇 [儲存]。

API

若要以程式設計方式從資源中移除一或多個標籤,請使用 Security Lake API 的UntagResource作業。在您的請求中,使用resourceArn參數指定要從中移除標籤的資源的 Amazon 資源名稱 (ARN)。使用tagKeys參數指定要移除之標籤的標籤鍵。若要移除多個標籤,請為每個要移除的標籤附加tagKeys參數和引數,並以 & 符號分隔,例如。tagKeys=key1&tagKeys=key2若只要從資源中移除特定標籤值 (而非標籤鍵),請編輯標籤,而不要移除標籤。

如果您使用的是 AWS Command Line Interface (AWS CLI),請執行 untag-resource 命令以從資源中移除一或多個標籤。對於resource-arn參數,請指定要從中移除標籤的資源 ARN。使用tag-keys參數指定要移除之標籤的標籤鍵。例如,下列命令會從指定的訂閱者移除標Environment籤 (標籤索引鍵和標籤值):

$ aws securitylake untag-resource \
--resource-arn arn:aws:securitylake:us-east-1:123456789012:subscriber/1234abcd-12ab-34cd-56ef-1234567890ab \
--tag-keys Environment

其中resource-arn指定要從中刪除標籤的用戶的 ARN,並且Environment是要刪除的標籤的標籤鍵。

要從資源中刪除多個標籤,請添加每個額外的標籤鍵作為tag-keys參數的引數。例如:

$ aws securitylake untag-resource \
--resource-arn arn:aws:securitylake:us-east-1:123456789012:subscriber/1234abcd-12ab-34cd-56ef-1234567890ab \
--tag-keys Environment Owner

如果作業成功,安全湖會傳回空的 HTTP 200 回應。否則,安全湖會傳回 HTTP 4 xx 或 500 回應,指出作業失敗的原因。