本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
標記 AWS Security Hub 資源
標籤是可選的標籤,您可以定義並指派給AWS資源,包括特定類型的 AWS Security Hub 資源。標籤可協助您以不同的方式識別、分類及管理資源,例如依用途、擁有者、環境或其他條件。例如,您可以使用標籤來區分資源、識別支援特定合規性需求或工作流程的資源,或分配成本。
您可以將標籤指派給下列類型的 Security Hub 資源:自動化規則、組態原則和Hub資源。
資源最多可以擁有 50 個標籤。每個標籤皆包含由您定義的必要「標籤金鑰」與選用「標籤值」。標籤關鍵字是一般標示,可做為更特定標籤值的品類。標籤值是標籤金鑰的描述項。
例如,如果您為不同的環境建立不同的自動化規則 (測試帳戶的一組自動化規則,另一組用於生產帳戶),則可以為這些規則指派Environment標籤金鑰。關聯的標籤值可能Test適用於與測試帳戶相關聯的規則,以及Prod與生產帳戶和 OU 相關聯的規則。
當您定義和指派標籤給 AWS Security Hub 資源時,請記住下列事項:
-
每個資源的上限為 50 個標籤。
-
對於每個資源,每個標籤鍵必須是唯一的,並且只能有一個標籤值。
-
標籤鍵與值皆區分大小寫。最佳做法是,我們建議您定義策略,以便將標籤資本化,並在資源中一致地實作該策略。
-
一個標籤鍵最多可包含 128 個 UTF-8 字元。一個標籤值最多可包含 256 個 UTF-8 字元。字符可以是字母,數字,空格或以下符號:_。:/= +-@
-
前aws:綴保留供使用AWS。您不能在您定義的任何標籤鍵或值中使用它。此外,您無法變更或移除使用此前置詞的標籤鍵或值。使用此字首的標籤不會計入每個資源 50 個標籤的配額。
-
您指派的任何標籤僅適用於您的標籤,AWS 帳戶且僅適用於您指派標籤的標籤。AWS 區域
-
如果您使用 Security Hub 將標籤指派給資源,標籤只會套用至直接儲存在適用 Security Hub 中的資源AWS 區域。這些資源不會套用到 Security Hub 為您建立、使用或維護在其他方面的任何相關聯、支援資源AWS 服務。例如,如果您將標籤指派給自動化規則,該規則會更新與 Amazon Simple Storage Service (Amazon S3) 相關的發現項目,則標籤只會套用至指定區域的 Security Hub 中的自動化規則。它們不適用於您的 S3 存儲桶。若要將標籤指派給關聯的資源,您可以使用AWS Resource Groups或存放資源AWS 服務的標籤,例如 Amazon S3 用於 S3 儲存貯體。將標籤指派給相關聯的資源可協助您識別 Security Hub 資源的支援資源。
-
如果刪除資源,也會刪除指定給資源的任何標籤。
請勿在標籤中儲存機密或其他類型的敏感資料。標籤可以從許多人訪問AWS 服務,包括AWS Billing and Cost Management。它們不打算用於敏感數據。
若要新增和管理 Security Hub 資源的標籤,您可以使用 Security Hub 主控台、Security Hub API 或標AWS Resource Groups記 API。使用 Security Hub,您可以在建立資源時將標籤新增至資源。您也可以新增和管理個別現有資源的標籤。使用 Resource Groups,您可以為跨越多AWS 服務個現有資源 (包括 Security Hub) 的大量新增和管理標籤。
有關其他標記提示和最佳做法,請參閱標記資AWS源使用指南中的標記AWS資源。
開始標記資源後,您可以在 AWS Identity and Access Management (IAM) 政策中定義以標籤為基礎的資源層級許可。透過這種方式使用標籤,您可以對您中的哪些使用者和角色AWS 帳戶有權建立和標記資源,以及哪些使用者和角色有權更一般地新增、編輯和移除標籤。若要根據標籤控制存取,您可以在 IAM 政策的「條件」元素中使用與標籤相關的條件金鑰。
例如,如果資源的Owner標籤指定了使用者名稱,您可以建立 IAM 政策,讓使用者能夠完整存取所有 AWS Security Hub 資源:
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ModifyResourceIfOwner",
"Effect": "Allow",
"Action": "securityhub:*",
"Resource": "*",
"Condition": {
"StringEqualsIgnoreCase": {"aws:ResourceTag/Owner": "${aws:username}"}
}
}
]
}
如果您定義標籤型、資源層級許可,則許可會立即生效。這表示您的資源一旦建立就會更安全,而且您可以快速開始強制使用新資源的標籤。您也可以使用資源層級許可,以控制哪些標籤金鑰和值可以與新的和現有的資源相關聯。如需詳細資訊,請參閱 IAM 使用者指南中的使用標籤控制對 AWS 資源的存取。
若要將標籤新增至個別 AWS Security Hub 資源,您可以使用 Security Hub 主控台或 Security Hub API。控制台不支持向Hub資源添加標籤。
若要同時將標籤新增至多個 Security Hub 資源,請使用標記 API 的AWS Resource Groups標記作業。
將標籤新增至資源可能會影響資源的存取。在將標籤新增至資源之前,請先檢閱任何可能使用標籤來控制資源存取的 AWS Identity and Access Management (IAM) 政策。
- Console
-
將標籤加入資源
當您建立自動化規則或組態原則時,Security Hub 主控台會提供新增標籤的選項。您可以在「標籤」區段中提供標籤鍵和標籤值。
- Security Hub API & AWS CLI
-
將標籤加入資源
若要建立資源並以程式設計方式為其新增一或多個標籤,請針對您要建立的資源類型使用適當的作業:
在您的請求中,使用tags參數為每個要新增至資源的標籤指定標籤鍵和可選標籤值。該tags參數指定對象的數組。每個物件都會指定一個標籤鍵及其相關聯的標籤值。
若要將一或多個標籤新增至現有的資源,請使用 Security Hub API 的TagResource作業,或者,如果您使用的是AWS CLI,請執行標籤資源命令。在您的請求中,指定要新增標籤的資源的 Amazon 資源名稱 (ARN)。使用tags參數可為要加入的每個標籤指定標籤鍵 (keyvalue) 和可選標籤值 ()。該tags參數指定對象的數組,每個標籤鍵及其相關聯的標籤值一個對象。
例如,下列AWS CLI命令會將含有Environment標籤值的標Prod籤金鑰新增至指定的組態原則。此範例針對 Linux、macOS 或 Unix 進行格式化,並使用反斜線 (\) 行接續字元來改善可讀性。
CLI 指令範例:
$ aws securityhub tag-resource \
--resource-arn arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 \
--tags key=Environment,value=Prod
其中:
-
resource-arn指定要新增標籤之組態原則的 ARN。
-
Environment
-
ProdEnvironment
在下列範例中,命令會將數個標籤新增至組態原則。
$ aws securityhub tag-resource \
--resource-arn arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 \
--tags key=Environment,value=Prod key=CostCenter,value=12345 key=Owner,value=jane-doe
對於tags陣列中的每個物件,key和引value數都是必需的。不過,value引數的值可以是空字串。如果您不想將標籤值與標籤鍵建立關聯,請不要指定value引數的值。例如,下列命令會加入沒有關聯Owner標籤值的標籤鍵:
$ aws securityhub tag-resource \
--resource-arn arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 \
--tags key=Owner,value=
如果標記作業成功,Security Hub 會傳回空的 HTTP 200 回應。否則,Security Hub 會傳回 HTTP 4 xx 或 500 回應,指出作業失敗的原因。
您可以使用 Security Hub 主控台或 Security Hub API 來檢閱 Security Hub 自動化規則或組態原則的標籤 (標籤金鑰和標記值)。控制台不支持查看Hub資源的標籤。
若要同時檢閱多個 Security Hub 資源的標籤,請使用標記 API 的AWS Resource Groups標記作業。
- Console
-
「標籤」區段會列出目前指定給資源的所有標籤。
- Security Hub API & AWS CLI
-
若要檢閱資源的標籤
若要擷取和檢閱現有資源的標籤,請呼叫 ListTagsForResourceAPI。在您的請求中,使用resourceArn參數來指定資源的 Amazon 資源名稱 (ARN)。
如果您使用的是AWS CLI,請執行list-tags-for-resource命令並使用resource-arn參數來指定資源的 ARN。例如:
$ aws securityhub list-tags-for-resource --resource-arn arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111
如果操作成功,Security Hub 返回一個tags數組。陣列中的每個物件都會指定目前指派給資源的標籤 (標籤鍵和標籤值)。例如:
{
"tags": [
{
"key": "Environment",
"value": "Prod"
},
{
"key": "CostCenter",
"value": "12345"
},
{
"key": "Owner",
"value": ""
}
]
}
其中EnvironmentCostCenter、和Owner是指派給資源的標籤鍵。 Prod是與標籤鍵相關聯的標Environment籤值。 12345是與標籤鍵相關聯的標CostCenter籤值。標Owner籤鍵沒有關聯的標籤值。
若要擷取具有標籤的所有 Security Hub 資源清單,以及指派給這些資源的所有標籤,請使用AWS Resource Groups標記 API 的GetResources作業。在您的請求中,將ResourceTypeFilters參數的值設定為securityhub。若要使用執行此操作AWS CLI,請執行 get-resources 命令,並將resource-type-filters參數的值設定為。securityhub例如:
$ aws resourcegroupstaggingapi get-resources -\-resource-type-filters "securityhub"
如果作業成功,Resource Groups 會傳回ResourceTagMappingList陣列。陣列會針對每個具有標籤的 Security Hub 資源包含一個物件。每個物件都會指定 Security Hub 資源的 ARN,以及指派給資源的標籤索引鍵和值。
若要編輯 AWS Security Hub 資源的標籤 (標籤金鑰或標籤值),您可以使用 Security Hub API。安全中心主控台目前不支援標籤編輯。
若要同時編輯多個 Security Hub 資源的標籤,請使用標記 API 的AWS Resource Groups標記作業。
編輯資源的標籤可能會影響資源的存取。在編輯資源的標籤金鑰或值之前,請先檢閱任何可能使用標籤來控制資源存取權的 AWS Identity and Access Management (IAM) 政策。
- Security Hub API & AWS CLI
-
若要編輯資源的標籤
當您以程式設計方式編輯資源的標籤時,會以新值覆寫現有標籤。因此,編輯標籤的最佳方式取決於您要編輯標籤鍵、標籤值還是兩者。若要編輯標籤關鍵字,請移除目前的標籤並新增標籤。
若只要編輯或移除與標籤金鑰相關聯的標籤值,請使用 Security Hub API 的TagResource作業覆寫現有值。如果您使用的是AWS CLI,請執行標籤資源命令。在您的請求中,指定要編輯或移除其標籤值的資源的 Amazon 資源名稱 (ARN)。
若要編輯標籤值,請使用tags參數指定要變更其標籤值的標籤鍵。您也應該指定金鑰的新標籤值。例如,下列AWS CLI命令會Prod將指派給指定自動化規則之Environment標籤金鑰的標籤值從變更Test為。此範例針對 Linux、macOS 或 Unix 進行格式化,並使用反斜線 (\) 行接續字元來改善可讀性。
$ aws securityhub tag-resource \
--resource-arn arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 \
--tags key=Environment,value=Test
其中:
若要從標籤鍵移除標籤值,請勿為參數中索value引鍵的引tags數指定值。例如:
$ aws securityhub tag-resource \
--resource-arn arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 \
--tags key=Owner,value=
如果作業成功,Security Hub 會傳回空的 HTTP 200 回應。否則,Security Hub 會傳回 HTTP 4 xx 或 500 回應,指出作業失敗的原因。
若要從安 AWS Security Hub 資源移除標籤,您可以使用 Security Hub API。安全中心主控台目前不支援標籤移除。
若要同時從多個 Security Hub 資源中移除標籤,請使用標記 API 的AWS Resource Groups標記作業。
從資源中移除標籤可能會影響對資源的存取。移除標籤之前,請先檢閱任何可能使用標籤控制資源存取權的 AWS Identity and Access Management (IAM) 政策。
- Security Hub API & AWS CLI
-
若要從資源中移除標籤
若要以程式設計方式從資源中移除一或多個標籤,請使用 Security Hub API 的UntagResource作業。在您的請求中,使用resourceArn參數指定要從中移除標籤的資源的 Amazon 資源名稱 (ARN)。使用tagKeys參數指定要移除之標籤的標籤鍵。若要移除多個標籤,請為每個要移除的標籤附加tagKeys參數和引數,並以 & 符號分隔,例如。tagKeys=key1&tagKeys=key2若只要從資源中移除特定標籤值 (而非標籤鍵),請編輯標籤,而不要移除標籤。
如果您使用的是AWS CLI,請執行 untag-resource 命令,從資源中移除一或多個標籤。對於resource-arn參數,請指定要從中移除標籤的資源 ARN。使用tag-keys參數指定要移除之標籤的標籤鍵。例如,下列命令會從指定的組態原則移除標Environment籤 (標籤索引鍵和標籤值):
$ aws securityhub untag-resource \
--resource-arn arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 \
--tag-keys Environment
其中resource-arn指定要從中移除標籤的組態原則的 ARN,而且Environment
要從資源中刪除多個標籤,請添加每個額外的標籤鍵作為tag-keys參數的引數。例如:
$ aws securityhub untag-resource \
--resource-arn arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 \
--tag-keys Environment Owner
如果作業成功,Security Hub 會傳回空的 HTTP 200 回應。否則,Security Hub 會傳回 HTTP 4 xx 或 500 回應,指出作業失敗的原因。
