Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Security Hub CSPM für Elasticsearch
Diese AWS Security Hub CSPM Kontrollen bewerten den Elasticsearch-Service und die Ressourcen.
Diese Steuerelemente sind möglicherweise nicht in allen AWS-Regionen verfügbar. Weitere Informationen finden Sie unter [Verfügbarkeit von Kontrollen nach Regionen](securityhub-regions.md#securityhub-regions-control-support).
## [ES.1] Bei Elasticsearch-Domains sollte die Verschlüsselung im Ruhezustand aktiviert sein
**Verwandte Anforderungen:** PCI DSS v3.2.1/3.4, NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 (1), (10), NIST.800-53.r5 SC-2 NIST.800-53.R5 SI-7 NIST.800-53.r5 SC-7 (6)
**Kategorie**: Schützen > Datenschutz > Verschlüsselung von data-at-rest
**Schweregrad:** Mittel
**Art der Ressource:** `AWS::Elasticsearch::Domain`
**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-encrypted-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-encrypted-at-rest.html)
**Art des Zeitplans:** Periodisch
**Parameter:** Keine
Dieses Steuerelement prüft, ob für Elasticsearch-Domains die Konfiguration „Verschlüsselung im Ruhezustand“ aktiviert ist. Die Prüfung schlägt fehl, wenn die Verschlüsselung im Ruhezustand nicht aktiviert ist.
Für eine zusätzliche Sicherheitsebene für Ihre sensiblen Daten sollten Sie Ihre Daten so konfigurieren OpenSearch, OpenSearch dass sie im Ruhezustand verschlüsselt werden. Elasticsearch-Domains bieten die Verschlüsselung von Daten im Ruhezustand. Die Funktion dient AWS KMS zum Speichern und Verwalten Ihrer Verschlüsselungsschlüssel. Um die Verschlüsselung durchzuführen, verwendet es den Advanced Encryption Standard-Algorithmus mit 256-Bit-Schlüsseln (AES-256).
Weitere Informationen zur OpenSearch Verschlüsselung im Ruhezustand finden Sie unter [Verschlüsselung ruhender Daten für Amazon OpenSearch Service](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/encryption-at-rest.html) im *Amazon OpenSearch Service Developer Guide*.
Bestimmte Instance-Typen, wie z. B. `t.small` und`t.medium`, unterstützen die Verschlüsselung von Daten im Ruhezustand nicht. Einzelheiten finden Sie unter [Unterstützte Instance-Typen](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/supported-instance-types.html) im *Amazon OpenSearch Service Developer Guide*.
### Abhilfe
Informationen zur Aktivierung der Verschlüsselung im Ruhezustand für neue und bestehende Elasticsearch-Domains finden Sie unter [Enabling encryption of data at rest](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/encryption-at-rest.html#enabling-ear) im *Amazon OpenSearch Service Developer Guide*.
## [ES.2] Elasticsearch-Domains sollten nicht öffentlich zugänglich sein
**Verwandte Anforderungen:** PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7),, (21),, (11), (16) NIST.800-53.r5 AC-3, (20) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), (3) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9), PCI DSS v4.0.1/1.4.4 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
**Kategorie:** Schützen > Sichere Netzwerkkonfiguration > Ressourcen in VPC
**Schweregrad:** Kritisch
**Art der Ressource:** `AWS::Elasticsearch::Domain`
**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-in-vpc-only.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-in-vpc-only.html)
**Art des Zeitplans:** Periodisch
**Parameter:** Keine
Dieses Steuerelement prüft, ob sich Elasticsearch-Domains in einer VPC befinden. Es bewertet nicht die Konfiguration des VPC-Subnetz-Routings, um den öffentlichen Zugriff zu bestimmen. Sie sollten sicherstellen, dass Elasticsearch-Domains nicht an öffentliche Subnetze angehängt sind. Informationen zu [ressourcenbasierten Richtlinien](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ac.html#ac-types-resource) finden Sie im *Amazon OpenSearch Service Developer Guide*. Sie sollten auch sicherstellen, dass Ihre VPC gemäß den empfohlenen bewährten Methoden konfiguriert ist. [Bewährte Sicherheitsmethoden für Ihre VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-best-practices.html) finden Sie im *Amazon VPC-Benutzerhandbuch*.
Elasticsearch-Domains, die in einer VPC bereitgestellt werden, können über das private AWS Netzwerk mit VPC-Ressourcen kommunizieren, ohne das öffentliche Internet durchqueren zu müssen. Diese Konfiguration erhöht die Sicherheitslage, indem der Zugriff auf die Daten während der Übertragung eingeschränkt wird. VPCs bieten eine Reihe von Netzwerkkontrollen, um den Zugriff auf Elasticsearch-Domains zu sichern, einschließlich Netzwerk-ACL und Sicherheitsgruppen. Security Hub CSPM empfiehlt, öffentliche Elasticsearch-Domains zu migrieren, VPCs um diese Kontrollen nutzen zu können.
### Abhilfe
Wenn Sie eine Domäne mit einem öffentlichen Endpunkt erstellen, können Sie sie später nicht in einer VPC platzieren. Sie müssen stattdessen eine neue Domäne erstellen und die Daten übernehmen. Umgekehrt gilt dies auch. Wenn Sie eine Domäne innerhalb einer VPC erstellen, kann sie keinen öffentlichen Endpunkt haben. Stattdessen müssen Sie entweder [eine andere Domäne erstellen](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/createupdatedomains.html) oder dieses Steuerelement deaktivieren.
Weitere Informationen finden Sie unter [Starten Ihrer Amazon OpenSearch Service-Domains innerhalb einer VPC](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/vpc.html) im *Amazon OpenSearch Service Developer Guide*.
## [ES.3] Elasticsearch-Domains sollten Daten verschlüsseln, die zwischen Knoten gesendet werden
**Verwandte Anforderungen:** NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 3, 3 ( NIST.800-53.r5 SC-23), NIST.800-53.r5 SC-2 (4), NIST.800-53.r5 SC-7 (1), NIST.800-53.r5 SC-8 (2) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 PCI DSS v4.0.1/4.2.1
**Kategorie: Schützen > Datenschutz >** Verschlüsselung von data-in-transit
**Schweregrad:** Mittel
**Art der Ressource:** `AWS::Elasticsearch::Domain`
**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-node-to-node-encryption-check.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-node-to-node-encryption-check.html)
**Art des Zeitplans:** Änderung wurde ausgelöst
**Parameter:** Keine
Dieses Steuerelement prüft, ob für eine Elasticsearch-Domain die node-to-node Verschlüsselung aktiviert ist. Die Steuerung schlägt fehl, wenn für die Elasticsearch-Domain keine node-to-node Verschlüsselung aktiviert ist. Die Kontrolle führt auch zu fehlgeschlagenen Ergebnissen, wenn eine Elasticsearch-Version keine node-to-node Verschlüsselungsprüfungen unterstützt.
HTTPS (TLS) kann verwendet werden, um zu verhindern, dass potenzielle Angreifer den Netzwerkverkehr mit oder ähnlichen Angriffen abhören oder manipulieren. person-in-the-middle Nur verschlüsselte Verbindungen über HTTPS (TLS) sollten zugelassen werden. Durch die Aktivierung der node-to-node Verschlüsselung für Elasticsearch-Domains wird sichergestellt, dass die Kommunikation innerhalb des Clusters während der Übertragung verschlüsselt wird.
Mit dieser Konfiguration kann es zu Leistungseinbußen kommen. Sie sollten sich der Leistungseinbußen bewusst sein und diese testen, bevor Sie diese Option aktivieren.
### Abhilfe
Informationen zur Aktivierung der node-to-node Verschlüsselung für neue und bestehende Domains finden Sie unter [ node-to-nodeEnabling encryption](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/ntn.html#enabling-ntn) im *Amazon OpenSearch Service Developer Guide*.
## [ES.4] Die Elasticsearch-Domain-Fehlerprotokollierung in CloudWatch Logs sollte aktiviert sein
**Verwandte Anforderungen:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 NIST.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.R5 SI-4 (20), NIST.800-53.R5 SI-7 (8)
**Kategorie:** Identifizieren - Protokollierung
**Schweregrad:** Mittel
**Art der Ressource:** `AWS::Elasticsearch::Domain`
**AWS Config -Regel: ** [https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-logs-to-cloudwatch.html](https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-logs-to-cloudwatch.html)
**Art des Zeitplans:** Änderung wurde ausgelöst
**Parameter:**
+ `logtype = 'error'`(nicht anpassbar)
Dieses Steuerelement prüft, ob Elasticsearch-Domains so konfiguriert sind, dass sie CloudWatch Fehlerprotokolle an Logs senden.
Sie sollten Fehlerprotokolle für Elasticsearch-Domains aktivieren und diese CloudWatch Protokolle zur Aufbewahrung und Beantwortung an Logs senden. Domain-Fehlerprotokolle sind bei Sicherheits- und Zugriffsprüfungen sowie bei der Diagnose von Verfügbarkeitsproblemen nützlich.
### Abhilfe
Informationen zur Aktivierung der Protokollveröffentlichung finden Sie unter [Aktivieren der Protokollveröffentlichung (Konsole)](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/createdomain-configure-slow-logs.html#createdomain-configure-slow-logs-console) im *Amazon OpenSearch Service Developer Guide*.
## [ES.5] Für Elasticsearch-Domains sollte die Audit-Protokollierung aktiviert sein
**Verwandte Anforderungen:** NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9), NIST.800-53.R5 SI-3 NIST.800-53.r5 SC-7 (8), NIST.800-53.R5 SI-4 (20), NIST.800-53.R5 SI-7 (8), PCI DSS v4.0.1/10.4.2 NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7
**Kategorie:** Identifizieren > Protokollierung
**Schweregrad:** Mittel
**Ressourcentyp:** `AWS::Elasticsearch::Domain`
**AWS Config Regel:** `elasticsearch-audit-logging-enabled` (benutzerdefinierte Security Hub CSPM-Regel)
**Zeitplantyp: Änderung wurde ausgelöst**
**Parameter:**
+ `cloudWatchLogsLogGroupArnList`(nicht anpassbar). Security Hub CSPM füllt diesen Parameter nicht aus. Durch Kommas getrennte Liste von CloudWatch Logs-Protokollgruppen, die für Audit-Logs konfiguriert werden sollten.
Diese Regel gilt, `NON_COMPLIANT` wenn die CloudWatch Logs-Log-Gruppe der Elasticsearch-Domain in dieser Parameterliste nicht angegeben ist.
Dieses Steuerelement prüft, ob für Elasticsearch-Domains die Audit-Protokollierung aktiviert ist. Diese Kontrolle schlägt fehl, wenn für eine Elasticsearch-Domain die Audit-Protokollierung nicht aktiviert ist.
Audit-Logs sind hochgradig anpassbar. Sie ermöglichen es Ihnen, Benutzeraktivitäten auf Ihren Elasticsearch-Clustern nachzuverfolgen, einschließlich erfolgreicher und fehlgeschlagener Authentifizierungen OpenSearch, Anfragen an, Indexänderungen und eingehende Suchanfragen.
### Abhilfe
Ausführliche Anweisungen zur Aktivierung von Audit-Logs finden Sie unter [Aktivieren von Audit-Logs](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/audit-logs.html#audit-log-enabling) im *Amazon OpenSearch Service Developer Guide*.
## [ES.6] Elasticsearch-Domains sollten mindestens drei Datenknoten haben
**Verwandte Anforderungen:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)
**Kategorie**: Wiederherstellung > Ausfallsicherheit > Hochverfügbarkeit
**Schweregrad:** Mittel
**Art der Ressource:** `AWS::Elasticsearch::Domain`
**AWS Config Regel:** `elasticsearch-data-node-fault-tolerance` (benutzerdefinierte Security Hub CSPM-Regel)
**Zeitplantyp: Änderung wurde ausgelöst**
**Parameter:** Keine
Dieses Steuerelement prüft, ob Elasticsearch-Domänen mit mindestens drei Datenknoten konfiguriert sind und `zoneAwarenessEnabled` ist`true`.
Eine Elasticsearch-Domain benötigt aus Gründen der Hochverfügbarkeit und Fehlertoleranz mindestens drei Datenknoten. Die Bereitstellung einer Elasticsearch-Domain mit mindestens drei Datenknoten gewährleistet den Clusterbetrieb, falls ein Knoten ausfällt.
### Abhilfe
**Um die Anzahl der Datenknoten in einer Elasticsearch-Domain zu ändern**
1. Öffnen Sie die Amazon OpenSearch Service-Konsole unter [https://console.aws.amazon.com/aos/](https://console.aws.amazon.com/aos/).
1. Wählen Sie unter **Domains** den Namen der Domain aus, die Sie bearbeiten möchten.
1. Wählen Sie **Edit domain (Domäne bearbeiten)**.
1. Stellen Sie unter **Datenknoten** die **Anzahl der Knoten** auf eine Zahl ein, die größer oder gleich ist`3`.
Legen Sie für Bereitstellungen mit drei Availability Zones den Wert auf ein Vielfaches von drei fest, um eine gleichmäßige Verteilung auf die Availability Zones sicherzustellen.
1. Wählen Sie **Absenden** aus.
## [ES.7] Elasticsearch-Domänen sollten mit mindestens drei dedizierten Master-Knoten konfiguriert werden
**Verwandte Anforderungen:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)
**Kategorie**: Wiederherstellung > Ausfallsicherheit > Hochverfügbarkeit
**Schweregrad:** Mittel
**Art der Ressource:** `AWS::Elasticsearch::Domain`
**AWS Config Regel:** `elasticsearch-primary-node-fault-tolerance` (benutzerdefinierte Security Hub CSPM-Regel)
**Zeitplantyp: Änderung wurde ausgelöst**
**Parameter:** Keine
Dieses Steuerelement prüft, ob Elasticsearch-Domänen mit mindestens drei dedizierten Primärknoten konfiguriert sind. Diese Kontrolle schlägt fehl, wenn die Domain keine dedizierten Primärknoten verwendet. Diese Kontrolle gilt als bestanden, wenn Elasticsearch-Domänen über fünf dedizierte Primärknoten verfügen. Die Verwendung von mehr als drei Primärknoten ist jedoch möglicherweise unnötig, um das Verfügbarkeitsrisiko zu minimieren, und führt zu zusätzlichen Kosten.
Für eine Elasticsearch-Domain sind mindestens drei dedizierte Primärknoten erforderlich, um eine hohe Verfügbarkeit und Fehlertoleranz zu gewährleisten. Dedizierte Primärknotenressourcen können bei der blue/green Bereitstellung von Datenknoten belastet werden, da zusätzliche Knoten verwaltet werden müssen. Die Bereitstellung einer Elasticsearch-Domain mit mindestens drei dedizierten Primärknoten gewährleistet eine ausreichende Ressourcenkapazität des Primärknotens und den Clusterbetrieb, falls ein Knoten ausfällt.
### Abhilfe
**Um die Anzahl der dedizierten Primärknoten in einer OpenSearch Domain zu ändern**
1. Öffnen Sie die Amazon OpenSearch Service-Konsole unter [https://console.aws.amazon.com/aos/](https://console.aws.amazon.com/aos/).
1. Wählen Sie unter **Domains** den Namen der Domain aus, die Sie bearbeiten möchten.
1. Wählen Sie **Edit domain (Domäne bearbeiten)**.
1. Stellen Sie unter **Dedizierte Masterknoten** den **Instanztyp** auf den gewünschten Instanztyp ein.
1. Stellen Sie **die Anzahl der Master-Knoten** auf drei oder mehr ein.
1. Wählen Sie **Absenden** aus.
## [ES.8] Verbindungen zu Elasticsearch-Domains sollten mit der neuesten TLS-Sicherheitsrichtlinie verschlüsselt werden
**Verwandte Anforderungen:** NIST.800-53.r5 AC-1 7 (2), (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 NIST.800-53.r5 IA-5 (3), 3, 3, 3 ( NIST.800-53.r5 SC-13), NIST.800-53.r5 SC-2 (4), NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-7 (2) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.R5 SI-7 NIST.800-53.r5 SC-8 (6), PCI DSS v4.0.1/4.2.1
**Kategorie**: Schützen > Datenschutz > Verschlüsselung von data-in-transit
**Schweregrad:** Mittel
**Art der Ressource:** `AWS::Elasticsearch::Domain`
**AWS Config Regel:** `elasticsearch-https-required` (benutzerdefinierte Security Hub CSPM-Regel)
**Zeitplantyp: Änderung wurde ausgelöst**
**Parameter:** Keine
Dadurch wird geprüft, ob ein Elasticsearch-Domain-Endpunkt so konfiguriert ist, dass er die neueste TLS-Sicherheitsrichtlinie verwendet. Die Steuerung schlägt fehl, wenn der Elasticsearch-Domänenendpunkt nicht für die Verwendung der neuesten unterstützten Richtlinie konfiguriert ist oder wenn er HTTPs nicht aktiviert ist. Die aktuell neueste unterstützte TLS-Sicherheitsrichtlinie ist`Policy-Min-TLS-1-2-PFS-2023-10`.
HTTPS (TLS) kann verwendet werden, um zu verhindern, dass potenzielle Angreifer person-in-the-middle oder ähnliche Angriffe verwenden, um den Netzwerkverkehr zu belauschen oder zu manipulieren. Nur verschlüsselte Verbindungen über HTTPS (TLS) sollten zugelassen werden. Die Verschlüsselung von Daten während der Übertragung kann die Leistung beeinträchtigen. Sie sollten Ihre Anwendung mit dieser Funktion testen, um das Leistungsprofil und die Auswirkungen von TLS zu verstehen. TLS 1.2 bietet mehrere Sicherheitsverbesserungen gegenüber früheren Versionen von TLS.
### Abhilfe
Um die TLS-Verschlüsselung zu aktivieren, verwenden Sie den [https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_UpdateDomainConfig.html](https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_UpdateDomainConfig.html)API-Vorgang, um das [https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_DomainEndpointOptions.html](https://docs.aws.amazon.com/opensearch-service/latest/APIReference/API_DomainEndpointOptions.html)Objekt zu konfigurieren. Dies legt die fest`TLSSecurityPolicy`.
## [ES.9] Elasticsearch-Domains sollten markiert werden
**Kategorie:** Identifizieren > Inventar > Tagging
**Schweregrad:** Niedrig
**Art der Ressource:** `AWS::Elasticsearch::Domain`
**AWS Config Regel:** `tagged-elasticsearch-domain` (benutzerdefinierte Security Hub CSPM-Regel)
**Zeitplantyp: Änderung wurde ausgelöst**
**Parameter:**
| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste der -Tag-Schlüssel, die die evaluierte Ressource enthalten muss. Bei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden. | StringList (maximal 6 Elemente) | 1—6 Tag-Schlüssel, die die [AWS Anforderungen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) erfüllen. | No default value |
Dieses Steuerelement prüft, ob eine Elasticsearch-Domain Tags mit den spezifischen Schlüsseln enthält, die im Parameter definiert sind. `requiredTagKeys` Das Steuerelement schlägt fehl, wenn die Domain keine Tag-Schlüssel hat oder wenn sie nicht alle im Parameter `requiredTagKeys` angegebenen Schlüssel hat. Wenn der Parameter `requiredTagKeys` nicht angegeben wird, prüft das Steuerelement nur, ob ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn die Domain mit keinem Schlüssel gekennzeichnet ist. Systemtags, die automatisch angewendet werden und mit beginnen`aws:`, werden ignoriert.
Ein Tag ist eine Bezeichnung, die Sie einer AWS Ressource zuweisen. Sie besteht aus einem Schlüssel und einem optionalen Wert. Sie können Tags erstellen, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Mithilfe von Tags können Sie Ressourcen identifizieren, organisieren, suchen und filtern. Mithilfe von Stichwörtern können Sie außerdem nachvollziehen, welche Aktionen und Benachrichtigungen von Ressourcenbesitzern verantwortlich sind. Wenn Sie Tagging verwenden, können Sie die attributebasierte Zugriffskontrolle (ABAC) als Autorisierungsstrategie implementieren, bei der Berechtigungen auf der Grundlage von Tags definiert werden. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und Ressourcen anhängen. AWS Sie können eine einzelne ABAC-Richtlinie oder einen separaten Satz von Richtlinien für Ihre IAM-Prinzipale erstellen. Sie können diese ABAC-Richtlinien so entwerfen, dass Operationen möglich sind, wenn das Tag des Prinzipals mit dem Ressourcen-Tag übereinstimmt. Weitere Informationen finden Sie unter [Wozu dient ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS im *IAM-Benutzerhandbuch*.
**Anmerkung**
Fügen Sie keine personenbezogenen Daten (PII) oder andere vertrauliche oder sensible Informationen zu Tags hinzu. Tags sind für viele zugänglich AWS-Services, darunter AWS Billing. Weitere bewährte Methoden zum Taggen finden Sie unter [Taggen Ihrer AWS Ressourcen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in der. *Allgemeine AWS-Referenz*
### Abhilfe
Informationen zum Hinzufügen von Tags zu einer Elasticsearch-Domain finden Sie unter [Arbeiten mit Tags](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/managedomains-awsresourcetagging.html#managedomains-awsresourcetagging-console) im *Amazon OpenSearch Service Developer Guide*.