Kennzeichnen von Security Hub Hub-Ressourcen - AWS Security Hub
Grundlagen der KennzeichnungVerwendung von Tags in IAM-Richtlinien

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Kennzeichnen von Security Hub Hub-Ressourcen

Ein Tag ist eine optionale Bezeichnung, die Sie definieren und AWS Ressourcen zuweisen können, einschließlich bestimmter Typen von AWS Security Hub Hub-Ressourcen. Mithilfe von Tags können Sie Ressourcen auf unterschiedliche Weise identifizieren, kategorisieren und verwalten, z. B. nach Zweck, Eigentümer, Umgebung oder anderen Kriterien. Mithilfe von Tags können Sie beispielsweise zwischen Ressourcen unterscheiden, Ressourcen identifizieren, die bestimmte Compliance-Anforderungen oder Workflows unterstützen, oder Kosten zuordnen.

Sie können Tags zu den folgenden Typen von Security Hub Hub-Ressourcen hinzufügen:

  • Regeln für die Automatisierung

  • Konfigurationsrichtlinien

  • Hub-Ressource

Grundlagen der Kennzeichnung

Eine Ressource kann bis zu 50 Tags enthalten. Jedes Tag besteht aus einem Schlüssel und einem optionalen Wert. Beides können Sie definieren. Ein Tag-Schlüssel ist eine allgemeine Bezeichnung, die als Kategorie für einen spezifischeren Tag-Wert dient. Ein Tag-Wert dient als Bezeichnung für einen Tag-Schlüssel.

Wenn Sie beispielsweise unterschiedliche Automatisierungsregeln für verschiedene Umgebungen erstellen (einen Satz von Automatisierungsregeln für Testkonten und einen anderen für Produktionskonten), können Sie diesen Regeln einen Environment Tagschlüssel zuweisen. Der zugehörige Tagwert kann Test für die Regeln gelten, die Testkonten zugeordnet sind, und Prod für die Regeln, die Produktionskonten und zugeordnet sindOUs.

Beachten Sie bei der Definition und Zuweisung von Tags zu AWS Security Hub Hub-Ressourcen Folgendes:

  • Jede Ressource kann maximal 50 Tags haben.

  • Für jede Ressource muss jeder Tag-Schlüssel eindeutig sein und er kann nur einen Tag-Wert haben.

  • Bei Tag-Schlüsseln und -Werten muss die Groß- und Kleinschreibung beachtet werden. Als bewährte Methode empfehlen wir Ihnen, eine Strategie zur Großschreibung von Tags zu definieren und diese Strategie in allen Ressourcen einheitlich umzusetzen.

  • Ein Tag-Schlüssel kann maximal 128 bis UTF 8 Zeichen lang sein. Ein Tagwert kann maximal 256 bis UTF 8 Zeichen lang sein. Die Zeichen können Buchstaben, Zahlen, Leerzeichen oder die folgenden Symbole sein: _.:/= + - @

  • Das aws: Präfix ist für die Verwendung durch reserviert AWS. Sie können es nicht in Tag-Schlüsseln oder -Werten verwenden, die Sie definieren. Außerdem können Sie Tag-Schlüssel oder Werte, die dieses Präfix verwenden, nicht ändern oder entfernen. Tags mit diesem Präfix werden beim Kontingent von 50 Tags pro Ressource nicht eingerechnet.

  • Alle Tags, die Sie zuweisen, sind nur für Sie AWS-Konto und nur in dem verfügbar, AWS-Region in dem Sie sie zuweisen.

  • Wenn Sie einer Ressource mithilfe von Security Hub Tags zuweisen, werden die Tags nur auf die Ressource angewendet, die direkt in Security Hub im entsprechenden Verzeichnis gespeichert ist AWS-Region. Sie gelten nicht für zugehörige, unterstützende Ressourcen, die Security Hub für Sie in anderen Bereichen erstellt, verwendet oder verwaltet AWS-Services. Wenn Sie beispielsweise einer Automatisierungsregel, die Ergebnisse im Zusammenhang mit Amazon Simple Storage Service (Amazon S3) aktualisiert, Tags zuweisen, werden die Tags nur auf Ihre Automatisierungsregel in Security Hub für die angegebene Region angewendet. Sie werden nicht auf Ihre S3-Buckets angewendet. Um auch einer zugehörigen Ressource Tags zuzuweisen, können Sie AWS Resource Groups oder das verwenden, AWS-Service das die Ressource speichert — zum Beispiel Amazon S3 für einen S3-Bucket. Das Zuweisen von Tags zu zugehörigen Ressourcen kann Ihnen helfen, unterstützende Ressourcen für Ihre Security Hub Hub-Ressourcen zu identifizieren.

  • Wenn Sie eine Ressource löschen, werden alle Tags, die der Ressource zugewiesen sind, ebenfalls gelöscht.

Wichtig

Speichern Sie keine vertraulichen oder anderen sensiblen Daten in Tags. Auf Tags kann von vielen aus zugegriffen werden AWS-Services, darunter AWS Billing and Cost Management. Sie sind nicht dafür vorgesehen, für sensible Daten verwendet zu werden.

Um Tags für Security Hub-Ressourcen hinzuzufügen und zu verwalten, können Sie die Security Hub Hub-Konsole, den Security Hub API oder das AWS Resource Groups Tagging API verwenden. Mit Security Hub können Sie einer Ressource Tags hinzufügen, wenn Sie die Ressource erstellen. Sie können auch Tags für einzelne vorhandene Ressourcen hinzufügen und verwalten. Mit Resource Groups können Sie Tags für mehrere bestehende Ressourcen AWS-Services, einschließlich Security Hub, in großen Mengen hinzufügen und verwalten.

Weitere Tipps und bewährte Methoden zur Kennzeichnung finden Sie unter Tagging Your AWS Resources User Guide im Tagging AWS Resources User Guide.

Verwendung von Tags in IAM-Richtlinien

Nachdem Sie mit dem Taggen von Ressourcen begonnen haben, können Sie tagbasierte Berechtigungen auf Ressourcenebene in Richtlinien () definieren. AWS Identity and Access Management IAM Durch die Verwendung von Tags auf diese Weise können Sie detailliert steuern, welche Benutzer und Rollen in Ihrem Unternehmen die Berechtigung AWS-Konto haben, Ressourcen zu erstellen und zu taggen, und welche Benutzer und Rollen generell die Berechtigung haben, Tags hinzuzufügen, zu bearbeiten und zu entfernen. Um den Zugriff anhand von Stichwörtern zu steuern, können Sie im ElementBedingung“ von IAM Richtlinien Bedingungsschlüssel verwenden, die sich auf Tags beziehen.

Sie können beispielsweise eine IAM Richtlinie erstellen, die einem Benutzer vollen Zugriff auf alle AWS Security Hub-Ressourcen gewährt, wenn das Owner Tag für die Ressource seinen Benutzernamen angibt:

{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "ModifyResourceIfOwner",
            "Effect": "Allow",
            "Action": "securityhub:*",
            "Resource": "*",
            "Condition": {
                "StringEqualsIgnoreCase": {"aws:ResourceTag/Owner": "${aws:username}"}
            }
        }
    ]
}

Wenn Sie Tag-basierte Berechtigungen auf Ressourcenebene definieren, werden die Berechtigungen sofort wirksam. Dies bedeutet, dass Ihre Ressourcen besser geschützt sind, sobald sie erstellt wurden, und Sie schnell damit beginnen können, die Verwendung von Tags für neue Ressourcen zu erzwingen. Mithilfe von Berechtigungen auf Ressourcenebene können Sie auch steuern, welche Tag-Schlüssel und -Werte können mit neuen und vorhandenen Ressourcen verknüpft werden können. Weitere Informationen finden Sie im IAMBenutzerhandbuch unter Steuern des Zugriffs auf AWS Ressourcen mithilfe von Tags.