Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Kennzeichnen von Security Hub Hub-Ressourcen
Ein *Tag* ist eine optionale Bezeichnung, die Sie definieren und AWS Ressourcen zuweisen können, einschließlich bestimmter Typen von AWS Security Hub CSPM-Ressourcen. Tags können Ihnen dabei helfen, Ressourcen auf verschiedene Arten zu identifizieren, zu kategorisieren und zu verwalten (z. B. nach Zweck, Besitzer, Umgebung oder anderen Kriterien). Sie können Tags beispielsweise verwenden, um zwischen Ressourcen zu unterscheiden, Ressourcen zu identifizieren, die bestimmte Compliance-Anforderungen oder Workflows unterstützen, oder Kosten zuzuweisen.
Sie können Tags zu den folgenden Typen von Security Hub CSPM-Ressourcen hinzufügen:
+ Automatisierungsregeln
+ Konfigurationsrichtlinien
+ `Hub`-Ressource
## Grundlagen des Kennzeichnens
Eine Ressource kann bis zu 50 Tags enthalten. Jedes Tag besteht aus einem *Schlüssel* und einem optionalen *Wert*. Beides können Sie definieren. Ein *Tag-Schlüssel* ist eine allgemeine Bezeichnung, die als Kategorie für einen spezifischeren Tag-Wert dient. Ein *Tag-Wert* dient als Bezeichnung für einen Tag-Schlüssel.
Wenn Sie beispielsweise unterschiedliche Automatisierungsregeln für verschiedene Umgebungen erstellen (einen Satz von Automatisierungsregeln für Testkonten und einen anderen für Produktionskonten), können Sie diesen Regeln einen `Environment` Tagschlüssel zuweisen. Der zugehörige Tagwert kann `Test` für die Regeln gelten, die Testkonten zugeordnet sind, und `Prod` für die Regeln, die Produktionskonten und zugeordnet sind OUs.
Beachten Sie bei der Definition und Zuweisung von Tags zu AWS Security Hub CSPM-Ressourcen Folgendes:
+ Jede Ressource kann maximal 50 Tags haben.
+ Für jede Ressource muss jeder Tag-Schlüssel eindeutig sein und er kann nur einen Tag-Wert haben.
+ Bei Tag-Schlüsseln und -Werten muss die Groß- und Kleinschreibung beachtet werden. Als bewährte Methode empfehlen wir Ihnen, eine Strategie zur Großschreibung von Tags zu definieren und diese Strategie in allen Ressourcen einheitlich umzusetzen.
+ Ein Tag-Schlüssel kann maximal 128 UTF-8-Zeichen enthalten. Ein Tag-Wert kann maximal 256 UTF-8-Zeichen enthalten. Bei den Zeichen kann es sich um Buchstaben, Zahlen, Leerzeichen oder die folgenden Symbole handeln: \$1.:/= \$1 - @
+ Das `aws:` Präfix ist für die Verwendung durch reserviert AWS. Sie können es nicht in Tag-Schlüsseln oder -Werten verwenden, die Sie definieren. Außerdem können Sie Tag-Schlüssel oder -Werte, die dieses Präfix verwenden, nicht ändern oder entfernen. Tags mit diesem Präfix werden beim Kontingent von 50 Tags pro Ressource nicht eingerechnet.
+ Alle Tags, die Sie zuweisen, sind nur für Sie AWS-Konto und nur in dem verfügbar, AWS-Region in dem Sie sie zuweisen.
+ Wenn Sie einer Ressource mithilfe von Security Hub CSPM Tags zuweisen, werden die Tags nur auf die Ressource angewendet, die direkt im Security Hub CSPM im entsprechenden Verzeichnis gespeichert ist. AWS-Region Sie gelten nicht für zugehörige, unterstützende Ressourcen, die Security Hub CSPM in anderen Bereichen für Sie erstellt, verwendet oder verwaltet. AWS-Services Wenn Sie beispielsweise einer Automatisierungsregel, die Ergebnisse im Zusammenhang mit Amazon Simple Storage Service (Amazon S3) aktualisiert, Tags zuweisen, werden die Tags nur auf Ihre Automatisierungsregel in Security Hub CSPM für die angegebene Region angewendet. Sie werden nicht auf Ihre S3-Buckets angewendet. Um auch einer zugehörigen Ressource Tags zuzuweisen, können Sie AWS -Ressourcengruppen oder das verwenden, in dem AWS-Service die Ressource gespeichert ist, z. B. Amazon S3 für einen S3-Bucket. Das Zuweisen von Tags zu zugehörigen Ressourcen kann Ihnen dabei helfen, unterstützende Ressourcen für Ihre Security Hub CSPM-Ressourcen zu identifizieren.
+ Wenn Sie eine Ressource löschen, werden alle Tags, die der Ressource zugewiesen sind, ebenfalls gelöscht.
**Wichtig**
Speichern Sie keine vertraulichen oder anderen sensiblen Daten in Tags. Auf Tags kann von vielen aus zugegriffen werden AWS-Services, darunter AWS Fakturierung und Kostenmanagement. Sie sind nicht dafür vorgesehen, für sensible Daten verwendet zu werden.
Um Tags für Security Hub CSPM-Ressourcen hinzuzufügen und zu verwalten, können Sie die Security Hub CSPM-Konsole, die Security Hub CSPM API oder die Tagging API verwenden. AWS -Ressourcengruppen Mit Security Hub CSPM können Sie einer Ressource Tags hinzufügen, wenn Sie die Ressource erstellen. Sie können auch Tags für einzelne vorhandene Ressourcen hinzufügen und verwalten. Mit Resource Groups können Sie Tags für mehrere bestehende Ressourcen, einschließlich Security Hub CSPM AWS-Services, in großen Mengen hinzufügen und verwalten.
*Weitere Tipps und bewährte Methoden zur Kennzeichnung finden Sie unter [Tagging Your AWS Resources User Guide im Tagging Resources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html) User Guide. AWS *
## Verwenden von Tags in IAM-Richtlinien
Nachdem Sie mit dem Taggen von Ressourcen begonnen haben, können Sie tagbasierte Berechtigungen auf Ressourcenebene in (IAM-) Richtlinien definieren. AWS Identity and Access Management Durch die Verwendung von Tags auf diese Weise können Sie detailliert steuern, welche Benutzer und Rollen in Ihrem Unternehmen die Berechtigung AWS-Konto haben, Ressourcen zu erstellen und zu taggen, und welche Benutzer und Rollen generell die Berechtigung haben, Tags hinzuzufügen, zu bearbeiten und zu entfernen. Um den Zugriff anhand von Tags zu steuern, können Sie im [Element [Condition der IAM-Richtlinien Tag-bezogene Bedingungsschlüssel](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssecurityhub.html#awssecurityhub-policy-keys)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) verwenden.
Sie können beispielsweise eine IAM-Richtlinie erstellen, die einem Benutzer vollen Zugriff auf alle AWS Security Hub CSPM-Ressourcen gewährt, wenn das `Owner` Tag für die Ressource seinen Benutzernamen angibt:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ModifyResourceIfOwner",
"Effect": "Allow",
"Action": "securityhub:*",
"Resource": "*",
"Condition": {
"StringEqualsIgnoreCase": {"aws:ResourceTag/Owner": "${aws:username}"}
}
}
]
}
```
------
Wenn Sie Tag-basierte Berechtigungen auf Ressourcenebene definieren, werden die Berechtigungen sofort wirksam. Dies bedeutet, dass Ihre Ressourcen besser geschützt sind, sobald sie erstellt wurden, und Sie schnell damit beginnen können, die Verwendung von Tags für neue Ressourcen zu erzwingen. Mithilfe von Berechtigungen auf Ressourcenebene können Sie auch steuern, welche Tag-Schlüssel und -Werte können mit neuen und vorhandenen Ressourcen verknüpft werden können. Weitere Informationen finden Sie unter [Steuern des Zugriffs auf AWS Ressourcen mithilfe von Tags](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html) im *IAM-Benutzerhandbuch*.
# Hinzufügen von Tags zu Security Hub CSPM-Ressourcen
Ein *Tag* ist eine Bezeichnung, die Sie definieren und AWS Ressourcen zuweisen können, einschließlich bestimmter Typen von AWS Security Hub CSPM-Ressourcen. Mithilfe von Tags können Sie Ressourcen auf unterschiedliche Weise identifizieren, kategorisieren und verwalten, z. B. nach Zweck, Eigentümer, Umgebung oder anderen Kriterien. Sie können Tags beispielsweise verwenden, um Richtlinien anzuwenden, Kosten zuzuweisen, zwischen Versionen von Ressourcen zu unterscheiden oder Ressourcen zu identifizieren, die bestimmte Compliance-Anforderungen oder Workflows unterstützen.
Sie können Tags zu den folgenden Typen von Security Hub CSPM-Ressourcen hinzufügen:
+ Automatisierungsregeln
+ Konfigurationsrichtlinien
+ `Hub`-Ressource
Eine Ressource kann bis zu 50 Tags enthalten. Jedes Tag besteht aus einem erforderlichen *Tag-Schlüssel* und einem optionalen *Tag-Wert*. Ein *Tag-Schlüssel* ist eine allgemeine Bezeichnung, die als Kategorie für einen spezifischeren Tag-Wert dient. Ein *Tag-Wert* dient als Bezeichnung für einen Tag-Schlüssel. Weitere Informationen zu Tag-Optionen und Anforderungen finden Sie unter[Grundlagen des Kennzeichnens](tagging-resources.md#tags-basics).
Um einer Security Hub CSPM-Ressource Tags hinzuzufügen, können Sie die Security Hub CSPM-Konsole oder die Security Hub CSPM-API verwenden. Die Konsole unterstützt jedoch nicht das Hinzufügen von Tags zur Ressource. `Hub`
Nachdem Sie Tags hinzugefügt haben, können Sie das Tag bearbeiten und den Tag-Schlüssel oder den Tag-Wert ändern.
[Verwenden Sie die Tagging-Operationen der Tagging-API, um Tags für mehrere Security Hub CSPM-Ressourcen gleichzeitig hinzuzufügen oder zu bearbeiten.AWS -Ressourcengruppen](https://docs.aws.amazon.com/resourcegroupstagging/latest/APIReference/overview.html)
**Wichtig**
Das Hinzufügen von Tags zu einer Ressource kann sich auf den Zugriff auf die Ressource auswirken. Bevor Sie einer Ressource ein Tag hinzufügen, überprüfen Sie alle AWS Identity and Access Management (IAM-) Richtlinien, die möglicherweise Tags verwenden, um den Zugriff auf Ressourcen zu steuern.
------
#### [ Console ]
**So fügen Sie einer Security Hub CSPM-Ressource (Konsole) Tags hinzu**
Wenn Sie eine Automatisierungsregel oder eine Konfigurationsrichtlinie erstellen, bietet die Security Hub CSPM-Konsole Optionen zum Hinzufügen von Tags. Sie können den Tag-Schlüssel und den Tag-Wert im Abschnitt **Tags** angeben.
------
#### [ Security Hub CSPM API ]
**So fügen Sie einer Security Hub CSPM-Ressource (API) Tags hinzu**
Um eine Ressource zu erstellen und ihr programmgesteuert ein oder mehrere Tags hinzuzufügen, verwenden Sie die entsprechende Operation für den Ressourcentyp, den Sie erstellen möchten:
+ Um eine Konfigurationsrichtlinie zu erstellen und ihr ein oder mehrere Tags hinzuzufügen, rufen Sie die [CreateConfigurationPolicy](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateConfigurationPolicy.html)API auf oder führen Sie, falls Sie die verwenden AWS CLI, den Befehl aus. [create-configuration-policy](https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-configuration-policy.html)
+ Um eine Automatisierungsregel zu erstellen und ihr ein oder mehrere Tags hinzuzufügen, rufen Sie die [CreateAutomationRule](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateAutomationRule.html)API auf oder führen Sie, falls Sie die verwenden AWS CLI, den [create-automation-rule](https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-automation-rule.html)Befehl aus.
+ Um Security Hub CSPM zu aktivieren und Ihrer `Hub` Ressource ein oder mehrere Tags hinzuzufügen, rufen Sie die [EnableSecurityHub](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_EnableSecurityHub.html)API auf oder führen Sie, falls Sie die AWS Command Line Interface (AWS CLI) verwenden, den Befehl aus. [enable-security-hub](https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-security-hub.html)
Verwenden Sie in Ihrer Anfrage den `tags` Parameter, um den Tag-Schlüssel und den optionalen Tag-Wert für jedes Tag anzugeben, das der Ressource hinzugefügt werden soll. Der `tags` Parameter gibt ein Array von Objekten an. Jedes Objekt gibt einen Tag-Schlüssel und den zugehörigen Tag-Wert an.
Um einer vorhandenen Ressource ein oder mehrere Tags hinzuzufügen, verwenden Sie den [TagResource](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_TagResource.html)Betrieb der Security Hub CSPM-API oder, falls Sie den verwenden AWS CLI, führen Sie den Befehl [tag-resource](https://docs.aws.amazon.com/cli/latest/reference/securityhub/tag-resource.html) aus. Geben Sie in Ihrer Anfrage den Amazon-Ressourcennamen (ARN) der Ressource an, der Sie ein Tag hinzufügen möchten. Verwenden Sie den `tags` Parameter, um den Tag-Schlüssel (`key`) und den optionalen Tag-Wert (`value`) für jedes hinzuzufügende Tag anzugeben. Der `tags` Parameter gibt ein Array von Objekten an, ein Objekt für jeden Tag-Schlüssel und den zugehörigen Tag-Wert.
Der folgende AWS CLI Befehl fügt beispielsweise der angegebenen Konfigurationsrichtlinie einen `Prod` Tag-Schlüssel mit einem Tag-Wert hinzu. `Environment` Dieses Beispiel ist für Linux, macOS oder Unix formatiert und verwendet den umgekehrten Schrägstrich (\$1) zur Verbesserung der Lesbarkeit.
**Beispiel für einen CLI-Befehl:**
```
$ aws securityhub tag-resource \
--resource-arn arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 \
--tags '{"Environment":"Prod"}'
```
Wobei Folgendes gilt:
+ `resource-arn`gibt den ARN der Konfigurationsrichtlinie an, zu der ein Tag hinzugefügt werden soll.
+ `Environment`ist der Tag-Schlüssel des Tags, das der Regel hinzugefügt werden soll.
+ `Prod`ist der Tag-Wert für den angegebenen Tag-Schlüssel (`Environment`).
Im folgenden Beispiel fügt der Befehl der Konfigurationsrichtlinie mehrere Tags hinzu.
```
$ aws securityhub tag-resource \
--resource-arn arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 \
--tags '{"Environment":"Prod", "CostCenter":"12345", "Owner":"jane-doe"}'
```
Für jedes Objekt in einem `tags` Array sind `key` sowohl die `value` Argumente als auch erforderlich. Der Wert für das `value` Argument kann jedoch eine leere Zeichenfolge sein. Wenn Sie einem Tag-Schlüssel keinen Tag-Wert zuordnen möchten, geben Sie keinen Wert für das `value` Argument an. Mit dem folgenden Befehl wird beispielsweise ein `Owner` Tag-Schlüssel ohne zugehörigen Tag-Wert hinzugefügt:
```
$ aws securityhub tag-resource \
--resource-arn arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 \
--tags '{"Owner":""}'
```
Wenn ein Tagging-Vorgang erfolgreich ist, gibt Security Hub CSPM eine leere HTTP 200-Antwort zurück. Andernfalls gibt Security Hub CSPM eine HTTP 4 *xx* - oder 500-Antwort zurück, die angibt, warum der Vorgang fehlgeschlagen ist.
------
# Tags für Security Hub CSPM-Ressourcen bearbeiten
Wenn sich Ihre Umgebung oder Anforderungen im Laufe der Zeit ändern, können Sie vorhandene Tags für Ihre AWS Security Hub CSPM-Ressourcen auswerten und die Tags nach Bedarf ändern. Ein *Tag* ist eine Bezeichnung, die Sie definieren und einer oder mehreren AWS Ressourcen zuweisen, einschließlich bestimmter Typen von Macie-Ressourcen. Jedes Tag besteht aus einem erforderlichen *Tag-Schlüssel* und einem optionalen *Tag-Wert*. Ein *Tag-Schlüssel* ist eine allgemeine Bezeichnung, die als Kategorie für einen spezifischeren Tag-Wert dient. Ein *Tag-Wert* dient als Bezeichnung für einen Tag-Schlüssel.
Tags können Ihnen dabei helfen, Ressourcen auf verschiedene Arten zu identifizieren, zu kategorisieren und zu verwalten (z. B. nach Zweck, Besitzer, Umgebung oder anderen Kriterien). Sie können Tags beispielsweise verwenden, um Richtlinien anzuwenden, Kosten zuzuweisen, zwischen Versionen von Ressourcen zu unterscheiden oder Ressourcen zu identifizieren, die bestimmte Compliance-Anforderungen oder Workflows unterstützen.
Sie können Tags zu den folgenden Typen von Security Hub CSPM-Ressourcen hinzufügen:
+ Automatisierungsregeln
+ Konfigurationsrichtlinien
+ `Hub`-Ressource
Um Tag-Schlüssel oder Tag-Werte für eine Security Hub CSPM-Ressource zu bearbeiten, können Sie die Security Hub CSPM-API verwenden. Die Security Hub CSPM-Konsole unterstützt derzeit keine Tag-Bearbeitung.
**Wichtig**
Das Bearbeiten von Tags für eine Ressource kann sich auf den Zugriff auf die Ressource auswirken. Bevor Sie ein Tag für eine Ressource bearbeiten, überprüfen Sie alle AWS Identity and Access Management (IAM-) Richtlinien, die möglicherweise Tags verwenden, um den Zugriff auf Ressourcen zu steuern.
------
#### [ Security Hub CSPM API ]
**So bearbeiten Sie Tags für eine Security Hub CSPM-Ressource (API)**
Wenn Sie ein Tag für eine Ressource programmgesteuert bearbeiten, überschreiben Sie das vorhandene Tag mit neuen Werten. Daher hängt die beste Methode zum Bearbeiten eines Tags davon ab, ob Sie einen Tag-Schlüssel, einen Tag-Wert oder beides bearbeiten möchten. Um einen Tag-Schlüssel zu bearbeiten, [entfernen Sie das aktuelle Tag](tags-remove.md) und [fügen Sie ein neues Tag](tags-add.md) hinzu.
Um nur den Tag-Wert zu bearbeiten oder zu entfernen, der einem Tag-Schlüssel zugeordnet ist, überschreiben Sie den vorhandenen Wert mithilfe [TagResource](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_TagResource.html)der Security Hub CSPM-API. [Wenn Sie den verwenden, führen Sie den Befehl AWS CLI tag-resource aus.](https://docs.aws.amazon.com/cli/latest/reference/securityhub/tag-resource.html) Geben Sie in Ihrer Anfrage den Amazon-Ressourcennamen (ARN) der Ressource an, deren Tag-Wert Sie bearbeiten oder entfernen möchten.
Um einen Tag-Wert zu bearbeiten, verwenden Sie den `tags` Parameter, um den Tag-Schlüssel anzugeben, dessen Tag-Wert Sie ändern möchten. Sie sollten auch den neuen Tag-Wert für den Schlüssel angeben. Mit dem folgenden AWS CLI Befehl wird beispielsweise der Tag-Wert `Test` für `Prod` den `Environment` Tag-Schlüssel, der der angegebenen Automatisierungsregel zugewiesen ist, von auf geändert. Dieses Beispiel ist für Linux, macOS oder Unix formatiert und verwendet den umgekehrten Schrägstrich (\$1) zur Verbesserung der Lesbarkeit.
```
$ aws securityhub tag-resource \
--resource-arn arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 \
--tags '{"Environment":"Test"}'
```
Wobei Folgendes gilt:
+ `resource-arn`gibt den ARN der Konfigurationsrichtlinie an.
+ `Environment`ist der Tag-Schlüssel, der dem zu ändernden Tag-Wert zugeordnet ist.
+ `Test`ist der neue Tag-Wert für den angegebenen Tag-Schlüssel (`Environment`).
Um einen Tag-Wert aus einem Tag-Schlüssel zu entfernen, geben Sie im `tags` Parameter keinen Wert für das `value` Argument des Schlüssels an. Beispiel:
```
$ aws securityhub tag-resource \
--resource-arn arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 \
--tags '{"Owner":""}'
```
Wenn der Vorgang erfolgreich ist, gibt Security Hub CSPM eine leere HTTP 200-Antwort zurück. Andernfalls gibt Security Hub CSPM eine HTTP 4 *xx* - oder 500-Antwort zurück, die angibt, warum der Vorgang fehlgeschlagen ist.
------
# Tags für Security Hub CSPM-Ressourcen überprüfen
Nachdem Sie Tags für AWS Security Hub CSPM-Ressourcen hinzugefügt oder bearbeitet haben, können Sie sehen, über welche Tag-Schlüssel und Tag-Werte eine Ressource derzeit verfügt. Ein *Tag* ist eine Bezeichnung, die Sie definieren und einer oder mehreren AWS Ressourcen zuweisen, einschließlich bestimmter Typen von Macie-Ressourcen. Jedes Tag besteht aus einem erforderlichen *Tag-Schlüssel* und einem optionalen *Tag-Wert*. Ein *Tag-Schlüssel* ist eine allgemeine Bezeichnung, die als Kategorie für einen spezifischeren Tag-Wert dient. Ein *Tag-Wert* dient als Bezeichnung für einen Tag-Schlüssel.
Tags können Ihnen dabei helfen, Ressourcen auf verschiedene Arten zu identifizieren, zu kategorisieren und zu verwalten (z. B. nach Zweck, Besitzer, Umgebung oder anderen Kriterien). Sie können Tags beispielsweise verwenden, um Richtlinien anzuwenden, Kosten zuzuweisen, zwischen Versionen von Ressourcen zu unterscheiden oder Ressourcen zu identifizieren, die bestimmte Compliance-Anforderungen oder Workflows unterstützen.
Sie können Tags zu den folgenden Typen von Security Hub CSPM-Ressourcen hinzufügen:
+ Automatisierungsregeln
+ Konfigurationsrichtlinien
+ `Hub`-Ressource
Sie können die Tags für eine Security Hub CSPM-Automatisierungsregel oder eine Konfigurationsrichtlinie überprüfen, indem Sie die Security Hub CSPM-Konsole oder die Security Hub CSPM-API verwenden. Die Konsole unterstützt die Überprüfung von Tags für die Ressource nicht. `Hub` Programmgesteuert können Sie Tags für jede Ressource überprüfen.
[Verwenden Sie die Tagging-Operationen der Tagging-API, um Tags für mehrere Security Hub CSPM-Ressourcen gleichzeitig zu überprüfen.AWS -Ressourcengruppen](https://docs.aws.amazon.com/resourcegroupstagging/latest/APIReference/overview.html)
------
#### [ Console ]
**So überprüfen Sie Tags für eine Security Hub CSPM-Ressource (Konsole)**
1. Öffnen Sie mit den Anmeldeinformationen des Security Hub CSPM-Administrators die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. Gehen Sie je nach Art der Ressource, der Sie ein Tag hinzufügen möchten, wie folgt vor:
+ Um die Tags für eine Automatisierungsregel zu überprüfen, wählen Sie im Navigationsbereich **Automatisierungen** aus. Wählen Sie dann eine Automatisierungsregel aus.
+ Um die Tags für eine Konfigurationsrichtlinie zu überprüfen, wählen Sie im Navigationsbereich **Konfiguration** aus. Wählen Sie dann auf der Registerkarte **Richtlinien** die Option neben einer Konfigurationsrichtlinie aus. Es wird ein Seitenbereich geöffnet, in dem die Anzahl der der Richtlinie zugewiesenen Tags angezeigt wird. Sie können den **Tags-Header** erweitern, um die Tag-Schlüssel und Tag-Werte zu sehen.
Im Abschnitt „**Tags**“ werden alle Tags aufgeführt, die der Ressource derzeit zugewiesen sind.
------
#### [ Security Hub CSPM API ]
**Um Tags für eine Security Hub CSPM-Ressource (API) zu überprüfen**
Rufen Sie die API auf, um die Tags für eine bestehende Ressource abzurufen und zu überprüfen. [ListTagsForResource](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListTagsForResource.html) Verwenden Sie in Ihrer Anfrage den `resourceArn` Parameter, um den Amazon-Ressourcennamen (ARN) der Ressource anzugeben.
Wenn Sie den verwenden AWS CLI, führen Sie den [list-tags-for-resource](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-tags-for-resource.html)Befehl aus und geben Sie mit dem `resource-arn` Parameter den ARN der Ressource an. Beispiel:
```
$ aws securityhub list-tags-for-resource --resource-arn arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111
```
Wenn der Vorgang erfolgreich ist, gibt Security Hub CSPM ein Array zurück. `tags` Jedes Objekt im Array spezifiziert ein Tag (sowohl den Tag-Schlüssel als auch den Tag-Wert), das der Ressource aktuell zugewiesen ist. Beispiel:
```
{
"tags": [
{
"key": "Environment",
"value": "Prod"
},
{
"key": "CostCenter",
"value": "12345"
},
{
"key": "Owner",
"value": ""
}
]
}
```
Wobei `Environment``CostCenter`, und `Owner` die Tag-Schlüssel sind, die der Ressource zugewiesen sind. `Prod`ist der Tag-Wert, der dem `Environment` Tag-Schlüssel zugeordnet ist. `12345`ist der Tag-Wert, der dem `CostCenter` Tag-Schlüssel zugeordnet ist. Dem `Owner` Tag-Schlüssel ist kein Tag-Wert zugeordnet.
Um eine Liste aller Security Hub CSPM-Ressourcen mit Tags und aller Tags, die jeder dieser Ressourcen zugewiesen sind, abzurufen, verwenden Sie den [GetResources](https://docs.aws.amazon.com/resourcegroupstagging/latest/APIReference/API_GetResources.html)Betrieb der AWS -Ressourcengruppen Tagging-API. Setzen Sie in Ihrer Anfrage den Wert für den Parameter auf`ResourceTypeFilters`. `securityhub` Führen Sie dazu mit dem den AWS CLI Befehl [get-resources](https://docs.aws.amazon.com/cli/latest/reference/resourcegroupstaggingapi/get-resources.html) aus und setzen Sie den Wert für den `resource-type-filters` Parameter auf`securityhub`. Beispiel:
```
$ aws resourcegroupstaggingapi get-resources -\-resource-type-filters "securityhub"
```
Wenn der Vorgang erfolgreich ist, gibt Resource Groups ein `ResourceTagMappingList` Array zurück. Das Array enthält ein Objekt für jede Security Hub-CSPM-Ressource, die über Tags verfügt. Jedes Objekt spezifiziert den ARN einer Security Hub-CSPM-Ressource sowie die Tag-Schlüssel und -Werte, die der Ressource zugewiesen sind.
------
# Tags aus den CSPM-Ressourcen von Security Hub entfernen
Wenn Sie einer AWS Security Hub CSPM-Ressource Tags hinzufügen, können Sie anschließend eines oder mehrere davon entfernen. Ein *Tag* ist eine Bezeichnung, die Sie definieren und AWS Ressourcen zuweisen, einschließlich bestimmter Typen von Security Hub CSPM-Ressourcen. Sie können Tags zu den folgenden Typen von Security Hub CSPM-Ressourcen hinzufügen, bearbeiten und entfernen: Automatisierungsregeln, Konfigurationsrichtlinien und die `Hub` Ressource.
Um Tags aus einer einzelnen AWS Security Hub CSPM-Ressource zu entfernen, können Sie die Security Hub CSPM-API verwenden. Die Security Hub CSPM-Konsole unterstützt derzeit das Entfernen von Tags nicht.
[Um Tags aus mehreren Security Hub CSPM-Ressourcen gleichzeitig zu entfernen, verwenden Sie die Tagging-Operationen der AWS -Ressourcengruppen Tagging-API.](https://docs.aws.amazon.com/resourcegroupstagging/latest/APIReference/overview.html)
**Wichtig**
Das Entfernen von Tags aus einer Ressource kann sich auf den Zugriff auf die Ressource auswirken. Bevor Sie ein Tag entfernen, überprüfen Sie alle AWS Identity and Access Management (IAM-) Richtlinien, die das Tag möglicherweise zur Steuerung des Zugriffs auf Ressourcen verwenden.
------
#### [ Security Hub CSPM API ]
**So entfernen Sie Tags aus einer Security Hub CSPM-Ressource (API)**
Um ein oder mehrere Tags programmgesteuert aus einer Ressource zu entfernen, verwenden Sie den [UntagResource](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UntagResource.html)Betrieb der Security Hub CSPM-API. Verwenden Sie in Ihrer Anfrage den `resourceArn` Parameter, um den Amazon-Ressourcennamen (ARN) der Ressource anzugeben, aus der ein Tag entfernt werden soll. Verwenden Sie den `tagKeys` Parameter, um den Tag-Schlüssel des Tags anzugeben, das entfernt werden soll. Um mehrere Tags zu entfernen, hängen Sie den `tagKeys` Parameter und das Argument für jedes zu entfernende Tag an, getrennt durch ein Und-Zeichen (&) — zum Beispiel. `tagKeys=key1&tagKeys=key2` Um nur einen bestimmten Tag-Wert (keinen Tag-Schlüssel) aus einer Ressource zu entfernen, [bearbeiten Sie das Tag, anstatt das Tag](tags-update.md) zu entfernen.
Wenn Sie den verwenden AWS CLI, führen Sie den Befehl [untag-resource](https://docs.aws.amazon.com/cli/latest/reference/securityhub/untag-resource.html) aus, um ein oder mehrere Tags aus einer Ressource zu entfernen. Geben Sie für den `resource-arn` Parameter den ARN der Ressource an, aus der ein Tag entfernt werden soll. Verwenden Sie den `tag-keys` Parameter, um den Tag-Schlüssel des Tags anzugeben, das entfernt werden soll. Mit dem folgenden Befehl wird beispielsweise das `Environment` Tag (sowohl der Tag-Schlüssel als auch der Tag-Wert) aus der angegebenen Konfigurationsrichtlinie entfernt:
```
$ aws securityhub untag-resource \
--resource-arn arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 \
--tag-keys Environment
```
Where `resource-arn` gibt den ARN der Konfigurationsrichtlinie an, aus der ein Tag entfernt werden soll, und `Environment` ist der Tag-Schlüssel des Tags, aus dem entfernt werden soll.
Um mehrere Tags aus einer Ressource zu entfernen, fügen Sie jeden zusätzlichen Tag-Schlüssel als Argument für den `tag-keys` Parameter hinzu. Beispiel:
```
$ aws securityhub untag-resource \
--resource-arn arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 \
--tag-keys Environment Owner
```
Wenn der Vorgang erfolgreich ist, gibt Security Hub CSPM eine leere HTTP 200-Antwort zurück. Andernfalls gibt Security Hub CSPM eine HTTP 4 *xx* - oder 500-Antwort zurück, die angibt, warum der Vorgang fehlgeschlagen ist.
------