Etiquetado de recursos de Security Hub - AWS Security Hub
Conceptos básicos del etiquetadoUso de etiquetas en políticas de IAM

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Etiquetado de recursos de Security Hub

Una etiqueta es una etiqueta opcional que puede definir y asignar a AWS los recursos, incluidos ciertos tipos de recursos de AWS Security Hub. Las etiquetas pueden ayudarle a identificar, clasificar y administrar recursos de distintas formas, como por finalidad, propietario, entorno u otros criterios. Por ejemplo, puede usar etiquetas para distinguir entre los recursos, identificar recursos que admiten ciertos requisitos de conformidad o flujos de trabajo, o asignar costos.

Puede agregar etiquetas a los siguientes tipos de recursos de Security Hub:

  • Reglas de automatización

  • Políticas de configuración

  • Recurso de Hub

Conceptos básicos del etiquetado

Un recurso puede tener hasta 50 etiquetas. Cada etiqueta está formada por una clave de etiqueta y un valor de etiqueta opcional, ambos definidos por el usuario. Un clave de etiqueta es una etiqueta general que actúa como una categoría para un valor de etiqueta más específicos. Un valor de etiqueta actúa como descriptor de una clave de etiqueta.

Por ejemplo, si crea reglas de automatización diferentes para entornos diferentes (un conjunto de reglas de automatización para las cuentas de prueba y otro para las cuentas de producción), puede asignar una clave de etiqueta Environment a esas reglas. El valor de la etiqueta asociada puede ser Test para las reglas asociadas a las cuentas de prueba y Prod para las reglas asociadas a las cuentas de producción y OUs.

Al definir y asignar etiquetas a los recursos AWS de Security Hub, tenga en cuenta lo siguiente:

  • Cada recurso puede tener un máximo de 50 etiquetas.

  • Para cada recurso, cada clave de etiqueta debe ser única y solo puede tener un valor.

  • Las claves y los valores de las etiquetas distinguen entre mayúsculas y minúsculas. Le recomendamos que defina una estrategia de uso de mayúsculas y minúsculas en las etiquetas e implemente esa estrategia sistemáticamente en todos los recursos.

  • Una clave de etiqueta puede tener un máximo de 128 caracteres UTF-8. Una clave de valor puede tener un máximo de 256 caracteres UTF-8. Los caracteres pueden ser letras, números, espacios o los siguientes símbolos: _ . : / = + - @

  • El aws: prefijo está reservado para su uso por parte AWS de. No puede usarlo en las claves o valores de etiqueta que defina. Además, las claves o valores de etiqueta que utilizan este prefijo no se pueden cambiar ni quitar. Las etiquetas que usan este prefijo no cuentan para la cuota de 50 etiquetas por recurso.

  • Las etiquetas que asigne estarán disponibles solo para usted Cuenta de AWS y solo en el lugar Región de AWS en el que las asigne.

  • Si asigna etiquetas a un recurso mediante Security Hub, las etiquetas se aplican solo al recurso que está almacenado directamente en Security Hub en la Región de AWS correspondiente. No se aplican a ningún recurso de apoyo asociado que Security Hub cree, utilice o mantenga para usted en otros Servicios de AWS. Por ejemplo, si asigna etiquetas a una regla de automatización que actualiza los resultados relacionados con Amazon Simple Storage Service (Amazon S3), las etiquetas se aplican únicamente a su regla de automatización en Security Hub para la región especificada. No se aplican a sus buckets de S3. Para asignar también etiquetas a un recurso asociado, puede usar AWS Resource Groups o el Servicio de AWS que almacena el recurso, por ejemplo, Amazon S3 para un bucket de S3. La asignación de etiquetas a los recursos asociados puede ayudarle a identificar los recursos de apoyo para sus recursos de Security Hub.

  • Si elimina un recurso, también se eliminará cualquier etiqueta asignada a dicho recurso.

importante

No almacene datos confidenciales ni de otro tipo en etiquetas. Se puede acceder a las etiquetas desde muchas Servicios de AWS de ellas, entre ellas. AWS Billing and Cost Management No se diseñaron para utilizarse con datos confidenciales.

Para agregar y administrar etiquetas para los recursos de Security Hub, puede usar la consola de Security Hub, la API de Security Hub o la API de AWS Resource Groups etiquetado. Con Security Hub, puede agregar etiquetas a un recurso en el momento de su creación. También puede añadir y gestionar etiquetas para los recursos individuales existentes. Con Resource Groups, puede añadir y administrar etiquetas de forma masiva para varios recursos existentes que abarquen varios Servicios de AWS, incluido Security Hub.

Para obtener consejos y prácticas recomendadas adicionales sobre el etiquetado, consulte Cómo etiquetar AWS los recursos en la Guía del usuario sobre cómo etiquetar AWS los recursos.

Uso de etiquetas en políticas de IAM

Una vez que comience a etiquetar los recursos, puede definir permisos de recursos basados en etiquetas en las políticas de AWS Identity and Access Management (IAM). Al utilizar las etiquetas de este modo, puede implementar un control pormenorizado sobre qué usuarios y roles de su empresa Cuenta de AWS tienen permiso para crear y etiquetar recursos, y qué usuarios y roles tienen permiso para añadir, editar y eliminar etiquetas de forma más general. Para controlar el acceso utilizando etiquetas, puede usar claves de condición relacionadas con etiquetas en el Elemento de condición de las políticas de IAM.

Por ejemplo, puede crear una política de IAM que permita a un usuario tener acceso completo a todos los recursos de AWS Security Hub si la etiqueta Owner del recurso especifica su nombre de usuario:

{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "ModifyResourceIfOwner",
            "Effect": "Allow",
            "Action": "securityhub:*",
            "Resource": "*",
            "Condition": {
                "StringEqualsIgnoreCase": {"aws:ResourceTag/Owner": "${aws:username}"}
            }
        }
    ]
}

Si define los permisos de nivel de recurso basados en etiquetas, estos entrarán en vigor inmediatamente. Esto significa que sus recursos están más seguros en cuanto se crean y que puede empezar a aplicar el uso de etiquetas de nuevos recursos rápidamente. También puede usar permisos de nivel de recurso para controlar las claves y valores de etiqueta que se pueden asociar a recursos nuevos y existentes. Para obtener más información, consulte Controlar el acceso a AWS los recursos mediante etiquetas en la Guía del usuario de IAM.