Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Etiquetado de recursos de Security Hub
Una *etiqueta* es una etiqueta opcional que puede definir y asignar a AWS los recursos, incluidos ciertos tipos de recursos CSPM de AWS Security Hub. Las etiquetas pueden ayudarle a identificar, clasificar y administrar recursos de distintas formas, como por finalidad, propietario, entorno u otros criterios. Por ejemplo, puede usar etiquetas para distinguir entre los recursos, identificar recursos que admiten ciertos requisitos de conformidad o flujos de trabajo, o asignar costos.
Puede agregar etiquetas a los siguientes tipos de recursos del CSPM de Security Hub:
+ Reglas de automatización
+ Políticas de configuración
+ Recurso de `Hub`
## Conceptos básicos del etiquetado
Un recurso puede tener hasta 50 etiquetas. Cada etiqueta está formada por una *clave de etiqueta* y un *valor de etiqueta* opcional, ambos definidos por el usuario. Un *clave de etiqueta* es una etiqueta general que actúa como una categoría para un valor de etiqueta más específicos. Un *valor de etiqueta* actúa como descriptor de una clave de etiqueta.
Por ejemplo, si crea reglas de automatización diferentes para entornos diferentes (un conjunto de reglas de automatización para las cuentas de prueba y otro para las cuentas de producción), puede asignar una clave de etiqueta `Environment` a esas reglas. El valor de la etiqueta asociada puede `Test` corresponder a las reglas asociadas a las cuentas de prueba y a `Prod` las reglas asociadas a las cuentas de producción y. OUs
Al definir y asignar etiquetas a los recursos de CSPM de AWS Security Hub, tenga en cuenta lo siguiente:
+ Cada recurso puede tener un máximo de 50 etiquetas.
+ Para cada recurso, cada clave de etiqueta debe ser única y solo puede tener un valor.
+ Las claves y los valores de las etiquetas distinguen entre mayúsculas y minúsculas. Le recomendamos que defina una estrategia de uso de mayúsculas y minúsculas en las etiquetas e implemente esa estrategia sistemáticamente en todos los recursos.
+ Una clave de etiqueta puede tener un máximo de 128 caracteres UTF-8. Una clave de valor puede tener un máximo de 256 caracteres UTF-8. Los caracteres pueden ser letras, números, espacios o los siguientes símbolos: \$1 . : / = \$1 - @
+ El `aws:` prefijo está reservado para su uso por AWS. No puede usarlo en las claves o valores de etiqueta que defina. Además, las claves o valores de etiqueta que utilizan este prefijo no se pueden cambiar ni quitar. Las etiquetas que usan este prefijo no cuentan para la cuota de 50 etiquetas por recurso.
+ Las etiquetas que asigne estarán disponibles solo para usted Cuenta de AWS y solo en el lugar Región de AWS en el que las asigne.
+ Si asigna etiquetas a un recurso mediante el CSPM de Security Hub, las etiquetas se aplican solo al recurso almacenado directamente en el CSPM de Security Hub en la Región de AWS correspondiente. No se aplican a ningún recurso de apoyo asociado que el CSPM de Security Hub cree, utilice o mantenga en su nombre en otros Servicios de AWS. Por ejemplo, si asigna etiquetas a una regla de automatización que actualiza los resultados relacionados con Amazon Simple Storage Service (Amazon S3), las etiquetas se aplican únicamente a la regla de automatización en el CSPM de Security Hub para la región especificada. No se aplican a sus buckets de S3. Para asignar también etiquetas a un recurso asociado, puede usar Grupos de recursos de AWS o el Servicio de AWS que almacena el recurso, por ejemplo, Amazon S3 para un bucket de S3. La asignación de etiquetas a los recursos asociados resulta útil a la hora de identificar los recursos de apoyo de los recursos del CSPM de Security Hub.
+ Si elimina un recurso, también se eliminará cualquier etiqueta asignada a dicho recurso.
**importante**
No almacene datos confidenciales ni de otro tipo en etiquetas. Se puede acceder a las etiquetas desde muchas Servicios de AWS de ellas, entre ellas. Administración de facturación y costos de AWS No se diseñaron para utilizarse con datos confidenciales.
Para agregar y administrar etiquetas para los recursos CSPM de Security Hub, puede usar la consola CSPM de Security Hub, la API CSPM de Security Hub o la API de etiquetado. Grupos de recursos de AWS Con el CSPM de Security Hub, puede agregar etiquetas a un recurso en el momento en que se crea. También puede añadir y gestionar etiquetas para los recursos individuales existentes. Con Resource Groups, puede añadir y administrar etiquetas de forma masiva para varios recursos existentes que abarquen varios Servicios de AWS, incluido Security Hub CSPM.
*Para obtener consejos y prácticas recomendadas adicionales sobre el etiquetado, consulte [Etiquetar los recursos en la Guía del usuario sobre cómo etiquetar AWS los recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html). AWS *
## Uso de etiquetas en políticas de IAM
Una vez que comience a etiquetar los recursos, puede definir permisos de recursos basados en etiquetas en las políticas de AWS Identity and Access Management (IAM). Al utilizar las etiquetas de este modo, puede implementar un control pormenorizado sobre qué usuarios y roles de su empresa Cuenta de AWS tienen permiso para crear y etiquetar recursos, y qué usuarios y roles tienen permiso para añadir, editar y eliminar etiquetas de forma más general. Para controlar el acceso basándose función de etiquetas, puede utilizar [claves de condición relacionadas con las etiquetas](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssecurityhub.html#awssecurityhub-policy-keys) en el [elemento Condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) de las políticas de IAM.
Por ejemplo, puede crear una política de IAM que permita a un usuario tener acceso completo a todos los recursos del CSPM de AWS Security Hub si la etiqueta `Owner` del recurso especifica su nombre de usuario:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ModifyResourceIfOwner",
"Effect": "Allow",
"Action": "securityhub:*",
"Resource": "*",
"Condition": {
"StringEqualsIgnoreCase": {"aws:ResourceTag/Owner": "${aws:username}"}
}
}
]
}
```
------
Si define los permisos de nivel de recurso basados en etiquetas, estos entrarán en vigor inmediatamente. Esto significa que sus recursos están más seguros en cuanto se crean y que puede empezar a aplicar el uso de etiquetas de nuevos recursos rápidamente. También puede usar permisos de nivel de recurso para controlar las claves y valores de etiqueta que se pueden asociar a recursos nuevos y existentes. Para obtener más información, consulte [Controlar el acceso a AWS los recursos mediante etiquetas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html) en la *Guía del usuario de IAM*.
# Adición de etiquetas a los recursos del CSPM de Security Hub
Una *etiqueta* es una etiqueta que puede definir y asignar a AWS los recursos, incluidos ciertos tipos de recursos CSPM de AWS Security Hub. Con las etiquetas, puede identificar, clasificar y administrar recursos de distintas formas, como por finalidad, propietario, entorno u otros criterios. Por ejemplo, puede usar etiquetas para aplicar políticas, asignar costos, distinguir entre las versiones de los recursos o identificar los recursos que respaldan determinados requisitos de conformidad o flujos de trabajo.
Puede agregar etiquetas a los siguientes tipos de recursos del CSPM de Security Hub:
+ Reglas de automatización
+ Políticas de configuración
+ Recurso de `Hub`
Un recurso puede tener hasta 50 etiquetas. Cada etiqueta consta de una *clave de etiqueta* necesaria y un *valor de etiqueta* opcional. Una *clave de etiqueta* es una etiqueta general que actúa como una categoría para un valor de etiqueta más específico. Un *valor de etiqueta* actúa como descriptor de una clave de etiqueta. Para obtener más información acerca de las opciones y los requisitos de etiquetado, consulte [Conceptos básicos del etiquetado](tagging-resources.md#tags-basics).
Para agregar etiquetas a un recurso del CSPM de Security Hub, puede utilizar la consola o la API del CSPM de Security Hub. Sin embargo, la consola no permite agregar etiquetas al recurso de `Hub`.
Después de agregar las etiquetas, puede editarlas y cambiar la clave o el valor.
Para agregar o editar las etiquetas de varios recursos del CSPM de Security Hub al mismo tiempo, utilice las operaciones de etiquetado de la [API de etiquetado de Grupos de recursos de AWS](https://docs.aws.amazon.com/resourcegroupstagging/latest/APIReference/overview.html).
**importante**
La adición de etiquetas a un recurso puede afectar al acceso al recurso. Antes de añadir una etiqueta a un recurso, revise las políticas AWS Identity and Access Management (de IAM) que puedan utilizar etiquetas para controlar el acceso a los recursos.
------
#### [ Console ]
**Para agregar etiquetas a un recurso del CSPM de Security Hub (consola)**
Cuando crea una regla de automatización o una política de configuración, la consola del CSPM de Security Hub ofrece opciones para agregarle etiquetas. Puede proporcionar la clave y el valor de la etiqueta en la sección **Etiquetas**.
------
#### [ Security Hub CSPM API ]
**Para agregar etiquetas a un recurso del CSPM de Security Hub (API)**
Para crear un recurso y añadirle una o más etiquetas mediante programación, utilice la operación adecuada para el tipo de recurso que desee crear:
+ Para crear una política de configuración y añadirle una o más etiquetas, invoca la [CreateConfigurationPolicy](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateConfigurationPolicy.html)API o, si la utilizas AWS CLI, ejecuta el [create-configuration-policy](https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-configuration-policy.html)comando.
+ Para crear una regla de automatización y añadirle una o más etiquetas, invoca la [CreateAutomationRule](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateAutomationRule.html)API o, si la utilizas AWS CLI, ejecuta el [create-automation-rule](https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-automation-rule.html)comando.
+ Para habilitar el CSPM de Security Hub y añadir una o más etiquetas a su `Hub` recurso, invoque la [EnableSecurityHub](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_EnableSecurityHub.html)API o, si utiliza AWS Command Line Interface (AWS CLI), ejecute el comando. [enable-security-hub](https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-security-hub.html)
En su solicitud, use el parámetro `tags` para especificar la clave de etiqueta y el valor de etiqueta opcional de cada etiqueta que quiera añadir al recurso. El parámetro `tags` especifica una matriz de uno o varios objetos. Cada objeto especifica una clave de etiqueta y su valor de etiqueta asociado.
Para añadir una o más etiquetas a un recurso existente, utilice la [TagResource](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_TagResource.html)operación de la API CSPM de Security Hub o, si la utiliza AWS CLI, ejecute el comando [tag-resource](https://docs.aws.amazon.com/cli/latest/reference/securityhub/tag-resource.html). En su solicitud, especifique el nombre de recurso de Amazon (ARN) del recurso al que desea añadir una etiqueta. Use el parámetro `tags` para especificar la clave de etiqueta (`key`) y el valor de etiqueta opcional (`value`) de cada etiqueta que quiera añadir. El parámetro `tags` especifica una matriz de objetos, un objeto para cada clave de etiqueta y su valor de etiqueta asociado.
Por ejemplo, el siguiente AWS CLI comando agrega una clave de `Environment` etiqueta con un valor de `Prod` etiqueta a la política de configuración especificada. Este ejemplo está formateado para Linux, macOS o Unix y utiliza el carácter de barra invertida (\$1) de continuación de línea para mejorar la legibilidad.
**Ejemplo de comando de la CLI**:
```
$ aws securityhub tag-resource \
--resource-arn arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 \
--tags '{"Environment":"Prod"}'
```
Donde:
+ `resource-arn` especifica el ARN de la política de configuración a la que se va a agregar una etiqueta.
+ `Environment` es la clave de etiqueta de la etiqueta que se va a añadir a la regla.
+ `Prod` es el valor de etiqueta para la clave de etiqueta especificada (`Environment`).
En el siguiente ejemplo, el comando agrega varias etiquetas a la política de configuración.
```
$ aws securityhub tag-resource \
--resource-arn arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 \
--tags '{"Environment":"Prod", "CostCenter":"12345", "Owner":"jane-doe"}'
```
Para cada objeto de una matriz `tags`, se requieren los argumentos `key` y `value`. Sin embargo, el valor del argumento `value` puede ser una cadena vacía. Si no desea asociar un valor de etiqueta a una clave de etiqueta, no especifique un valor para el argumento `value`. Por ejemplo, el comando siguiente añade una clave de etiqueta `Owner` sin un valor de etiqueta asociado:
```
$ aws securityhub tag-resource \
--resource-arn arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 \
--tags '{"Owner":""}'
```
Si la operación de etiquetado se realiza correctamente, el CSPM de Security Hub devuelve una respuesta HTTP 200 vacía. De lo contrario, el CSPM de Security Hub devuelve una respuesta HTTP 4 *xx* o 500 que indica el motivo del error de la operación.
------
# Edición de etiquetas de recursos del CSPM de Security Hub
A medida que su entorno o sus requisitos cambien con el tiempo, puede evaluar las etiquetas existentes para los recursos de CSPM de AWS Security Hub y cambiarlas según sea necesario. Puede definir *etiquetas* y asignarlas a uno o más recursos de AWS , incluidos ciertos tipos de recursos de Macie. Cada etiqueta consta de una *clave de etiqueta* necesaria y un *valor de etiqueta* opcional. Una *clave de etiqueta* es una etiqueta general que actúa como una categoría para un valor de etiqueta más específico. Un *valor de etiqueta* actúa como descriptor de una clave de etiqueta.
Las etiquetas pueden ayudarle a identificar, clasificar y administrar recursos de distintas formas, como por finalidad, propietario, entorno u otros criterios. Por ejemplo, puede usar etiquetas para aplicar políticas, asignar costos, distinguir entre las versiones de los recursos o identificar los recursos que respaldan determinados requisitos de conformidad o flujos de trabajo.
Puede agregar etiquetas a los siguientes tipos de recursos del CSPM de Security Hub:
+ Reglas de automatización
+ Políticas de configuración
+ Recurso de `Hub`
Para editar las claves o los valores de las etiquetas de un recurso del CSPM de Security Hub, puede utilizar la API del CSPM de Security Hub. Actualmente, la consola del CSPM de Security Hub no admite la edición de etiquetas.
**importante**
Modificar las etiquetas de un recurso puede afectar el acceso a él. Antes de editar la etiqueta de un recurso, revise las políticas AWS Identity and Access Management (de IAM) que puedan utilizar etiquetas para controlar el acceso a los recursos.
------
#### [ Security Hub CSPM API ]
**Para editar las etiquetas de un recurso del CSPM de Security Hub (API)**
Al editar una etiqueta de un recurso mediante programación, sobrescribe la etiqueta existente con valores nuevos. Por lo tanto, la mejor forma de editar una etiqueta depende de si desea editar una clave de etiqueta, un valor de etiqueta o ambos. Para editar una clave de etiqueta, [elimine la etiqueta actual](tags-remove.md) y [añada una nueva](tags-add.md).
Para editar o eliminar solo el valor de etiqueta asociado a una clave de etiqueta, sobrescriba el valor existente mediante la [TagResource](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_TagResource.html)operación de la API CSPM de Security Hub. Si utiliza la AWS CLI, ejecute el comando [tag-resource.](https://docs.aws.amazon.com/cli/latest/reference/securityhub/tag-resource.html) En su solicitud, especifique el nombre de recurso de Amazon (ARN) del recurso cuyo valor de etiqueta desea editar o eliminar.
Para editar el valor de una etiqueta, utilice el parámetro `tags` para especificar la clave de etiqueta cuyo valor de etiqueta desea cambiar. También debe especificar el nuevo valor de etiqueta para la clave. Por ejemplo, el siguiente AWS CLI comando cambia el valor de la etiqueta de `Prod` a `Test` para la clave de `Environment` etiqueta asignada a la regla de automatización especificada. Este ejemplo está formateado para Linux, macOS o Unix y utiliza el carácter de barra invertida (\$1) de continuación de línea para mejorar la legibilidad.
```
$ aws securityhub tag-resource \
--resource-arn arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 \
--tags '{"Environment":"Test"}'
```
Donde:
+ `resource-arn` especifica el ARN de la política de configuración.
+ `Environment` es la clave de etiqueta asociada al valor de etiqueta que se va a cambiar.
+ `Test` es el nuevo valor de la etiqueta para la clave especificada (`Environment`).
Para eliminar un valor de etiqueta de una clave de etiqueta, no especifique un valor para el argumento `value` de la clave en el parámetro `tags`. Por ejemplo:
```
$ aws securityhub tag-resource \
--resource-arn arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 \
--tags '{"Owner":""}'
```
Si la operación se realiza correctamente, el CSPM de Security Hub devuelve una respuesta HTTP 200 vacía. De lo contrario, el CSPM de Security Hub devuelve una respuesta HTTP 4 *xx* o 500 que indica el motivo del error de la operación.
------
# Revisión de etiquetas de recursos del CSPM de Security Hub
Después de añadir o editar etiquetas para los recursos CSPM de AWS Security Hub, puede ver qué claves y valores de etiqueta tiene actualmente un recurso. Puede definir *etiquetas* y asignarlas a uno o más recursos de AWS , incluidos ciertos tipos de recursos de Macie. Cada etiqueta consta de una *clave de etiqueta* necesaria y un *valor de etiqueta* opcional. Una *clave de etiqueta* es una etiqueta general que actúa como una categoría para un valor de etiqueta más específico. Un *valor de etiqueta* actúa como descriptor de una clave de etiqueta.
Las etiquetas pueden ayudarle a identificar, clasificar y administrar recursos de distintas formas, como por finalidad, propietario, entorno u otros criterios. Por ejemplo, puede usar etiquetas para aplicar políticas, asignar costos, distinguir entre las versiones de los recursos o identificar los recursos que respaldan determinados requisitos de conformidad o flujos de trabajo.
Puede agregar etiquetas a los siguientes tipos de recursos del CSPM de Security Hub:
+ Reglas de automatización
+ Políticas de configuración
+ Recurso de `Hub`
Puede revisar las etiquetas de una regla de automatización o una política de configuración del CSPM de Security Hub desde la consola o la API del CSPM de Security Hub. La consola no admite la revisión de las etiquetas del recurso de `Hub`. Mediante programación, puede revisar las etiquetas de cualquier recurso.
Para revisar las etiquetas de varios recursos del CSPM de Security Hub al mismo tiempo, utilice las operaciones de etiquetado de la [API de etiquetado de Grupos de recursos de AWS](https://docs.aws.amazon.com/resourcegroupstagging/latest/APIReference/overview.html).
------
#### [ Console ]
**Para revisar las etiquetas de un recurso del CSPM de Security Hub (consola)**
1. Con las credenciales del administrador CSPM de Security Hub, abra la consola CSPM AWS de Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. Elija una de las siguientes opciones, en función del tipo de recurso al que desea añadir una etiqueta:
+ Para revisar las etiquetas de una regla de automatización, seleccione **Automatizaciones** en el panel de navegación. A continuación, seleccione una regla de automatización.
+ Para revisar las etiquetas de una política de configuración, seleccione **Configuración** en el panel de navegación. A continuación, en la pestaña **Políticas**, seleccione la opción situada junto a una política de configuración. Se abrirá un panel lateral que mostrará el número de etiquetas asignadas a la política. Puede expandir el encabezado **Etiquetas** para ver las claves y los valores de las etiquetas.
La sección **Etiquetas** muestra una lista de todas las etiquetas asignadas actualmente al recurso.
------
#### [ Security Hub CSPM API ]
**Para revisar las etiquetas de un recurso del CSPM de Security Hub (API)**
Para recuperar y revisar las etiquetas de un recurso existente, invoque la API. [ListTagsForResource](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListTagsForResource.html) En su solicitud, utilice el parámetro `resourceArn` para especificar el nombre de recurso de Amazon (ARN) del recurso.
Si utiliza el AWS CLI, ejecute el [list-tags-for-resource](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-tags-for-resource.html)comando y utilice el `resource-arn` parámetro para especificar el ARN del recurso. Por ejemplo:
```
$ aws securityhub list-tags-for-resource --resource-arn arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111
```
Si la operación se completa correctamente, el CSPM de Security Hub devuelve una matriz de `tags`. Cada objeto de la matriz especifica una etiqueta (tanto la clave como el valor de la etiqueta) que está asignada actualmente al recurso. Por ejemplo:
```
{
"tags": [
{
"key": "Environment",
"value": "Prod"
},
{
"key": "CostCenter",
"value": "12345"
},
{
"key": "Owner",
"value": ""
}
]
}
```
Donde `Environment`, `CostCenter` y `Owner` son las claves de etiqueta que se asignan al recurso. `Prod` es el valor de etiqueta asociado a la clave de etiqueta `Environment`. `12345` es el valor de etiqueta asociado a la clave de etiqueta `CostCenter`. La clave de etiqueta `Owner` no tiene un valor de etiqueta asociado.
Para recuperar una lista de todos los recursos CSPM de Security Hub que tienen etiquetas y todas las etiquetas asignadas a cada uno de esos recursos, utilice la [GetResources](https://docs.aws.amazon.com/resourcegroupstagging/latest/APIReference/API_GetResources.html)operación de la API de Grupos de recursos de AWS etiquetado. En su solicitud, defina el valor del parámetro `ResourceTypeFilters` como `securityhub`. Para ello AWS CLI, ejecute el comando [get-resources](https://docs.aws.amazon.com/cli/latest/reference/resourcegroupstaggingapi/get-resources.html) y defina el valor del parámetro en. `resource-type-filters` `securityhub` Por ejemplo:
```
$ aws resourcegroupstaggingapi get-resources -\-resource-type-filters "securityhub"
```
Si la operación se lleva a cabo correctamente, Resource Groups devuelve una matriz `ResourceTagMappingList`. La matriz contiene un objeto por cada recurso del CSPM de Security Hub que tenga etiquetas. Cada objeto especifica el ARN de un recurso del CSPM de Security Hub, así como las claves y valores de etiqueta que se asignan al recurso.
------
# Eliminación de etiquetas de recursos del CSPM de Security Hub
Si agrega etiquetas a un recurso CSPM de AWS Security Hub, puede eliminar una o más de ellas posteriormente. Una *etiqueta* es una marca que define y asigna a los recursos de AWS , incluidos ciertos tipos de recursos del CSPM de Security Hub. Puede agregar, editar y eliminar etiquetas de los siguientes tipos de recursos del CSPM de Security Hub: reglas de automatización, políticas de configuración y recursos de `Hub`.
Para eliminar etiquetas de un recurso CSPM de AWS Security Hub individual, puede utilizar la API CSPM de Security Hub. Actualmente, la consola del CSPM de Security Hub no admite la eliminación de etiquetas.
Para eliminar las etiquetas de varios recursos del CSPM de Security Hub al mismo tiempo, utilice las operaciones de etiquetado de la [API de etiquetado de Grupos de recursos de AWS](https://docs.aws.amazon.com/resourcegroupstagging/latest/APIReference/overview.html).
**importante**
La eliminación de etiquetas de un recurso puede afectar al acceso al recurso. Antes de eliminar una etiqueta, revise las políticas AWS Identity and Access Management (de IAM) que puedan utilizarla para controlar el acceso a los recursos.
------
#### [ Security Hub CSPM API ]
**Para eliminar etiquetas de un recurso del CSPM de Security Hub (API)**
Para eliminar una o más etiquetas de un recurso mediante programación, utilice la [UntagResource](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UntagResource.html)operación de la API CSPM de Security Hub. En su solicitud, utilice el parámetro `resourceArn` para especificar el nombre de recurso de Amazon (ARN) del recurso del que quiere eliminar una etiqueta. Utilice el parámetro `tagKeys` para especificar la clave de etiqueta de la etiqueta que se va a eliminar. Para eliminar varias etiquetas, añada el parámetro `tagKeys` y el argumento de cada etiqueta que desee eliminar, separados por un signo &, por ejemplo, `tagKeys=key1&tagKeys=key2`. Para quitar solo un valor de etiqueta específico (no una clave de etiqueta) de un recurso, [edite la etiqueta](tags-update.md) en lugar de eliminarla.
Si utiliza el comando untag-resource AWS CLI, ejecute el comando [untag-resource](https://docs.aws.amazon.com/cli/latest/reference/securityhub/untag-resource.html) para eliminar una o más etiquetas de un recurso. Para el parámetro `resource-arn`, especifique el ARN del recurso del que se va a eliminar una etiqueta. Utilice el parámetro `tag-keys` para especificar la clave de etiqueta de la etiqueta que se va a eliminar. Por ejemplo, el siguiente comando elimina la etiqueta `Environment` (tanto la clave como el valor de la etiqueta) de la política de configuración especificada:
```
$ aws securityhub untag-resource \
--resource-arn arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 \
--tag-keys Environment
```
Donde `resource-arn` especifica el ARN de la política de configuración de la que se va a eliminar una etiqueta y `Environment` es la clave de etiqueta de la etiqueta que se va a eliminar.
Para eliminar varias etiquetas de un recurso, agregue cada clave adicional como argumento para el parámetro `tag-keys`: Por ejemplo:
```
$ aws securityhub untag-resource \
--resource-arn arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 \
--tag-keys Environment Owner
```
Si la operación se realiza correctamente, el CSPM de Security Hub devuelve una respuesta HTTP 200 vacía. De lo contrario, el CSPM de Security Hub devuelve una respuesta HTTP 4 *xx* o 500 que indica el motivo del error de la operación.
------