Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
AWSNorme de balisage des ressources dans Security Hub CSPM
La norme AWS Resource Tagging, développée par AWS Security Hub CSPM, vous aide à déterminer si des balises sont manquantes dans vos AWS ressources. Les balises sont des paires clé-valeur qui agissent comme des métadonnées pour organiser AWS les ressources. Pour la plupart des AWS ressources, vous avez la possibilité d'ajouter des balises à une ressource lors de sa création ou après sa création. Les exemples de ressources incluent les CloudFront distributions Amazon, les instances Amazon Elastic Compute Cloud (Amazon EC2) et les secrets in. AWS Secrets Manager Les balises peuvent vous aider à gérer, identifier, organiser, rechercher et filtrer les AWS ressources.
Chaque balise se compose de deux parties :
-
Une clé de balise, par exemple
CostCenterEnvironment, ou.ProjectLes touches de tag distinguent les majuscules et minuscules. -
Une valeur de balise, par exemple,
111122223333ou.ProductionLes valeurs de balise sont sensibles à la casse, tout comme les clés de balise.
Vous pouvez utiliser des balises pour classer les ressources en fonction de leur objectif, de leur propriétaire, de leur environnement ou d'autres critères. Pour plus d'informations sur l'ajout de balises aux AWS ressources, consultez le guide de l'utilisateur AWS des ressources de balisage et de l'éditeur de balises.
Pour chaque contrôle qui s'applique à la norme AWS Resource Tagging dans Security Hub CSPM, vous pouvez éventuellement utiliser le paramètre pris en charge pour spécifier les clés de balise que vous souhaitez que le contrôle vérifie. Si vous ne spécifiez aucune clé de balise, le contrôle vérifie uniquement l'existence d'au moins une clé de balise et échoue si une ressource n'en possède aucune.
Avant d'activer la norme de balisage AWS des ressources, il est important d'activer et de configurer l'enregistrement des ressources dansAWS Config. Lorsque vous configurez l'enregistrement des ressources, veillez également à l'activer pour tous les types de AWS ressources contrôlés par les contrôles applicables à la norme. Sinon, Security Hub CSPM risque de ne pas être en mesure d'évaluer les ressources appropriées et de générer des résultats précis pour les contrôles applicables à la norme. Pour plus d'informations, y compris une liste des types de ressources à enregistrer, consultezAWS ConfigRessources requises pour les résultats des contrôles.
Après avoir activé la norme de balisage AWS des ressources, vous commencez à recevoir les résultats des contrôles qui s'appliquent à la norme. Notez que Security Hub CSPM peut mettre jusqu'à 18 heures à générer des résultats pour les contrôles qui utilisent la même règle AWS Config liée au service que les contrôles qui s'appliquent à d'autres normes activées. Pour de plus amples informations, veuillez consulter Planification de l'exécution des vérifications de sécurité.
La norme de balisage AWS des ressources utilise le nom de ressource Amazon (ARN) suivant :arn:aws:securityhub:, où se region::standards/aws-resource-tagging-standard/v/1.0.0region trouve le code de région correspondant à la ressource applicableRégion AWS. Vous pouvez également utiliser le GetEnabledStandardsfonctionnement de l'API Security Hub CSPM pour récupérer l'ARN d'une norme actuellement activée.
Note
La norme de balisage des AWS ressources n'est pas disponible dans les régions Asie-Pacifique (Nouvelle Zélande) et Asie-Pacifique (Taipei).
Contrôles applicables à la norme
La liste suivante indique quels contrôles AWS Security Hub CSPM s'appliquent à la norme AWS Resource Tagging (v1.0.0). Pour consulter les détails d'un contrôle, choisissez-le.
-
[Amplify.1] Les applications Amplify doivent être étiquetées
-
[AppConfig.1]AWS AppConfigles applications doivent être étiquetées
-
[AppConfig.2]AWS AppConfigles profils de configuration doivent être balisés
-
[AppConfig.3]AWS AppConfigles environnements doivent être balisés
-
[AppConfig.4]AWS AppConfigles associations d'extensions doivent être étiquetées
-
[AppRunner.2] Les connecteurs VPC App Runner doivent être étiquetés
-
[Athena.2] Les catalogues de données Athena doivent être balisés
-
[Athena.3] Les groupes de travail Athena doivent être étiquetés
-
[AutoScaling.10] Les groupes EC2 Auto Scaling doivent être balisés
-
[Backup.2]AWS Backuples points de récupération doivent être étiquetés
-
[Backup.3]AWS Backuples coffres-forts doivent être étiquetés
-
[Backup.4]AWS Backuples plans de rapport doivent être étiquetés
-
[Backup.5]AWS Backuples plans de sauvegarde doivent être étiquetés
-
[Batch.1] Les files d'attente de tâches par lots doivent être étiquetées
-
[Batch.2] Les politiques de planification par lots doivent être étiquetées
-
[Batch.3] Les environnements de calcul par lots doivent être balisés
-
[CloudFormation.2] les CloudFormation piles doivent être étiquetées
-
[CloudFront.14] CloudFront les distributions doivent être étiquetées
-
[CodeArtifact.1] les CodeArtifact référentiels doivent être balisés
-
[CodeGuruProfiler.1] Les groupes de CodeGuru profilage de profileurs doivent être balisés
-
[CodeGuruReviewer.1] Les associations de référentiels des CodeGuru réviseurs doivent être étiquetées
-
[Connect.1] Les types d'objets des profils clients Amazon Connect doivent être balisés
-
[Detective.1] Les graphes de comportement des détectives doivent être balisés
-
[DMS.3] Les abonnements aux événements DMS doivent être étiquetés
-
[DMS.4] Les instances de réplication DMS doivent être étiquetées
-
[DMS.5] Les groupes de sous-réseaux de réplication DMS doivent être balisés
-
[EC2.33] Les pièces jointes de la passerelle de transit EC2 doivent être étiquetées
-
[EC2.34] Les tables de routage de la passerelle de transit EC2 doivent être balisées
-
[EC2.39] Les passerelles Internet EC2 doivent être étiquetées
-
[EC2.47] Les services de point de terminaison Amazon VPC doivent être balisés
-
[EC2.48] Les journaux de flux Amazon VPC doivent être balisés
-
[EC2.49] Les connexions d'appairage Amazon VPC doivent être étiquetées
-
[EC2.52] Les passerelles de transit EC2 doivent être étiquetées
-
[EC2.174] Les ensembles d'options DHCP EC2 doivent être balisés
-
[EC2.176] Les listes de préfixes EC2 doivent être étiquetées
-
[EC2.177] Les sessions EC2 Traffic Mirror doivent être étiquetées
-
[EC2.178] Les filtres de rétroviseurs EC2 doivent être étiquetés
-
[EC2.179] Les cibles du miroir de trafic EC2 doivent être étiquetées
-
[ECS.15] Les définitions de tâches ECS doivent être étiquetées
-
[EKS.7] Les configurations du fournisseur d'identité EKS doivent être étiquetées
-
[EventBridge.2] les bus EventBridge d'événements doivent être étiquetés
-
[FraudDetector.1] Les types d'entités Amazon Fraud Detector doivent être balisés
-
[FraudDetector.2] Les étiquettes Amazon Fraud Detector doivent être étiquetées
-
[FraudDetector.3] Les résultats d'Amazon Fraud Detector doivent être étiquetés
-
[FraudDetector.4] Les variables Amazon Fraud Detector doivent être étiquetées
-
[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés
-
[GuardDuty.4] les GuardDuty détecteurs doivent être étiquetés
-
[IAM.23] Les analyseurs IAM Access Analyzer doivent être étiquetés
-
[IoT.1]AWS IoT Device Defenderles profils de sécurité doivent être balisés
-
[IoT.2]AWS IoT Coreles mesures d'atténuation doivent être étiquetées
-
[IoTEvents.1]AWSLes entrées IoT Events doivent être étiquetées
-
[IoTEvents.2]AWSLes modèles de détecteurs IoT Events doivent être étiquetés
-
[IoTEvents.3]AWSLes modèles d'alarme IoT Events doivent être étiquetés
-
[IoTSiteWise.1]AWSLes modèles SiteWise d'actifs IoT devraient être étiquetés
-
[IoTSiteWise.2]AWS SiteWise Les tableaux de bord de l'IoT doivent être balisés
-
[IoTSiteWise.3]AWS SiteWise Les passerelles IoT doivent être étiquetées
-
[IoTSiteWise.4]AWS SiteWise Les portails IoT doivent être étiquetés
-
[IoTSiteWise.5]AWS SiteWise Les projets IoT doivent être étiquetés
-
[IoTTwinMaker.1]AWSLes tâches de TwinMaker synchronisation de l'IoT doivent être étiquetées
-
[IoTTwinMaker.2]AWSLes TwinMaker espaces de travail IoT doivent être étiquetés
-
[IoTTwinMaker.3]AWSLes TwinMaker scènes IoT doivent être étiquetées
-
[IoTTwinMaker.4]AWS TwinMaker Les entités IoT doivent être étiquetées
-
[IoTWireless.1]AWSLes groupes de multidiffusion IoT Wireless doivent être étiquetés
-
[IoTWireless.2]AWSLes profils de service IoT Wireless doivent être balisés
-
[IoTWireless.3]AWSLes tâches IoT FUOTA doivent être étiquetées
-
[IVS.1] Les paires de clés de lecture IVS doivent être étiquetées
-
[IVS.2] Les configurations d'enregistrement IVS doivent être étiquetées
-
[Keyspaces.1] Les espaces de touches Amazon Keyspaces doivent être balisés
-
[NetworkFirewall.7] Les pare-feux Network Firewall doivent être étiquetés
-
[NetworkFirewall.8] Les politiques de pare-feu de Network Firewall doivent être étiquetées
-
[RDS.28] Les clusters de base de données RDS doivent être balisés
-
[RDS.29] Les instantanés du cluster de base de données RDS doivent être balisés
-
[RDS.30] Les instances de base de données RDS doivent être étiquetées
-
[RDS.31] Les groupes de sécurité de base de données RDS doivent être balisés
-
[RDS.32] Les instantanés de base de données RDS doivent être balisés
-
[RDS.33] Les groupes de sous-réseaux de base de données RDS doivent être balisés
-
[Redshift.12] Les abonnements aux notifications d'événements Redshift doivent être balisés
-
[Redshift.13] Les instantanés du cluster Redshift doivent être balisés
-
[Redshift.14] Les groupes de sous-réseaux du cluster Redshift doivent être balisés
-
[Redshift.17] Les groupes de paramètres du cluster Redshift doivent être balisés
-
[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés
-
[SageMaker.6] les configurations d'image de l' SageMaker application doivent être balisées
-
[SecretsManager.5] Les secrets de Secrets Manager doivent être balisés
-
[SES.2] Les ensembles de configuration SES doivent être étiquetés
-
[StepFunctions.2] Les activités de Step Functions doivent être étiquetées
-
[Transfer.1]AWS Transfer Familyles flux de travail doivent être balisés
-
[Transfer.4] Les accords Transfer Family doivent être étiquetés
-
[Transfer.5] Les certificats Transfer Family doivent être étiquetés
-
[Transfer.6] Les connecteurs Transfer Family doivent être étiquetés
-
[Transfer.7] Les profils Transfer Family doivent être balisés