Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# AWS Norme de balisage des ressources dans Security Hub CSPM
La norme AWS Resource Tagging, développée par AWS Security Hub CSPM, vous aide à déterminer si des balises sont manquantes dans vos AWS ressources. Les *balises* sont des paires clé-valeur qui servent de métadonnées pour organiser AWS les ressources. Pour la plupart des AWS ressources, vous avez la possibilité d'ajouter des balises à une ressource lors de sa création ou après sa création. Les exemples de ressources incluent les CloudFront distributions Amazon, les instances Amazon Elastic Compute Cloud (Amazon EC2) et les secrets in. AWS Secrets Manager Les balises peuvent vous aider à gérer, identifier, organiser, rechercher et filtrer les AWS ressources.
Chaque balise se compose de deux parties :
+ Une clé de balise, par exemple `CostCenter``Environment`, ou. `Project` Les touches de tag distinguent les majuscules et minuscules.
+ Une valeur de balise, par exemple, `111122223333` ou. `Production` Les valeurs de balise sont sensibles à la casse, tout comme les clés de balise.
Vous pouvez utiliser des balises pour classer les ressources en fonction de leur objectif, de leur propriétaire, de leur environnement ou d'autres critères. Pour plus d'informations sur l'ajout de balises aux AWS ressources, consultez le [guide de l'utilisateur AWS des ressources de balisage et de l'éditeur de balises](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).
Pour chaque contrôle qui s'applique à la norme AWS Resource Tagging dans Security Hub CSPM, vous pouvez éventuellement utiliser le paramètre pris en charge pour spécifier les clés de balise que vous souhaitez que le contrôle vérifie. Si vous ne spécifiez aucune clé de balise, le contrôle vérifie uniquement l'existence d'au moins une clé de balise et échoue si une ressource n'en possède aucune.
Avant d'activer la norme de balisage AWS des ressources, il est important d'activer et de configurer l'enregistrement des ressources dans AWS Config. Lorsque vous configurez l'enregistrement des ressources, veillez également à l'activer pour tous les types de AWS ressources contrôlés par les contrôles applicables à la norme. Sinon, Security Hub CSPM risque de ne pas être en mesure d'évaluer les ressources appropriées et de générer des résultats précis pour les contrôles applicables à la norme. Pour plus d'informations, y compris une liste des types de ressources à enregistrer, consultez[ AWS Config Ressources requises pour les résultats des contrôles](controls-config-resources.md).
Après avoir activé la norme de balisage AWS des ressources, vous commencez à recevoir les résultats des contrôles qui s'appliquent à la norme. Notez que Security Hub CSPM peut mettre jusqu'à 18 heures à générer des résultats pour les contrôles qui utilisent la même règle AWS Config liée au service que les contrôles qui s'appliquent à d'autres normes activées. Pour de plus amples informations, veuillez consulter [Planification de l'exécution des vérifications de sécurité](securityhub-standards-schedule.md).
La norme de balisage AWS des ressources utilise le nom de ressource Amazon (ARN) suivant :`arn:aws:securityhub:region::standards/aws-resource-tagging-standard/v/1.0.0`, où se *region* trouve le code de région correspondant à la ressource applicable Région AWS. Vous pouvez également utiliser le [GetEnabledStandards](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetEnabledStandards.html)fonctionnement de l'API Security Hub CSPM pour récupérer l'ARN d'une norme actuellement activée.
**Note**
La [norme de balisage des AWS ressources](#standards-tagging) n'est pas disponible dans les régions Asie-Pacifique (Nouvelle Zélande) et Asie-Pacifique (Taipei).
## Contrôles applicables à la norme
La liste suivante indique quels contrôles AWS Security Hub CSPM s'appliquent à la norme AWS Resource Tagging (v1.0.0). Pour consulter les détails d'un contrôle, choisissez-le.
+ [[ACM.3] Les certificats ACM doivent être balisés](acm-controls.md#acm-3)
+ [[Amplify.1] Les applications Amplify doivent être étiquetées](amplify-controls.md#amplify-1)
+ [[Amplify .2] Les branches Amplify doivent être étiquetées](amplify-controls.md#amplify-2)
+ [[AppConfig.1] AWS AppConfig les applications doivent être étiquetées](appconfig-controls.md#appconfig-1)
+ [[AppConfig.2] les profils AWS AppConfig de configuration doivent être balisés](appconfig-controls.md#appconfig-2)
+ [[AppConfig.3] AWS AppConfig les environnements doivent être balisés](appconfig-controls.md#appconfig-3)
+ [[AppConfig.4] les associations d' AWS AppConfig extensions doivent être étiquetées](appconfig-controls.md#appconfig-4)
+ [[AppFlow.1] Les AppFlow flux Amazon doivent être balisés](appflow-controls.md#appflow-1)
+ [[AppRunner.1] Les services App Runner doivent être balisés](apprunner-controls.md#apprunner-1)
+ [[AppRunner.2] Les connecteurs VPC App Runner doivent être étiquetés](apprunner-controls.md#apprunner-2)
+ [[AppSync.4] AWS AppSync GraphQL APIs doit être balisé](appsync-controls.md#appsync-4)
+ [[Athena.2] Les catalogues de données Athena doivent être balisés](athena-controls.md#athena-2)
+ [[Athena.3] Les groupes de travail Athena doivent être balisés](athena-controls.md#athena-3)
+ [[AutoScaling.10] Les groupes EC2 Auto Scaling doivent être balisés](autoscaling-controls.md#autoscaling-10)
+ [[Backup.2] les points de AWS Backup restauration doivent être balisés](backup-controls.md#backup-2)
+ [Les AWS Backup coffres-forts [Backup.3] doivent être balisés](backup-controls.md#backup-3)
+ [[Backup.4] Les plans de AWS Backup rapport doivent être balisés](backup-controls.md#backup-4)
+ [[Backup.5] les plans de AWS Backup sauvegarde doivent être balisés](backup-controls.md#backup-5)
+ [[Batch.1] Les files d'attente de tâches par lots doivent être étiquetées](batch-controls.md#batch-1)
+ [[Batch.2] Les politiques de planification par lots doivent être étiquetées](batch-controls.md#batch-2)
+ [[Batch.3] Les environnements de calcul par lots doivent être balisés](batch-controls.md#batch-3)
+ [[Batch.4] Les propriétés des ressources de calcul dans les environnements de calcul par lots gérés doivent être balisées](batch-controls.md#batch-4)
+ [[CloudFormation.2] les CloudFormation piles doivent être étiquetées](cloudformation-controls.md#cloudformation-2)
+ [[CloudFront.14] les CloudFront distributions doivent être étiquetées](cloudfront-controls.md#cloudfront-14)
+ [[CloudTrail.9] les CloudTrail sentiers doivent être balisés](cloudtrail-controls.md#cloudtrail-9)
+ [[CodeArtifact.1] les CodeArtifact référentiels doivent être balisés](codeartifact-controls.md#codeartifact-1)
+ [[CodeGuruProfiler.1] Les groupes de CodeGuru profilage du profileur doivent être balisés](codeguruprofiler-controls.md#codeguruprofiler-1)
+ [[CodeGuruReviewer.1] Les associations de référentiels des CodeGuru réviseurs doivent être balisées](codegurureviewer-controls.md#codegurureviewer-1)
+ [[Connect.1] Les types d'objets des profils clients Amazon Connect doivent être balisés](connect-controls.md#connect-1)
+ [[DataSync.2] DataSync les tâches doivent être étiquetées](datasync-controls.md#datasync-2)
+ [[Detective.1] Les graphes de comportement des détectives doivent être balisés](detective-controls.md#detective-1)
+ [[DMS.2] Les certificats DMS doivent être balisés](dms-controls.md#dms-2)
+ [[DMS.3] Les abonnements aux événements DMS doivent être étiquetés](dms-controls.md#dms-3)
+ [[DMS.4] Les instances de réplication DMS doivent être étiquetées](dms-controls.md#dms-4)
+ [[DMS.5] Les groupes de sous-réseaux de réplication DMS doivent être balisés](dms-controls.md#dms-5)
+ [[DynamoDB.5] Les tables DynamoDB doivent être balisées](dynamodb-controls.md#dynamodb-5)
+ [[EC2.33] Les pièces jointes de la passerelle de transit EC2 doivent être étiquetées](ec2-controls.md#ec2-33)
+ [[EC2.34] Les tables de routage des passerelles de transit EC2 doivent être étiquetées](ec2-controls.md#ec2-34)
+ [[EC2.35] Les interfaces réseau EC2 doivent être étiquetées](ec2-controls.md#ec2-35)
+ [[EC2.36] Les passerelles client EC2 doivent être étiquetées](ec2-controls.md#ec2-36)
+ [[EC2.37] Les adresses IP élastiques EC2 doivent être balisées](ec2-controls.md#ec2-37)
+ [[EC2.38] Les instances EC2 doivent être étiquetées](ec2-controls.md#ec2-38)
+ [[EC2.39] Les passerelles Internet EC2 doivent être étiquetées](ec2-controls.md#ec2-39)
+ [[EC2.40] Les passerelles NAT EC2 doivent être étiquetées](ec2-controls.md#ec2-40)
+ [[EC2.41] Le réseau EC2 doit être étiqueté ACLs](ec2-controls.md#ec2-41)
+ [[EC2.42] Les tables de routage EC2 doivent être étiquetées](ec2-controls.md#ec2-42)
+ [[EC2.43] Les groupes de sécurité EC2 doivent être balisés](ec2-controls.md#ec2-43)
+ [[EC2.44] Les sous-réseaux EC2 doivent être balisés](ec2-controls.md#ec2-44)
+ [[EC2.45] Les volumes EC2 doivent être balisés](ec2-controls.md#ec2-45)
+ [[EC2.46] Amazon VPCs doit être tagué](ec2-controls.md#ec2-46)
+ [[EC2.47] Les services de point de terminaison Amazon VPC doivent être balisés](ec2-controls.md#ec2-47)
+ [[EC2.48] Les journaux de flux Amazon VPC doivent être balisés](ec2-controls.md#ec2-48)
+ [[EC2.49] Les connexions d'appairage Amazon VPC doivent être étiquetées](ec2-controls.md#ec2-49)
+ [[EC2.50] Les passerelles VPN EC2 doivent être étiquetées](ec2-controls.md#ec2-50)
+ [[EC2.52] Les passerelles de transit EC2 doivent être étiquetées](ec2-controls.md#ec2-52)
+ [[EC2.174] Les ensembles d'options DHCP EC2 doivent être balisés](ec2-controls.md#ec2-174)
+ [[EC2.175] Les modèles de lancement EC2 doivent être balisés](ec2-controls.md#ec2-175)
+ [[EC2.176] Les listes de préfixes EC2 doivent être étiquetées](ec2-controls.md#ec2-176)
+ [[EC2.177] Les sessions de miroir du trafic EC2 doivent être étiquetées](ec2-controls.md#ec2-177)
+ [[EC2.178] Les filtres de rétroviseurs de trafic EC2 doivent être étiquetés](ec2-controls.md#ec2-178)
+ [[EC2.179] Les cibles du miroir de trafic EC2 doivent être étiquetées](ec2-controls.md#ec2-179)
+ [[ECR.4] Les référentiels publics ECR doivent être balisés](ecr-controls.md#ecr-4)
+ [[ECS.13] Les services ECS doivent être balisés](ecs-controls.md#ecs-13)
+ [[ECS.14] Les clusters ECS doivent être balisés](ecs-controls.md#ecs-14)
+ [[ECS.15] Les définitions de tâches ECS doivent être étiquetées](ecs-controls.md#ecs-15)
+ [[EFS.5] Les points d'accès EFS doivent être étiquetés](efs-controls.md#efs-5)
+ [[EKS.6] Les clusters EKS doivent être étiquetés](eks-controls.md#eks-6)
+ [[EKS.7] Les configurations du fournisseur d'identité EKS doivent être étiquetées](eks-controls.md#eks-7)
+ [[ES.9] Les domaines Elasticsearch doivent être balisés](es-controls.md#es-9)
+ [[EventBridge.2] les bus EventBridge d'événements doivent être étiquetés](eventbridge-controls.md#eventbridge-2)
+ [[FraudDetector.1] Les types d'entités Amazon Fraud Detector doivent être balisés](frauddetector-controls.md#frauddetector-1)
+ [[FraudDetector.2] Les étiquettes Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-2)
+ [[FraudDetector.3] Les résultats d'Amazon Fraud Detector doivent être étiquetés](frauddetector-controls.md#frauddetector-3)
+ [[FraudDetector.4] Les variables Amazon Fraud Detector doivent être étiquetées](frauddetector-controls.md#frauddetector-4)
+ [[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés](globalaccelerator-controls.md#globalaccelerator-1)
+ [[Glue.1] les AWS Glue tâches doivent être étiquetées](glue-controls.md#glue-1)
+ [[GuardDuty.2] GuardDuty les filtres doivent être balisés](guardduty-controls.md#guardduty-2)
+ [[GuardDuty.3] GuardDuty IPSets doit être étiqueté](guardduty-controls.md#guardduty-3)
+ [[GuardDuty.4] les GuardDuty détecteurs doivent être étiquetés](guardduty-controls.md#guardduty-4)
+ [[IAM.23] Les analyseurs IAM Access Analyzer doivent être étiquetés](iam-controls.md#iam-23)
+ [[IAM.24] Les rôles IAM doivent être balisés](iam-controls.md#iam-24)
+ [[IAM.25] Les utilisateurs IAM doivent être étiquetés](iam-controls.md#iam-25)
+ [[IoT.1] les profils AWS IoT Device Defender de sécurité doivent être balisés](iot-controls.md#iot-1)
+ [[IoT.2] les mesures AWS IoT Core d'atténuation doivent être étiquetées](iot-controls.md#iot-2)
+ [Les AWS IoT Core dimensions [IoT.3] doivent être étiquetées](iot-controls.md#iot-3)
+ [[IoT.4] les AWS IoT Core autorisateurs doivent être étiquetés](iot-controls.md#iot-4)
+ [Les alias de AWS IoT Core rôle [IoT.5] doivent être balisés](iot-controls.md#iot-5)
+ [Les AWS IoT Core politiques [IoT.6] doivent être étiquetées](iot-controls.md#iot-6)
+ [[Io TEvents .1] Les entrées AWS IoT Events doivent être étiquetées](iotevents-controls.md#iotevents-1)
+ [[Io TEvents .2] Les modèles de détecteurs AWS IoT Events doivent être étiquetés](iotevents-controls.md#iotevents-2)
+ [[Io TEvents .3] Les modèles d'alarme AWS IoT Events doivent être étiquetés](iotevents-controls.md#iotevents-3)
+ [[Io TSite Wise.1] Les modèles SiteWise d'actifs AWS IoT doivent être étiquetés](iotsitewise-controls.md#iotsitewise-1)
+ [[Io TSite Wise.2] Les SiteWise tableaux de bord AWS IoT doivent être balisés](iotsitewise-controls.md#iotsitewise-2)
+ [[Io TSite Wise.3] Les SiteWise passerelles AWS IoT doivent être étiquetées](iotsitewise-controls.md#iotsitewise-3)
+ [[Io TSite Wise.4] Les SiteWise portails AWS IoT doivent être balisés](iotsitewise-controls.md#iotsitewise-4)
+ [[Io TSite Wise.5] Les SiteWise projets AWS IoT doivent être étiquetés](iotsitewise-controls.md#iotsitewise-5)
+ [[Io TTwin Maker.1] Les tâches de TwinMaker synchronisation AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-1)
+ [[Io TTwin Maker.2] Les TwinMaker espaces de travail AWS IoT doivent être balisés](iottwinmaker-controls.md#iottwinmaker-2)
+ [[Io TTwin Maker.3] Les TwinMaker scènes AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-3)
+ [[Io TTwin Maker.4] Les TwinMaker entités AWS IoT doivent être étiquetées](iottwinmaker-controls.md#iottwinmaker-4)
+ [[Io TWireless .1] Les groupes de multidiffusion AWS IoT Wireless doivent être étiquetés](iotwireless-controls.md#iotwireless-1)
+ [[Io TWireless .2] Les profils de service AWS IoT Wireless doivent être balisés](iotwireless-controls.md#iotwireless-2)
+ [[Io TWireless .3] Les tâches AWS IoT FUOTA doivent être étiquetées](iotwireless-controls.md#iotwireless-3)
+ [[IVS.1] Les paires de clés de lecture IVS doivent être étiquetées](ivs-controls.md#ivs-1)
+ [[IVS.2] Les configurations d'enregistrement IVS doivent être étiquetées](ivs-controls.md#ivs-2)
+ [[IVS.3] Les canaux IVS doivent être balisés](ivs-controls.md#ivs-3)
+ [[Keyspaces.1] Les espaces de touches Amazon Keyspaces doivent être balisés](keyspaces-controls.md#keyspaces-1)
+ [[Kinesis.2] Les flux Kinesis doivent être balisés](kinesis-controls.md#kinesis-2)
+ [[Lambda.6] Les fonctions Lambda doivent être étiquetées](lambda-controls.md#lambda-6)
+ [[MQ.4] Les courtiers Amazon MQ doivent être étiquetés](mq-controls.md#mq-4)
+ [[NetworkFirewall.7] Les pare-feux Network Firewall doivent être balisés](networkfirewall-controls.md#networkfirewall-7)
+ [[NetworkFirewall.8] Les politiques de pare-feu de Network Firewall doivent être balisées](networkfirewall-controls.md#networkfirewall-8)
+ [Les OpenSearch domaines [Opensearch.9] doivent être balisés](opensearch-controls.md#opensearch-9)
+ [[PCA.2] Les autorités de certification AWS privées de l'autorité de certification doivent être étiquetées](pca-controls.md#pca-2)
+ [[RDS.28] Les clusters de base de données RDS doivent être balisés](rds-controls.md#rds-28)
+ [[RDS.29] Les instantanés du cluster de base de données RDS doivent être balisés](rds-controls.md#rds-29)
+ [[RDS.30] Les instances de base de données RDS doivent être étiquetées](rds-controls.md#rds-30)
+ [[RDS.31] Les groupes de sécurité de base de données RDS doivent être balisés](rds-controls.md#rds-31)
+ [[RDS.32] Les instantanés de base de données RDS doivent être balisés](rds-controls.md#rds-32)
+ [[RDS.33] Les groupes de sous-réseaux de base de données RDS doivent être balisés](rds-controls.md#rds-33)
+ [[Redshift.11] Les clusters Redshift doivent être balisés](redshift-controls.md#redshift-11)
+ [[Redshift.12] Les abonnements aux notifications d'événements Redshift doivent être balisés](redshift-controls.md#redshift-12)
+ [[Redshift.13] Les instantanés du cluster Redshift doivent être balisés](redshift-controls.md#redshift-13)
+ [[Redshift.14] Les groupes de sous-réseaux du cluster Redshift doivent être balisés](redshift-controls.md#redshift-14)
+ [[Redshift.17] Les groupes de paramètres du cluster Redshift doivent être balisés](redshift-controls.md#redshift-17)
+ [[Route53.1] Les bilans de santé de la Route 53 doivent être étiquetés](route53-controls.md#route53-1)
+ [[SageMaker.6] les configurations d'image de l' SageMaker application doivent être balisées](sagemaker-controls.md#sagemaker-6)
+ [[SageMaker.7] les SageMaker images doivent être balisées](sagemaker-controls.md#sagemaker-7)
+ [[SecretsManager.5] Les secrets de Secrets Manager doivent être balisés](secretsmanager-controls.md#secretsmanager-5)
+ [[SES.1] Les listes de contacts SES doivent être étiquetées](ses-controls.md#ses-1)
+ [[SES.2] Les ensembles de configuration SES doivent être balisés](ses-controls.md#ses-2)
+ [[SNS.3] Les sujets SNS doivent être balisés](sns-controls.md#sns-3)
+ [[SQS.2] Les files d'attente SQS doivent être balisées](sqs-controls.md#sqs-2)
+ [[SSM.5] Les documents SSM doivent être balisés](ssm-controls.md#ssm-5)
+ [[StepFunctions.2] Les activités de Step Functions doivent être étiquetées](stepfunctions-controls.md#stepfunctions-2)
+ [Les AWS Transfer Family flux de travail [Transfer.1] doivent être balisés](transfer-controls.md#transfer-1)
+ [[Transfer.4] Les accords Transfer Family doivent être étiquetés](transfer-controls.md#transfer-4)
+ [[Transfer.5] Les certificats Transfer Family doivent être étiquetés](transfer-controls.md#transfer-5)
+ [[Transfer.6] Les connecteurs Transfer Family doivent être étiquetés](transfer-controls.md#transfer-6)
+ [[Transfer.7] Les profils Transfer Family doivent être balisés](transfer-controls.md#transfer-7)