Balisage des ressources du Security Hub - AWS Security Hub
Principes fondamentaux du balisageUtilisation de balises dans les politiques IAM

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Balisage des ressources du Security Hub

Une balise est une étiquette facultative que vous pouvez définir et attribuer à AWS des ressources, notamment à certains types de ressources AWS Security Hub. Les balises peuvent vous aider à identifier, à classer et à gérer les ressources de différentes manières, par exemple en fonction de leur objectif, de leur propriétaire, de leur environnement ou d'autres critères. Par exemple, vous pouvez utiliser des balises pour distinguer les ressources, identifier les ressources qui répondent à certaines exigences de conformité ou à certains flux de travail, ou répartir les coûts.

Vous pouvez ajouter des balises aux types de ressources Security Hub suivants :

  • Règles d'automatisation

  • Politiques de configuration

  • Hub ressource

Principes fondamentaux du balisage

Une ressource peut avoir jusqu'à 50 balises. Chaque balise est constituée d'une clé de balise obligatoire et d'une valeur de balise facultative que vous définissez. Une clé de balise est une étiquette générale qui fait office de catégorie pour une valeur de balise plus spécifique. Une valeur de balise tient lieu de descripteur pour une clé de balise.

Par exemple, si vous créez différentes règles d'automatisation pour différents environnements (un ensemble de règles d'automatisation pour les comptes de test et un autre pour les comptes de production), vous pouvez attribuer une clé de Environment balise à ces règles. La valeur de balise associée peut correspondre Test aux règles associées aux comptes de test et Prod aux règles associées aux comptes de production et OUs.

Lorsque vous définissez et attribuez des balises aux ressources du AWS Security Hub, gardez les points suivants à l'esprit :

  • Chaque ressource peut avoir un maximum de 50 balises.

  • Pour chaque ressource, chaque clé de balise doit être unique et ne peut avoir qu'une seule valeur de balise.

  • Les clés et valeurs de balise sont sensibles à la casse. À titre de bonne pratique, nous vous recommandons de définir une stratégie de capitalisation des balises et de mettre en œuvre cette stratégie de manière cohérente dans l'ensemble de vos ressources.

  • Une clé de balise peut comporter au maximum 128 caractères UTF-8. La valeur d'une balise peut comporter au maximum 256 caractères UTF-8. Les caractères peuvent être des lettres, des chiffres, des espaces ou les symboles suivants : _. :/= + - @

  • Le aws: préfixe est réservé à l'usage de AWS. Vous ne pouvez pas l'utiliser dans les clés ou les valeurs de balise que vous définissez. En outre, vous ne pouvez pas modifier ou supprimer les clés de balise ou les valeurs qui utilisent ce préfixe. Les balises qui utilisent ce préfixe ne sont pas comptabilisées dans le quota de 50 balises par ressource.

  • Tous les tags que vous attribuez ne sont disponibles que pour vous Compte AWS et uniquement dans le pays Région AWS dans lequel vous les attribuez.

  • Si vous attribuez des balises à une ressource à l'aide de Security Hub, les balises ne sont appliquées qu'à la ressource stockée directement dans Security Hub dans le cas applicable Région AWS. Ils ne s'appliquent à aucune ressource de support associée que Security Hub crée, utilise ou gère pour vous dans d'autres domaines Services AWS. Par exemple, si vous attribuez des balises à une règle d'automatisation qui met à jour les résultats relatifs à Amazon Simple Storage Service (Amazon S3), les balises sont appliquées uniquement à votre règle d'automatisation dans Security Hub pour la région spécifiée. Ils ne sont pas appliqués à vos compartiments S3. Pour attribuer également des balises à une ressource associée, vous pouvez utiliser AWS Resource Groups ou Service AWS celle qui stocke la ressource, par exemple Amazon S3 pour un compartiment S3. L'attribution de balises aux ressources associées peut vous aider à identifier les ressources de support pour vos ressources Security Hub.

  • Si vous supprimez une ressource, toutes les balises qui lui sont attribuées sont également supprimées.

Important

Ne stockez pas de données confidentielles ou d'autres types de données sensibles dans des balises. Les tags sont accessibles depuis de nombreuses personnes Services AWS, notamment AWS Billing and Cost Management. Ils ne sont pas destinés à être utilisés pour des données sensibles.

Pour ajouter et gérer des balises pour les ressources du Security Hub, vous pouvez utiliser la console Security Hub, l'API Security Hub ou l'API de AWS Resource Groups balisage. Security Hub vous permet d'ajouter des balises à une ressource lorsque vous la créez. Vous pouvez également ajouter et gérer des balises pour des ressources existantes individuelles. Avec Resource Groups, vous pouvez ajouter et gérer des balises en bloc pour plusieurs ressources existantes couvrant plusieurs ressources Services AWS, y compris Security Hub.

Pour obtenir des conseils supplémentaires sur le balisage et les meilleures pratiques, consultez la section Marquage de vos AWS ressources dans le Guide de l'utilisateur des AWS ressources de balisage.

Utilisation de balises dans les politiques IAM

Une fois que vous avez commencé à baliser les ressources, vous pouvez définir des autorisations basées sur des balises au niveau des ressources dans les politiques AWS Identity and Access Management (IAM). En utilisant les balises de cette manière, vous pouvez mettre en œuvre un contrôle granulaire des utilisateurs et des rôles autorisés à créer et à étiqueter des ressources, et des utilisateurs et rôles autorisés à ajouter, modifier et supprimer des balises de manière plus générale. Compte AWS Pour contrôler l'accès en fonction des balises, vous pouvez utiliser les clés de condition associées aux balises dans l'élément Condition des politiques IAM.

Par exemple, vous pouvez créer une politique IAM qui permet à un utilisateur d'avoir un accès complet à toutes les ressources du AWS Security Hub, si le Owner tag de la ressource indique son nom d'utilisateur :

{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "ModifyResourceIfOwner",
            "Effect": "Allow",
            "Action": "securityhub:*",
            "Resource": "*",
            "Condition": {
                "StringEqualsIgnoreCase": {"aws:ResourceTag/Owner": "${aws:username}"}
            }
        }
    ]
}

Si vous définissez des autorisations au niveau des ressources basées sur des balises, les autorisations prennent effet immédiatement. Vos ressources sont ainsi plus sécurisées dès leur création et vous pouvez rapidement commencer à appliquer l'utilisation des balises pour les nouvelles ressources. Vous pouvez également utiliser des autorisations au niveau des ressources afin de contrôler les clés et les valeurs de balise qui peuvent être associés à des ressources nouvelles et existantes. Pour plus d'informations, consultez la section Contrôle de l'accès aux AWS ressources à l'aide de balises dans le guide de l'utilisateur IAM.