Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Balisage des ressources du Security Hub
Une *balise* est une étiquette facultative que vous pouvez définir et attribuer aux AWS ressources, notamment à certains types de ressources AWS Security Hub CSPM. Les balises peuvent vous aider à identifier, classer et gérer ces types de ressources de différentes façons, notamment par objectif, par propriétaire, par environnement ou selon d’autres critères. Par exemple, vous pouvez utiliser des balises pour distinguer les ressources, identifier les ressources qui répondent à certaines exigences de conformité ou à certains flux de travail, ou répartir les coûts.
Vous pouvez ajouter des balises aux types de ressources CSPM du Security Hub suivants :
+ Règles d’automatisation
+ Politiques de configuration
+ `Hub` ressource
## Principes fondamentaux du balisage
Une ressource peut avoir jusqu'à 50 balises. Chaque balise est constituée d'une *clé de balise* obligatoire et d'une *valeur de balise* facultative que vous définissez. Une *clé de balise* est une étiquette générale qui fait office de catégorie pour une valeur de balise plus spécifique. Une *valeur de balise* tient lieu de descripteur pour une clé de balise.
Par exemple, si vous créez différentes règles d'automatisation pour différents environnements (un ensemble de règles d'automatisation pour les comptes de test et un autre pour les comptes de production), vous pouvez attribuer une clé de `Environment` balise à ces règles. La valeur de balise associée peut correspondre `Test` aux règles associées aux comptes de test et `Prod` aux règles associées aux comptes de production et OUs.
Lorsque vous définissez et attribuez des balises aux ressources AWS Security Hub CSPM, gardez à l'esprit les points suivants :
+ Chaque ressource peut avoir un maximum de 50 balises.
+ Pour chaque ressource, chaque clé de balise doit être unique et ne peut avoir qu'une seule valeur de balise.
+ Les clés et les valeurs des balises distinguent les majuscules et minuscules. À titre de bonne pratique, nous vous recommandons de définir une stratégie de capitalisation des balises et de mettre en œuvre cette stratégie de manière cohérente dans l'ensemble de vos ressources.
+ Une clé de balise peut comporter au maximum 128 caractères UTF-8. La valeur d'une balise peut comporter au maximum 256 caractères UTF-8. Les caractères peuvent être des lettres, des chiffres, des espaces ou les symboles suivants : \$1. :/= \$1 - @
+ Le `aws:` préfixe est réservé à l'usage de AWS. Vous ne pouvez pas l'utiliser dans les clés ou les valeurs de balise que vous définissez. En outre, vous ne pouvez pas modifier ou supprimer les clés de balise ou les valeurs qui utilisent ce préfixe. Les balises qui utilisent ce préfixe ne sont pas comptabilisées dans le quota de 50 balises par ressource.
+ Tous les tags que vous attribuez ne sont disponibles que pour vous Compte AWS et uniquement dans le pays Région AWS dans lequel vous les attribuez.
+ Si vous attribuez des balises à une ressource à l'aide de Security Hub CSPM, les balises ne sont appliquées qu'à la ressource stockée directement dans Security Hub CSPM dans le cas applicable. Région AWS Ils ne s'appliquent à aucune ressource de support associée que Security Hub CSPM crée, utilise ou gère pour vous dans d'autres domaines. Services AWS Par exemple, si vous attribuez des balises à une règle d'automatisation qui met à jour les résultats relatifs à Amazon Simple Storage Service (Amazon S3), les balises sont appliquées uniquement à votre règle d'automatisation dans Security Hub CSPM pour la région spécifiée. Ils ne sont pas appliqués à vos compartiments S3. Pour attribuer également des balises à une ressource associée, vous pouvez utiliser Groupes de ressources AWS ou Service AWS celle qui stocke la ressource, par exemple Amazon S3 pour un compartiment S3. L'attribution de balises aux ressources associées peut vous aider à identifier les ressources de support pour vos ressources Security Hub CSPM.
+ Si vous supprimez une ressource, toutes les balises qui lui sont attribuées sont également supprimées.
**Important**
Ne stockez pas de données confidentielles ou d'autres types de données sensibles dans des balises. Les tags sont accessibles depuis de nombreuses personnes Services AWS, notamment AWS Billing and Cost Management. Ils ne sont pas destinés à être utilisés pour des données sensibles.
Pour ajouter et gérer des balises pour les ressources Security Hub CSPM, vous pouvez utiliser la console Security Hub CSPM, l'API Security Hub CSPM ou l'API de balisage. Groupes de ressources AWS Avec Security Hub CSPM, vous pouvez ajouter des balises à une ressource lorsque vous la créez. Vous pouvez également ajouter et gérer des balises pour des ressources existantes individuelles. Avec Resource Groups, vous pouvez ajouter et gérer des balises en bloc pour plusieurs ressources existantes réparties sur plusieurs Services AWS, y compris Security Hub CSPM.
Pour obtenir des conseils supplémentaires sur le balisage et les meilleures pratiques, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html) dans le Guide de l'utilisateur des * AWS ressources de balisage*.
## Utilisation de balises dans les politiques IAM
Une fois que vous avez commencé à baliser les ressources, vous pouvez définir des autorisations basées sur des balises au niveau des ressources dans les politiques Gestion des identités et des accès AWS (IAM). En utilisant les balises de cette manière, vous pouvez mettre en œuvre un contrôle granulaire des utilisateurs et des rôles autorisés à créer et à étiqueter des ressources, et des utilisateurs et rôles autorisés à ajouter, modifier et supprimer des balises de manière plus générale. Compte AWS Pour contrôler l'accès en fonction des balises, vous pouvez utiliser les [clés de condition associées aux balises](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssecurityhub.html#awssecurityhub-policy-keys) dans l'[élément Condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) des politiques IAM.
Par exemple, vous pouvez créer une politique IAM qui permet à un utilisateur d'avoir un accès complet à toutes les ressources CSPM du AWS Security Hub, si le `Owner` tag de la ressource indique son nom d'utilisateur :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ModifyResourceIfOwner",
"Effect": "Allow",
"Action": "securityhub:*",
"Resource": "*",
"Condition": {
"StringEqualsIgnoreCase": {"aws:ResourceTag/Owner": "${aws:username}"}
}
}
]
}
```
------
Si vous définissez des autorisations au niveau des ressources basées sur des balises, les autorisations prennent effet immédiatement. Vos ressources sont ainsi plus sécurisées dès leur création et vous pouvez rapidement commencer à appliquer l'utilisation des balises pour les nouvelles ressources. Vous pouvez également utiliser des autorisations au niveau des ressources afin de contrôler les clés et les valeurs de balise qui peuvent être associés à des ressources nouvelles et existantes. Pour plus d'informations, consultez la section [Contrôle de l'accès aux AWS ressources à l'aide de balises](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html) dans le *guide de l'utilisateur IAM*.
# Ajouter des balises aux ressources CSPM du Security Hub
Une *balise* est une étiquette que vous pouvez définir et attribuer à AWS des ressources, notamment à certains types de ressources AWS Security Hub CSPM. À l'aide de balises, vous pouvez identifier, classer et gérer les ressources de différentes manières, par exemple en fonction de leur objectif, de leur propriétaire, de leur environnement ou d'autres critères. Par exemple, vous pouvez utiliser des balises pour : appliquer des politiques, répartir les coûts, distinguer les versions des ressources ou identifier les ressources qui répondent à certaines exigences de conformité ou à certains flux de travail.
Vous pouvez ajouter des balises aux types de ressources CSPM du Security Hub suivants :
+ Règles d’automatisation
+ Politiques de configuration
+ `Hub` ressource
Une ressource peut avoir jusqu'à 50 balises. Chaque balise comprend une *clé de balise* obligatoire et une *valeur de balise* facultative. Une *clé de balise* est une étiquette générale qui fait office de catégorie pour une valeur de balise plus spécifique. Une *valeur de balise* tient lieu de descripteur pour une clé de balise. Pour plus d'informations sur les options et les exigences en matière de balisage, consultez[Principes fondamentaux du balisage](tagging-resources.md#tags-basics).
Pour ajouter des balises à une ressource Security Hub CSPM, vous pouvez utiliser la console Security Hub CSPM ou l'API Security Hub CSPM. Cependant, la console ne prend pas en charge l'ajout de balises à la `Hub` ressource.
Après avoir ajouté des balises, vous pouvez modifier la balise et modifier la clé ou la valeur de la balise.
[Pour ajouter ou modifier des balises pour plusieurs ressources CSPM du Security Hub en même temps, utilisez les opérations de balisage de l'API de balisage.Groupes de ressources AWS](https://docs.aws.amazon.com/resourcegroupstagging/latest/APIReference/overview.html)
**Important**
L'ajout de balises à une ressource peut affecter l'accès à cette ressource. Avant d'ajouter une balise à une ressource, passez en revue les politiques Gestion des identités et des accès AWS (IAM) susceptibles d'utiliser des balises pour contrôler l'accès aux ressources.
------
#### [ Console ]
**Pour ajouter des balises à une ressource Security Hub CSPM (console)**
Lorsque vous créez une règle d'automatisation ou une politique de configuration, la console Security Hub CSPM propose des options permettant d'y ajouter des balises. Vous pouvez fournir la clé et la valeur de la balise dans la section **Tags**.
------
#### [ Security Hub CSPM API ]
**Pour ajouter des balises à une ressource CSPM (API) du Security Hub**
Pour créer une ressource et y ajouter une ou plusieurs balises par programmation, utilisez l'opération appropriée au type de ressource que vous souhaitez créer :
+ Pour créer une politique de configuration et y ajouter une ou plusieurs balises, appelez l'[CreateConfigurationPolicy](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateConfigurationPolicy.html)API ou, si vous l'utilisez AWS CLI, exécutez la [create-configuration-policy](https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-configuration-policy.html)commande.
+ Pour créer une règle d'automatisation et y ajouter une ou plusieurs balises, appelez l'[CreateAutomationRule](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateAutomationRule.html)API ou, si vous l'utilisez AWS CLI, exécutez la [create-automation-rule](https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-automation-rule.html)commande.
+ Pour activer Security Hub CSPM et ajouter une ou plusieurs balises à votre `Hub` ressource, appelez l'[EnableSecurityHub](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_EnableSecurityHub.html)API ou, si vous utilisez le AWS Command Line Interface (AWS CLI), exécutez la [enable-security-hub](https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-security-hub.html)commande.
Dans votre demande, utilisez le `tags` paramètre pour spécifier la clé de balise et la valeur de balise facultative pour chaque balise à ajouter à la ressource. Le `tags` paramètre spécifie un tableau d'objets. Chaque objet spécifie une clé de balise et la valeur de balise associée.
Pour ajouter une ou plusieurs balises à une ressource existante, utilisez l'[TagResource](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_TagResource.html)API Security Hub CSPM ou, si vous utilisez la AWS CLI, exécutez la commande [tag-resource](https://docs.aws.amazon.com/cli/latest/reference/securityhub/tag-resource.html). Dans votre demande, spécifiez le Amazon Resource Name (ARN) de la ressource à laquelle vous souhaitez ajouter une balise. Utilisez le `tags` paramètre pour spécifier la clé de balise (`key`) et la valeur de balise facultative (`value`) pour chaque balise à ajouter. Le `tags` paramètre spécifie un tableau d'objets, un objet pour chaque clé de balise et la valeur de balise associée.
Par exemple, la AWS CLI commande suivante ajoute une clé de `Environment` balise avec une valeur de `Prod` balise à la politique de configuration spécifiée. Cet exemple est formaté pour Linux, macOS ou Unix et utilise le caractère de continuation de ligne barre oblique inverse (\$1) pour améliorer la lisibilité.
**Exemple de commande CLI :**
```
$ aws securityhub tag-resource \
--resource-arn arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 \
--tags '{"Environment":"Prod"}'
```
Où :
+ `resource-arn`spécifie l'ARN de la politique de configuration à laquelle ajouter une balise.
+ `Environment`est la clé de balise de la balise à ajouter à la règle.
+ `Prod`est la valeur de balise pour la clé de balise spécifiée (`Environment`).
Dans l'exemple suivant, la commande ajoute plusieurs balises à la politique de configuration.
```
$ aws securityhub tag-resource \
--resource-arn arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 \
--tags '{"Environment":"Prod", "CostCenter":"12345", "Owner":"jane-doe"}'
```
Pour chaque objet d'un `tags` tableau, les `value` arguments `key` et sont obligatoires. Toutefois, la valeur de l'`value`argument peut être une chaîne vide. Si vous ne souhaitez pas associer une valeur de balise à une clé de balise, ne spécifiez pas de valeur pour l'`value`argument. Par exemple, la commande suivante ajoute une clé de `Owner` balise sans valeur de balise associée :
```
$ aws securityhub tag-resource \
--resource-arn arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 \
--tags '{"Owner":""}'
```
Si une opération de balisage réussit, Security Hub CSPM renvoie une réponse HTTP 200 vide. Sinon, Security Hub CSPM renvoie une réponse HTTP 4 *xx* ou 500 indiquant pourquoi l'opération a échoué.
------
# Modification des balises pour les ressources CSPM du Security Hub
À mesure que votre environnement ou vos exigences évoluent au fil du temps, vous pouvez évaluer les balises existantes pour vos ressources AWS Security Hub CSPM et modifier les balises si nécessaire. Une *étiquette* est une étiquette que vous définissez et attribuez à une ou plusieurs AWS ressources, y compris certains types de ressources Macie. Chaque balise comprend une *clé de balise* obligatoire et une *valeur de balise* facultative. Une *clé de balise* est une étiquette générale qui fait office de catégorie pour une valeur de balise plus spécifique. Une *valeur de balise* tient lieu de descripteur pour une clé de balise.
Les balises peuvent vous aider à identifier, classer et gérer ces types de ressources de différentes façons, notamment par objectif, par propriétaire, par environnement ou selon d’autres critères. Par exemple, vous pouvez utiliser des balises pour : appliquer des politiques, répartir les coûts, distinguer les versions des ressources ou identifier les ressources qui répondent à certaines exigences de conformité ou à certains flux de travail.
Vous pouvez ajouter des balises aux types de ressources CSPM du Security Hub suivants :
+ Règles d’automatisation
+ Politiques de configuration
+ `Hub` ressource
Pour modifier les clés ou les valeurs de balise d'une ressource Security Hub CSPM, vous pouvez utiliser l'API Security Hub CSPM. La console Security Hub CSPM ne prend actuellement pas en charge la modification des balises.
**Important**
La modification des balises d'une ressource peut affecter l'accès à cette ressource. Avant de modifier une balise pour une ressource, passez en revue les politiques Gestion des identités et des accès AWS (IAM) susceptibles d'utiliser des balises pour contrôler l'accès aux ressources.
------
#### [ Security Hub CSPM API ]
**Pour modifier les balises d'une ressource CSPM (API) du Security Hub**
Lorsque vous modifiez une balise pour une ressource par programmation, vous remplacez la balise existante par de nouvelles valeurs. Par conséquent, la meilleure façon de modifier une balise dépend de la modification d'une clé de balise, d'une valeur de balise ou des deux. Pour modifier une clé de balise, [supprimez la balise actuelle](tags-remove.md) et [ajoutez-en une nouvelle](tags-add.md).
Pour modifier ou supprimer uniquement la valeur de balise associée à une clé de balise, remplacez la valeur existante à l'aide de l'[TagResource](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_TagResource.html)API Security Hub CSPM. Si vous utilisez le AWS CLI, exécutez la commande [tag-resource](https://docs.aws.amazon.com/cli/latest/reference/securityhub/tag-resource.html). Dans votre demande, spécifiez le Amazon Resource Name (ARN) de la ressource dont vous souhaitez modifier ou supprimer la valeur de balise.
Pour modifier la valeur d'une balise, utilisez le `tags` paramètre pour spécifier la clé de balise dont vous souhaitez modifier la valeur de balise. Vous devez également spécifier la nouvelle valeur de balise pour la clé. Par exemple, la AWS CLI commande suivante modifie la valeur de balise de `Prod` à `Test` pour la clé de `Environment` balise affectée à la règle d'automatisation spécifiée. Cet exemple est formaté pour Linux, macOS ou Unix et utilise le caractère de continuation de ligne barre oblique inverse (\$1) pour améliorer la lisibilité.
```
$ aws securityhub tag-resource \
--resource-arn arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 \
--tags '{"Environment":"Test"}'
```
Où :
+ `resource-arn`spécifie l'ARN de la politique de configuration.
+ `Environment`est la clé de balise associée à la valeur de balise à modifier.
+ `Test`est la nouvelle valeur de balise pour la clé de balise spécifiée (`Environment`).
Pour supprimer une valeur de balise d'une clé de balise, ne spécifiez pas de valeur pour l'`value`argument de la clé dans le `tags` paramètre. Par exemple :
```
$ aws securityhub tag-resource \
--resource-arn arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 \
--tags '{"Owner":""}'
```
Si l'opération réussit, Security Hub CSPM renvoie une réponse HTTP 200 vide. Sinon, Security Hub CSPM renvoie une réponse HTTP 4 *xx* ou 500 indiquant pourquoi l'opération a échoué.
------
# Révision des balises pour les ressources CSPM du Security Hub
Après avoir ajouté ou modifié des balises pour les ressources AWS Security Hub CSPM, vous pouvez voir les clés de balise et les valeurs de balise que possède actuellement une ressource. Une *étiquette* est une étiquette que vous définissez et attribuez à une ou plusieurs AWS ressources, y compris certains types de ressources Macie. Chaque balise comprend une *clé de balise* obligatoire et une *valeur de balise* facultative. Une *clé de balise* est une étiquette générale qui fait office de catégorie pour une valeur de balise plus spécifique. Une *valeur de balise* tient lieu de descripteur pour une clé de balise.
Les balises peuvent vous aider à identifier, classer et gérer ces types de ressources de différentes façons, notamment par objectif, par propriétaire, par environnement ou selon d’autres critères. Par exemple, vous pouvez utiliser des balises pour : appliquer des politiques, répartir les coûts, distinguer les versions des ressources ou identifier les ressources qui répondent à certaines exigences de conformité ou à certains flux de travail.
Vous pouvez ajouter des balises aux types de ressources CSPM du Security Hub suivants :
+ Règles d’automatisation
+ Politiques de configuration
+ `Hub` ressource
Vous pouvez consulter les balises d'une règle d'automatisation ou d'une politique de configuration Security Hub CSPM à l'aide de la console Security Hub CSPM ou de l'API Security Hub CSPM. La console ne prend pas en charge la révision des balises de la `Hub` ressource. Par programmation, vous pouvez consulter les balises de n'importe quelle ressource.
[Pour consulter les balises de plusieurs ressources CSPM du Security Hub en même temps, utilisez les opérations de balisage de l'API de balisage.Groupes de ressources AWS](https://docs.aws.amazon.com/resourcegroupstagging/latest/APIReference/overview.html)
------
#### [ Console ]
**Pour consulter les balises d'une ressource Security Hub CSPM (console)**
1. À l'aide des informations d'identification de l'administrateur Security Hub CSPM, ouvrez la console AWS Security Hub CSPM à l'adresse. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. Selon le type de ressource auquel vous souhaitez ajouter une balise, effectuez l'une des opérations suivantes :
+ Pour consulter les balises d'une règle d'automatisation, choisissez **Automations** dans le volet de navigation. Choisissez ensuite une règle d'automatisation.
+ Pour consulter les balises d'une politique de configuration, choisissez **Configuration** dans le volet de navigation. Ensuite, dans l'onglet **Stratégies**, sélectionnez l'option à côté d'une politique de configuration. Un panneau latéral s'ouvre et indique le nombre de balises attribuées à la politique. Vous pouvez développer l'en-tête **Tags** pour afficher les clés et les valeurs des balises.
La section **Balises** répertorie toutes les balises actuellement attribuées à la ressource.
------
#### [ Security Hub CSPM API ]
**Pour consulter les balises d'une ressource CSPM (API) du Security Hub**
Pour récupérer et consulter les balises d'une ressource existante, appelez l'[ListTagsForResource](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListTagsForResource.html)API. Dans votre demande, utilisez le `resourceArn` paramètre pour spécifier le nom de ressource Amazon (ARN) de la ressource.
Si vous utilisez le AWS CLI, exécutez la [list-tags-for-resource](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-tags-for-resource.html)commande et utilisez le `resource-arn` paramètre pour spécifier l'ARN de la ressource. Par exemple :
```
$ aws securityhub list-tags-for-resource --resource-arn arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111
```
Si l'opération aboutit, Security Hub CSPM renvoie un tableau. `tags` Chaque objet du tableau spécifie une balise (clé de balise et valeur de balise) actuellement attribuée à la ressource. Par exemple :
```
{
"tags": [
{
"key": "Environment",
"value": "Prod"
},
{
"key": "CostCenter",
"value": "12345"
},
{
"key": "Owner",
"value": ""
}
]
}
```
Où `Environment``CostCenter`, et `Owner` sont les clés de balise attribuées à la ressource. `Prod`est la valeur de balise associée à la clé de `Environment` balise. `12345`est la valeur de balise associée à la clé de `CostCenter` balise. Aucune valeur de `Owner` balise n'est associée à la clé de balise.
Pour récupérer la liste de toutes les ressources Security Hub CSPM dotées de balises et de toutes les balises attribuées à chacune de ces ressources, utilisez le [GetResources](https://docs.aws.amazon.com/resourcegroupstagging/latest/APIReference/API_GetResources.html)fonctionnement de l'API de Groupes de ressources AWS balisage. Dans votre demande, définissez la valeur du `ResourceTypeFilters` paramètre sur`securityhub`. Pour ce faire AWS CLI, exécutez la commande [get-resources](https://docs.aws.amazon.com/cli/latest/reference/resourcegroupstaggingapi/get-resources.html) et définissez la valeur du `resource-type-filters` paramètre sur. `securityhub` Par exemple :
```
$ aws resourcegroupstaggingapi get-resources -\-resource-type-filters "securityhub"
```
Si l'opération aboutit, Resource Groups renvoie un `ResourceTagMappingList` tableau. Le tableau contient un objet pour chaque ressource Security Hub CSPM dotée de balises. Chaque objet spécifie l'ARN d'une ressource Security Hub CSPM, ainsi que les clés de balise et les valeurs attribuées à la ressource.
------
# Supprimer les balises des ressources CSPM du Security Hub
Si vous ajoutez des balises à une ressource AWS Security Hub CSPM, vous pouvez ensuite en supprimer une ou plusieurs. Une *balise* est une étiquette que vous définissez et attribuez aux AWS ressources, notamment à certains types de ressources Security Hub CSPM. Vous pouvez ajouter, modifier et supprimer des balises dans les types suivants de ressources Security Hub CSPM : règles d'automatisation, politiques de configuration et ressource. `Hub`
Pour supprimer des balises d'une ressource AWS Security Hub CSPM individuelle, vous pouvez utiliser l'API Security Hub CSPM. La console Security Hub CSPM ne prend actuellement pas en charge la suppression des balises.
[Pour supprimer des balises de plusieurs ressources CSPM du Security Hub en même temps, utilisez les opérations de balisage de l'API de balisage.Groupes de ressources AWS](https://docs.aws.amazon.com/resourcegroupstagging/latest/APIReference/overview.html)
**Important**
La suppression de balises d'une ressource peut affecter l'accès à cette ressource. Avant de supprimer un tag, passez en revue les politiques Gestion des identités et des accès AWS (IAM) susceptibles d'utiliser le tag pour contrôler l'accès aux ressources.
------
#### [ Security Hub CSPM API ]
**Pour supprimer des balises d'une ressource CSPM (API) du Security Hub**
Pour supprimer une ou plusieurs balises d'une ressource par programmation, utilisez l'API [UntagResource](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UntagResource.html)Security Hub CSPM. Dans votre demande, utilisez le `resourceArn` paramètre pour spécifier le nom de ressource Amazon (ARN) de la ressource dont vous souhaitez supprimer une balise. Utilisez le `tagKeys` paramètre pour spécifier la clé de balise de la balise à supprimer. Pour supprimer plusieurs balises, ajoutez le `tagKeys` paramètre et l'argument de chaque balise à supprimer, séparés par une esperluette (&), par exemple,. `tagKeys=key1&tagKeys=key2` Pour supprimer uniquement une valeur de balise spécifique (et non une clé de balise) d'une ressource, [modifiez la balise](tags-update.md) au lieu de la supprimer.
Si vous utilisez le AWS CLI, exécutez la commande [untag-resource](https://docs.aws.amazon.com/cli/latest/reference/securityhub/untag-resource.html) pour supprimer une ou plusieurs balises d'une ressource. Pour le `resource-arn` paramètre, spécifiez l'ARN de la ressource dont vous souhaitez supprimer une balise. Utilisez le `tag-keys` paramètre pour spécifier la clé de balise de la balise à supprimer. Par exemple, la commande suivante supprime le `Environment` tag (à la fois la clé et la valeur du tag) de la politique de configuration spécifiée :
```
$ aws securityhub untag-resource \
--resource-arn arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 \
--tag-keys Environment
```
Where `resource-arn` indique l'ARN de la politique de configuration dont il faut supprimer une balise et `Environment` indique la clé de balise de la balise à supprimer.
Pour supprimer plusieurs balises d'une ressource, ajoutez chaque clé de balise supplémentaire en tant qu'argument pour le `tag-keys` paramètre. Par exemple :
```
$ aws securityhub untag-resource \
--resource-arn arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 \
--tag-keys Environment Owner
```
Si l'opération réussit, Security Hub CSPM renvoie une réponse HTTP 200 vide. Sinon, Security Hub CSPM renvoie une réponse HTTP 4 *xx* ou 500 indiquant pourquoi l'opération a échoué.
------