Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Menandai sumber daya Security Hub
Tag adalah label opsional yang dapat Anda tentukan dan tetapkan ke AWS sumber daya, termasuk jenis sumber daya AWS Security Hub tertentu. Tag dapat membantu Anda mengidentifikasi, mengkategorikan, dan mengelola sumber daya dengan cara yang berbeda, seperti berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Misalnya, Anda dapat menggunakan tag untuk membedakan sumber daya, mengidentifikasi sumber daya yang mendukung persyaratan kepatuhan atau alur kerja tertentu, atau mengalokasikan biaya.
Anda dapat menambahkan tag ke jenis sumber daya Security Hub berikut:
-
Aturan otomatisasi
-
Kebijakan konfigurasi
-
Sumber daya
Hub
Menandai dasar-dasar
Sumber daya dapat memiliki sebanyak 50 tag. Setiap tag terdiri dari kunci tag yang diperlukan dan nilai tag opsional, yang keduanya Anda tentukan. Kunci tag adalah label umum yang bertindak sebagai kategori untuk nilai tag yang lebih spesifik. Nilai tag bertindak sebagai deskriptor untuk kunci tag.
Misalnya, jika Anda membuat aturan otomatisasi yang berbeda untuk lingkungan yang berbeda (satu set aturan otomatisasi untuk akun pengujian dan satu lagi untuk akun produksi), Anda dapat menetapkan kunci Environment tag untuk aturan tersebut. Nilai tag terkait mungkin Test untuk aturan yang terkait dengan akun pengujian, dan Prod untuk aturan yang terkait dengan akun produksi dan OUs.
Saat Anda menentukan dan menetapkan tag ke sumber daya AWS Security Hub, ingatlah hal berikut:
-
Setiap sumber daya dapat memiliki maksimum 50 tag.
-
Untuk setiap sumber daya, setiap kunci tag harus unik dan hanya dapat memiliki satu nilai tag.
-
Kunci dan nilai tanda peka huruf besar-kecil. Sebagai praktik terbaik, kami menyarankan Anda menentukan strategi untuk memanfaatkan tag dan menerapkan strategi itu secara konsisten di seluruh sumber daya Anda.
-
Tombol tag dapat memiliki maksimal 128 karakter UTF-8. Nilai tag dapat memiliki maksimal 256 karakter UTF-8. Karakter dapat berupa huruf, angka, spasi, atau simbol berikut: _.:/= + - @
-
aws:Awalan dicadangkan untuk digunakan oleh AWS. Anda tidak dapat menggunakannya dalam kunci tag atau nilai apa pun yang Anda tentukan. Selain itu, Anda tidak dapat mengubah atau menghapus kunci tag atau nilai yang menggunakan awalan ini. Tag yang menggunakan awalan ini tidak dihitung terhadap kuota 50 tag per sumber daya. -
Setiap tag yang Anda tetapkan hanya tersedia untuk Anda Akun AWS dan hanya Wilayah AWS di mana Anda menetapkannya.
-
Jika Anda menetapkan tag ke sumber daya menggunakan Security Hub, tag hanya akan diterapkan ke sumber daya yang disimpan langsung di Security Hub di yang berlaku Wilayah AWS. Mereka tidak diterapkan pada sumber daya pendukung terkait yang dibuat, digunakan, atau dikelola oleh Security Hub untuk Anda di tempat lain Layanan AWS. Misalnya, jika Anda menetapkan tag ke aturan otomatisasi yang memperbarui temuan yang terkait dengan Amazon Simple Storage Service (Amazon S3), tag hanya diterapkan ke aturan otomatisasi di Security Hub untuk Wilayah yang ditentukan. Mereka tidak diterapkan ke ember S3 Anda. Untuk juga menetapkan tag ke sumber daya terkait, Anda dapat menggunakan AWS Resource Groups atau Layanan AWS yang menyimpan sumber daya—misalnya, Amazon S3 untuk bucket S3. Menetapkan tag ke sumber daya terkait dapat membantu Anda mengidentifikasi sumber daya pendukung untuk sumber daya Security Hub Anda.
-
Jika Anda menghapus sumber daya, tag apa pun yang ditetapkan ke sumber daya juga akan dihapus.
penting
Jangan menyimpan rahasia atau jenis data sensitif lainnya dalam tag. Tag dapat diakses dari banyak orang Layanan AWS, termasuk AWS Billing and Cost Management. Mereka tidak dimaksudkan untuk digunakan untuk data sensitif.
Untuk menambahkan dan mengelola tag untuk sumber daya Security Hub, Anda dapat menggunakan konsol Security Hub, Security Hub API, atau API AWS Resource Groups Tagging. Dengan Security Hub, Anda dapat menambahkan tag ke sumber daya saat membuat sumber daya. Anda juga dapat menambahkan dan mengelola tag untuk sumber daya individual yang ada. Dengan Resource Groups, Anda dapat menambahkan dan mengelola tag secara massal untuk beberapa sumber daya yang ada yang mencakup beberapa Layanan AWS, termasuk Security Hub.
Untuk tips penandaan tambahan dan praktik terbaik, lihat Menandai AWS sumber daya Anda di Panduan Pengguna Tagging AWS Resources.
Menggunakan tag dalam kebijakan IAM
Setelah Anda mulai menandai sumber daya, Anda dapat menentukan izin tingkat sumber daya berbasis tag dalam kebijakan (IAM). AWS Identity and Access Management Dengan menggunakan tag dengan cara ini, Anda dapat menerapkan kontrol terperinci tentang pengguna dan peran mana yang Akun AWS memiliki izin untuk membuat dan menandai sumber daya, dan pengguna dan peran mana yang memiliki izin untuk menambahkan, mengedit, dan menghapus tag secara lebih umum. Untuk mengontrol akses berdasarkan tag, Anda dapat menggunakan kunci kondisi terkait tag di elemen Kondisi kebijakan IAM.
Misalnya, Anda dapat membuat kebijakan IAM yang memungkinkan pengguna memiliki akses penuh ke semua sumber daya AWS Security Hub, jika Owner tag untuk sumber daya menentukan nama pengguna mereka:
{ "Version":"2012-10-17", "Statement": [ { "Sid": "ModifyResourceIfOwner", "Effect": "Allow", "Action": "securityhub:*", "Resource": "*", "Condition": { "StringEqualsIgnoreCase": {"aws:ResourceTag/Owner": "${aws:username}"} } } ] }
Jika Anda menentukan izin tingkat sumber daya berbasis tag, izin akan segera berlaku. Ini berarti bahwa sumber daya Anda lebih aman segera setelah dibuat, dan Anda dapat dengan cepat mulai menerapkan penggunaan tag untuk sumber daya baru. Anda juga dapat menggunakan izin tingkat sumber daya untuk mengontrol kunci dan nilai tag mana yang dapat dikaitkan dengan sumber daya baru dan yang sudah ada. Untuk informasi selengkapnya, lihat Mengontrol akses ke AWS sumber daya menggunakan tag di Panduan Pengguna IAM.
