Security Hub リソースのタグ付け - AWS Security Hub
タグ付けの基本IAM ポリシーでのタグの使用

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Security Hub リソースのタグ付け

タグは、特定のタイプの AWS Security Hub AWS リソースなど、リソースを定義して割り当てることができるオプションのラベルです。タグを使用することで、目的、所有者、環境、その他の条件など、さまざまな方法でリソースを分類および管理できます。例えば、タグを使用して、リソースを区別したり、特定のコンプライアンス要件やワークフローをサポートするリソースを識別したり、コストを割り当てたりできます。

以下のタイプの Security Hub リソースにタグを追加できます。

  • 自動化ルール

  • 設定ポリシー

  • Hub リソース

タグ付けの基本

リソースには、最大 50 個のタグを含めることができます。タグはそれぞれ、1 つの必須タグキーとオプションの 1 つのタグ値で設定されており、どちらもお客様側が定義します。タグキーは、より具体的なタグ値のカテゴリとして動作する一般的なラベルです。タグ値は、タグキーの記述子として機能します。

例えば、環境ごとに異なる自動化ルール (テスト用と本番用の自動化ルール) を作成する場合、それらのルールに Environment タグキーを割り当てます。関連するタグ値は、テストアカウントに関連付けられているルールと、本番稼働Test用アカウントと に関連付けられているルールProdの場合がありますOUs。

AWS Security Hub リソースを定義してタグを割り当てるときは、次の点に注意してください。

  • 各リソースには、最大 50 個のタグを設定できます。

  • リソースごとに、各タグ キーは一意である必要があり、タグ値は 1 つだけ持つことができます。

  • タグのキーと値では、大文字と小文字が区別されます。タグに大文字を使用する場合の戦略を決定し、その戦略をすべてのリソースにわたって一貫して実装することをペストプラクティスとして推奨します。

  • タグキーは最大 128UTF~8 文字です。タグ値は最大 256UTF~8 文字です。文字には、文字、数字、スペース、または記号 ( _ . : / = + - @) を使用できます。

  • aws: プレフィックスは が使用するために予約されています AWS。定義したどのタグキーやタグ値にも使用できません。さらに、このプレフィックスを使用するタグキーまたは値は変更または削除できません。このプレフィックスを使用するタグは、リソースあたりのタグ数のクォータ (50 個) にはカウントされません。

  • 割り当てたタグは、 AWS アカウント と、割り当てた AWS リージョン でのみ使用できます。

  • Security Hub を使用してリソースにタグを割り当てると、タグは該当する AWS リージョンの Security Hub に直接保存されているリソースにのみ適用されます。これは、Security Hub が他の AWS のサービスで作成、使用、管理する関連サポートリソースには適用されません。例えば、Amazon Simple Storage Service (Amazon S3) に関連する検出結果を更新する自動化ルールにタグを割り当てた場合、タグは指定されたリージョンの Security Hub 自動化ルールにのみ適用されます。S3 バケットには適用されません。関連付けられたリソースにタグを割り当てるには、 AWS Resource Groups またはリソース AWS のサービス を保存する を使用します。たとえば、SAmazon S3S3 などです。関連するリソースにタグを割り当てると、Security Hub リソースのサポートリソースを特定しやすくなります。

  • リソースを削除すると、リソースに関連付けられているすべてのタグも削除されます。

重要

機密データやその他の機密データをタグに保存しないでください。タグには AWS のサービス、 を含む多くの からアクセスできます AWS Billing and Cost Management。それらは機密データに使用することを目的としていません。

Security Hub リソースのタグを追加および管理するには、Security Hub コンソール、Security Hub API、または AWS Resource Groups タグ付け を使用できますAPI。Security Hub を使用すると、リソースの作成時にタグをリソースに追加できます。また、既存のリソースごとにタグを追加、管理することもできます。Resource Groups を使用すると、Security Hub を含む複数の にまたがる複数の既存のリソースに対して AWS のサービスタグを一括で追加および管理できます。

タグ付けのその他のヒントとベストプラクティスについては、「 AWS リソースのタグ付けユーザーガイド」の「 AWS リソースのタグ付け」を参照してください。

IAM ポリシーでのタグの使用

リソースのタグ付けを開始したら、 AWS Identity and Access Management (IAM) ポリシーでタグベースのリソースレベルのアクセス許可を定義できます。この方法でタグを使用することで、 内のどのユーザーとロールにリソースの作成とタグ付けのアクセス許可 AWS アカウント があり、どのユーザーとロールにタグの追加、編集、削除のアクセス許可があるかを詳細に制御できます。タグに基づいてアクセスを制御するには、 IAMポリシーの Condition 要素タグ関連の条件キーを使用できます。

たとえば、リソースの Owner タグでユーザー名が指定されている場合、すべての AWS Security Hub リソースへのフルアクセスをユーザーに許可する IAMポリシーを作成できます。

{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "ModifyResourceIfOwner",
            "Effect": "Allow",
            "Action": "securityhub:*",
            "Resource": "*",
            "Condition": {
                "StringEqualsIgnoreCase": {"aws:ResourceTag/Owner": "${aws:username}"}
            }
        }
    ]
}

タグをベースにしてリソースレベルでアクセス許可を定義した場合、そのアクセス許可は即座に反映されます。つまり、リソースが作成されるとすぐにリソースの安全性が増し、新しいリソースにタグの使用をすぐに強制できるようになります。リソースレベルのアクセス許可を使用して、新しいリソースと既存のリソースに、どのタグキーと値を関連付けるかを制御することもできます。詳細については、「 IAMユーザーガイド」の「タグを使用した AWS リソースへのアクセスの制御」を参照してください。