翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Security Hub リソースのタグ付け
*タグ*は、特定のタイプの AWS Security Hub CSPM AWS リソースなど、リソースを定義して割り当てることができるオプションのラベルです。タグを使用することで、目的、所有者、環境、その他の条件など、さまざまな方法でリソースを分類および管理できます。例えば、タグを使用して、リソースを区別したり、特定のコンプライアンス要件やワークフローをサポートするリソースを識別したり、コストを割り当てたりできます。
以下のタイプの Security Hub CSPM リソースにタグを追加できます。
+ 自動化ルール
+ 設定ポリシー
+ `Hub` リソース:
## タグ付けの基本
リソースには、最大 50 個のタグを含めることができます。タグはそれぞれ、1 つの必須*タグキー*とオプションの 1 つの*タグ値*で設定されており、どちらもお客様側が定義します。タグキーは、より具体的なタグ値のカテゴリとして動作する一般的なラベルです。*タグ値*は、タグキーの記述子として機能します。
例えば、環境ごとに異なる自動化ルール (テスト用と本番用の自動化ルール) を作成する場合、それらのルールに `Environment` タグキーを割り当てます。関連するタグ値は、テストアカウントに関連付けられているルール用の `Test` でも、本番用アカウントと OU に関連するルール用の `Prod` でもかまいません。
AWS Security Hub CSPM リソースを定義してタグを割り当てるときは、次の点に注意してください。
+ 各リソースには、最大 50 個のタグを設定できます。
+ リソースごとに、各タグ キーは一意である必要があり、タグ値は 1 つだけ持つことができます。
+ タグのキーと値では、大文字と小文字が区別されます。タグに大文字を使用する場合の戦略を決定し、その戦略をすべてのリソースにわたって一貫して実装することをペストプラクティスとして推奨します。
+ タグキーは最大 128 文字 (UTF-8) です。タグキーは最大 256 文字 (UTF-8) です。文字には、文字、数字、スペース、または記号 ( \$1 . : / = \$1 - @) を使用できます。
+ `aws:` プレフィックスは が使用するために予約されています AWS。定義したどのタグキーやタグ値にも使用できません。さらに、このプレフィックスを使用するタグキーまたは値は変更または削除できません。このプレフィックスを使用するタグは、リソースあたりのタグ数のクォータ (50 個) にはカウントされません。
+ 割り当てたタグは、 AWS アカウント および割り当てた AWS リージョン でのみ使用できます。
+ Security Hub CSPM を使用してリソースにタグを割り当てると、タグは該当する AWS リージョンの Security Hub CSPM に直接保存されているリソースにのみ適用されます。これは、Security Hub CSPM が他の AWS のサービスで作成、使用、管理する関連サポートリソースには適用されません。例えば、Amazon Simple Storage Service (Amazon S3) に関連する検出結果を更新する自動化ルールにタグを割り当てた場合、タグは指定されたリージョンの Security Hub CSPM 自動化ルールにのみ適用されます。S3 バケットには適用されません。関連付けられたリソースにタグを割り当てるには、SAmazon S33 など、リソース AWS のサービス を保存する AWS Resource Groups または を使用できます。関連するリソースにタグを割り当てると、Security Hub CSPM リソースのサポートリソースを特定しやすくなります。
+ リソースを削除すると、リソースに関連付けられているすべてのタグも削除されます。
**重要**
機密データやその他の機密データをタグに保存しないでください。タグには AWS のサービス、 を含む多くの からアクセスできます AWS Billing and Cost Management。それらは機密データに使用することを目的としていません。
Security Hub CSPM リソースのタグを追加および管理するには、Security Hub CSPM コンソール、Security Hub CSPM API、または AWS Resource Groups Tagging API を使用できます。Security Hub CSPM を使用すると、リソースの作成時にタグをリソースに追加できます。また、既存のリソースごとにタグを追加、管理することもできます。Resource Groups を使用すると、Security Hub CSPM など AWS のサービス、複数の にまたがる複数の既存のリソースのタグを一括で追加および管理できます。
タグ付けのその他のヒントとベストプラクティスについては、[「 AWS リソースのタグ付け](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html)*ユーザーガイド」の「 AWS リソースのタグ付け*」を参照してください。
## IAMポリシーでタグを使用する
リソースのタグ付けを開始した後、タグベースのリソースレベルのアクセス許可を AWS Identity and Access Management (IAM) ポリシーで定義できます。この方法でタグを使用することで、リソースを作成およびタグ付けするアクセス許可 AWS アカウント を持つ のユーザーとロール、およびタグをより一般的に追加、編集、削除するアクセス許可を持つユーザーとロールをきめ細かく制御できます。タグに基づいてアクセスを制御するには、IAM ポリシーの[条件要素](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)で[タグ関連の条件キー](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssecurityhub.html#awssecurityhub-policy-keys)を使用できます。
例えば、リソースの `Owner` タグの値がユーザー名となっている場合、すべての AWS Security Hub CSPM リソースに対して、ユーザーにフルアクセスを許可する IAM ポリシーを作成できます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ModifyResourceIfOwner",
"Effect": "Allow",
"Action": "securityhub:*",
"Resource": "*",
"Condition": {
"StringEqualsIgnoreCase": {"aws:ResourceTag/Owner": "${aws:username}"}
}
}
]
}
```
------
タグをベースにしてリソースレベルでアクセス許可を定義した場合、そのアクセス許可は即座に反映されます。つまり、リソースが作成されるとすぐにリソースの安全性が増し、新しいリソースにタグの使用をすぐに強制できるようになります。リソースレベルのアクセス許可を使用して、新しいリソースと既存のリソースに、どのタグキーと値を関連付けるかを制御することもできます。詳細については、*IAM ユーザーガイド*の[「タグを使用した AWS リソースへのアクセスの制御](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html)」を参照してください。
# Security Hub CSPM リソースへのタグの追加
*タグ*は、特定のタイプの AWS Security Hub CSPM AWS リソースなど、リソースを定義して割り当てることができるラベルです。タグを使用すると、目的、所有者、環境、その他の条件など、さまざまな方法でリソースを識別、分類、管理できます。例えば、タグを使用してポリシーを適用したり、コストを割り当てたり、リソースのバージョンを区別したり、特定のコンプライアンス要件やワークフローをサポートするリソースを識別したりできます。
以下のタイプの Security Hub CSPM リソースにタグを追加できます。
+ 自動化ルール
+ 設定ポリシー
+ `Hub` リソース:
リソースには、最大 50 個のタグを含めることができます。各タグは、必要なタグキー**とオプションのタグ値**で設定されています。*タグキー* は、より具体的なタグ値のカテゴリとして動作する一般的なラベルです。*タグ値*は、タグキーの記述子として機能します。タグ付けのオプションおよび要件の詳細は、「[タグ付けの基本](tagging-resources.md#tags-basics)」を参照してください。
Security Hub CSPM リソースにタグを追加するには、Security Hub CSPM コンソールまたは Security Hub CSPM API を使用します。ただし、コンソールは `Hub` リソースへのタグの追加をサポートしていません。
タグを追加したら、タグを編集し、タグキーまたはタグ値を変更できます。
複数の Security Hub CSPM リソースのタグを同時に追加または編集するには、[AWS Resource Groups Tagging API](https://docs.aws.amazon.com/resourcegroupstagging/latest/APIReference/overview.html) のタグ付けオペレーションを使用します。
**重要**
リソースにタグを追加すると、リソースへのアクセスに影響を与える可能性があります。リソースにタグを追加する前に、タグを使用してリソースへのアクセスを制御する可能性のある AWS Identity and Access Management (IAM) ポリシーを確認してください。
------
#### [ Console ]
**Security Hub CSPM リソースにタグを追加するには (コンソール)**
自動化ルールまたは設定ポリシーを作成すると、Security Hub CSPM コンソールにタグを追加するオプションが表示されます。タグキーとタグ値は**タグセクション**で指定できます。
------
#### [ Security Hub CSPM API ]
**Security Hub CSPM リソース (API) にタグを追加するには**
リソースを作成して 1 つ以上のタグをプログラムで追加するには、作成するリソースのタイプに適した操作を使用します。
+ 設定ポリシーを作成して 1 つまたは複数のタグを追加するには、[CreateConfigurationPolicy](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateConfigurationPolicy.html) API を呼び出すか、 AWS CLIを使用している場合は [create-configuration-policy](https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-configuration-policy.html) コマンドを実行します。
+ 自動化ルールを作成して 1 つ以上のタグを追加するには、[CreateAutomationRule API](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateAutomationRule.html) を呼び出すか、 AWS CLIを使用している場合は [create-automation-rule](https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-automation-rule.html) コマンドを実行します。
+ Security Hub CSPM を有効にして `Hub` リソースに 1 つ以上のタグを追加するには、[EnableSecurityHub](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_EnableSecurityHub.html) API を呼び出すか、 AWS Command Line Interface (AWS CLI) を使用している場合は [enable-security-hub](https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-security-hub.html) コマンドを実行します。
リクエストでは、`tags` パラメータを使用して、リソースに追加する各タグのタグキーとオプションのタグ値を指定します。`tags` パラメータは、オブジェクトの配列を指定します。各オブジェクトはタグキーとそれに関連するタグ値を指定します。
既存のリソースに 1 つ以上のタグを追加するには、Security Hub CSPM API の [TagResource](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_TagResource.html) オペレーションを使用するか、 を使用している場合は [tag-resource](https://docs.aws.amazon.com/cli/latest/reference/securityhub/tag-resource.html) コマンド AWS CLIを実行します。リクエストでは、タグを追加するリソースの Amazon リソースネーム (ARN) を指定します。`tags` パラメータを使用して、追加する各タグのタグキー (`key`) とオプションのタグ値 (`value`) を指定します。`tags` パラメータは、オブジェクトの配列、各タグキーに 1 つのオブジェクト、および関連するタグ値を指定します。
たとえば、次の AWS CLI コマンドは、指定された設定ポリシーに`Environment`タグ値を持つ`Prod`タグキーを追加します。この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\$1) の行継続文字を使用しています。
**CLI コマンドの例**:
```
$ aws securityhub tag-resource \
--resource-arn arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 \
--tags '{"Environment":"Prod"}'
```
コードの説明は以下のとおりです。
+ `resource-arn` ではタグを追加する設定ポリシーの ARN を指定します。
+ `Environment` はルールに追加するタグのタグキーです。
+ `Prod` は指定されたタグキー (`Environment`) のタグ値です。
次の例では、コマンドは設定ポリシーに複数のタグを追加します。
```
$ aws securityhub tag-resource \
--resource-arn arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 \
--tags '{"Environment":"Prod", "CostCenter":"12345", "Owner":"jane-doe"}'
```
`tags`配列内の各オブジェクトには、`key``value`との引数の両方が必要です。ただし、`value`引数の値は空の文字列とすることができます。タグ値をタグキーに関連付けない場合、`value` 引数の値を指定しないでください。たとえば、以下のコマンドは、関連付けられたタグ値を含まない`Owner`タグキーを追加します。
```
$ aws securityhub tag-resource \
--resource-arn arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 \
--tags '{"Owner":""}'
```
タグ付けオペレーションが成功すると、Security Hub CSPM は空の HTTP 200 レスポンスを返します。それ以外の場合、Security Hub CSPM は HTTP 4*xx* またはオペレーションが失敗した理由を示す 500 レスポンスを返します。
------
# Security Hub CSPM リソースのタグを編集する
環境または要件が時間の経過とともに変化すると、 AWS Security Hub CSPM リソースの既存のタグを評価し、必要に応じてタグを変更できます。*タグ*は、特定のタイプの Amazon Macie リソースなど 1 つ以上の AWS リソースを定義して割り当てることができるラベルです。各タグは、必要なタグキー**とオプションのタグ値**で設定されています。*タグキー* は、より具体的なタグ値のカテゴリとして動作する一般的なラベルです。*タグ値*は、タグキーの記述子として機能します。
タグを使用することで、目的、所有者、環境、その他の条件など、さまざまな方法でリソースを分類および管理できます。例えば、タグを使用してポリシーを適用したり、コストを割り当てたり、リソースのバージョンを区別したり、特定のコンプライアンス要件やワークフローをサポートするリソースを識別したりできます。
以下のタイプの Security Hub CSPM リソースにタグを追加できます。
+ 自動化ルール
+ 設定ポリシー
+ `Hub` リソース:
Security Hub CSPM リソースのタグキーまたはタグ値を編集するには、Security Hub CSPM API を使用します。現在、Security Hub CSPM コンソールはタグ編集をサポートしていません。
**重要**
リソースのタグを編集すると、リソースへのアクセスに影響する可能性があります。リソースのタグを編集する前に、タグを使用してリソースへのアクセスを制御する可能性のある AWS Identity and Access Management (IAM) ポリシーを確認してください。
------
#### [ Security Hub CSPM API ]
**Security Hub CSPM リソースのタグを編集するには (API)**
リソースのタグをプログラムで編集すると、既存のタグが新しい値に上書きされます。したがって、タグを編集する最適な方法は、タグキー、タグ値、またはその両方を編集するかどうかによって異なります。タグキーを編集するには、[現在のタグを削除](tags-remove.md)して、[新しいタグを追加](tags-add.md)します。
タグキーに関連付けられているタグ値のみを編集または削除するには、Security Hub CSPM API の [TagResource](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_TagResource.html) オペレーションを使用して既存の値を上書きします。 AWS CLIを使用している場合は、[tag-resource](https://docs.aws.amazon.com/cli/latest/reference/securityhub/tag-resource.html) コマンドを実行します。リクエストでは、タグ値を編集または削除するリソースの Amazon リソースネーム (ARN) を指定します。
タグ値を編集するには、`tags` パラメータを使用して、タグ値を変更したいタグキーを指定します。キーには新しいタグ値も指定する必要があります。たとえば、次の AWS CLI コマンドは、指定された自動化ルールに割り当てられたタグキー`Test`の`Environment`タグ値を `Prod`から に変更します。この例は Linux、macOS、または Unix 用にフォーマットされており、読みやすさを向上させるためにバックスラッシュ (\$1) の行継続文字を使用しています。
```
$ aws securityhub tag-resource \
--resource-arn arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 \
--tags '{"Environment":"Test"}'
```
コードの説明は以下のとおりです。
+ `resource-arn` では設定ポリシーの ARN を指定します。
+ `Environment`は、変更するタグ値に関連付けられているタグキーです。
+ `Test`は、指定したタグキー (`Environment`) に使用する新しいタグ値です。
タグキーからタグ値を削除するには、`tags`パラメーターのキーの`value`引数の値を指定しないでください。例えば、次のようになります。
```
$ aws securityhub tag-resource \
--resource-arn arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 \
--tags '{"Owner":""}'
```
オペレーションが成功すると、Security Hub CSPM は空の HTTP 200 レスポンスを返します。それ以外の場合、Security Hub CSPM は HTTP 4*xx* またはオペレーションが失敗した理由を示す 500 レスポンスを返します。
------
# Security Hub CSPM リソースのタグを確認する
AWS Security Hub CSPM リソースのタグを追加または編集すると、リソースに現在あるタグキーとタグ値を表示できます。*タグ*は、特定のタイプの Amazon Macie リソースなど 1 つ以上の AWS リソースを定義して割り当てることができるラベルです。各タグは、必要なタグキー**とオプションのタグ値**で設定されています。*タグキー* は、より具体的なタグ値のカテゴリとして動作する一般的なラベルです。*タグ値*は、タグキーの記述子として機能します。
タグを使用することで、目的、所有者、環境、その他の条件など、さまざまな方法でリソースを分類および管理できます。例えば、タグを使用してポリシーを適用したり、コストを割り当てたり、リソースのバージョンを区別したり、特定のコンプライアンス要件やワークフローをサポートするリソースを識別したりできます。
以下のタイプの Security Hub CSPM リソースにタグを追加できます。
+ 自動化ルール
+ 設定ポリシー
+ `Hub` リソース:
Security Hub CSPM コンソールまたは Security Hub CSPM API を使用して、Security Hub CSPM 自動化ルールまたは設定ポリシーのタグを確認できます。コンソールは `Hub` リソースのタグの確認をサポートしていません。プログラムにより、任意のリソースのタグを確認できます。
複数の Security Hub CSPM リソースのタグを同時に確認するには、[AWS Resource Groups Tagging API](https://docs.aws.amazon.com/resourcegroupstagging/latest/APIReference/overview.html) のタグ付けオペレーションを使用します。
------
#### [ Console ]
**Security Hub CSPM リソースのタグを確認するには (コンソール)**
1. Security Hub CSPM 管理者の認証情報を使用して、[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) で AWS Security Hub CSPM コンソールを開きます。
1. タグを追加するリソースのタイプに応じて、次のいずれかを実行します。
+ 自動化ルールのタグを確認するには、ナビゲーションペインで **[自動化]** を選択します。次に、自動化ルールを選択します。
+ 設定ポリシーのタグを確認するには、ナビゲーションペインで **[設定]** を選択します。次に、**[ポリシー]** タブで設定ポリシーの横にあるオプションを選択します。サイドパネルが開き、ポリシーに割り当てられたタグの数が表示されます。**[タグ]** ヘッダーを展開すると、タグキーとタグ値が表示されます。
**Tags** セクションには、現在リソースに割り当てられているすべてのタグが一覧表示されます。
------
#### [ Security Hub CSPM API ]
**Security Hub CSPM リソースのタグを確認するには (API)**
既存のリソースのタグを取得して確認するには、[ListTagsForResource](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListTagsForResource.html) API を呼び出します。リクエストでは、`resourceArn` パラメータを使用してリソースの Amazon リソースネーム (ARN) を指定します。
を使用している場合は AWS CLI、[list-tags-for-resource](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-tags-for-resource.html) コマンドを実行し、 `resource-arn`パラメータを使用してリソースの ARN を指定します。例えば、次のようになります。
```
$ aws securityhub list-tags-for-resource --resource-arn arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111
```
操作が成功すると、Security Hub CSPM は `tags` 配列を返します。配列内の各オブジェクトは、現在リソースに割り当てられているタグ (タグキーとタグ値の両方) を指定します。例えば、次のようになります。
```
{
"tags": [
{
"key": "Environment",
"value": "Prod"
},
{
"key": "CostCenter",
"value": "12345"
},
{
"key": "Owner",
"value": ""
}
]
}
```
ここで`Environment`、`CostCenter`、`Owner`は、リソースに割り当てられるタグキーです。 `Prod`は、`Environment`タグキーに関連付けられているタグ値です。 `12345`は、`CostCenter`タグキーに関連付けられているタグ値です。`Owner`タグキーには、関連するタグ値はありません。
タグを持つすべての Security Hub CSPM リソースと、それらの各リソースに割り当てられたすべてのタグのリストを取得するには、 AWS Resource Groups タグ付け API の [GetResources](https://docs.aws.amazon.com/resourcegroupstagging/latest/APIReference/API_GetResources.html) オペレーションを使用します。リクエストでは、`ResourceTypeFilters` パラメータの値を `securityhub` に設定します。を使用してこれを行うには AWS CLI、[get-resources](https://docs.aws.amazon.com/cli/latest/reference/resourcegroupstaggingapi/get-resources.html) コマンドを実行し、 `resource-type-filters`パラメータの値を に設定します`securityhub`。例えば、次のようになります。
```
$ aws resourcegroupstaggingapi get-resources -\-resource-type-filters "securityhub"
```
オペレーションが成功すると、Resource Groups は `ResourceTagMappingList` 配列を返します。この配列には、タグが付いている Security Hub CSPM リソースごとに 1 つのオブジェクトが含まれます。各オブジェクトで Security Hub CSPM リソースの ARN と、リソースに割り当てられるタグキーと値を指定します。
------
# Security Hub CSPM リソースからのタグの削除
AWS Security Hub CSPM リソースにタグを追加すると、その後 1 つ以上のタグを削除できます。*タグ*は、特定のタイプの Security Hub CSPM リソースなど、 AWS リソースを定義および割り当てることができるラベルです。自動化ルール、設定ポリシー、`Hub` リソースという種類の Security Hub CSPM リソースからタグを追加、編集、削除することができます。
個々の AWS Security Hub CSPM リソースからタグを削除するには、Security Hub CSPM API を使用できます。現在、Security Hub CSPM コンソールはタグの削除をサポートしていません。
複数の Security Hub CSPM リソースからタグを同時に削除するには、[AWS Resource Groups Tagging API](https://docs.aws.amazon.com/resourcegroupstagging/latest/APIReference/overview.html) のタグ付けオペレーションを使用します。
**重要**
リソースからタグを削除すると、リソースへのアクセスに影響を与える可能性があります。タグを削除する前に、タグを使用してリソースへのアクセスを制御する可能性のある AWS Identity and Access Management (IAM) ポリシーを確認してください。
------
#### [ Security Hub CSPM API ]
**Security Hub CSPM リソース (API) からタグを削除するには**
リソースから 1 つ以上のタグをプログラムで削除するには、Security Hub CSPM API の [UntagResource](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UntagResource.html) オペレーションを使用します。リクエストで、`resourceArn`パラメーターを使用して、タグを削除するリソースの Amazon リソースネーム (ARN) を指定します。`tagKeys`パラメータを使用して、削除するタグのタグキーを指定します。複数のタグを削除するには、削除する各タグの`tagKeys`パラメーターと引数をアンパサンド (&) で区切って追加します (例: `tagKeys=key1&tagKeys=key2`)。リソースから特定のタグ値 (タグキーではない) のみを削除するには、タグを削除する代わりに[タグを編集](tags-update.md)します。
を使用している場合は AWS CLI、[untag-resource](https://docs.aws.amazon.com/cli/latest/reference/securityhub/untag-resource.html) コマンドを実行して、リソースから 1 つ以上のタグを削除します。`resource-arn`パラメータには、タグを削除するリソースの ARN を指定します。`tag-keys`パラメータを使用して、削除するタグのタグキーを指定します。例えば、次のコマンドは、指定した設定ポリシーから `Environment` タグ (タグキーとタグ値の両方) を削除します。
```
$ aws securityhub untag-resource \
--resource-arn arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 \
--tag-keys Environment
```
ここで `resource-arn` ではタグを削除する設定ポリシーの ARN を指定し、`Environment` は削除するタグのタグキーです。
リソースから複数のタグを削除するには、追加の各タグ キーを `tag-keys` パラメーターの引数として追加します。例えば、次のようになります。
```
$ aws securityhub untag-resource \
--resource-arn arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 \
--tag-keys Environment Owner
```
オペレーションが成功すると、Security Hub CSPM は空の HTTP 200 レスポンスを返します。それ以外の場合、Security Hub CSPM は HTTP 4*xx* またはオペレーションが失敗した理由を示す 500 レスポンスを返します。
------