Security Hub 리소스 태그 지정 - AWS Security Hub

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Security Hub 리소스 태그 지정

태그는 특정 유형의 AWS Security Hub AWS 리소스를 포함하여 리소스를 정의하고 리소스에 할당할 수 있는 선택적 레이블입니다. 태그를 사용하면 용도, 소유자, 환경 또는 기타 기준과 같은 다양한 방법으로 리소스를 식별하고, 분류하고 관리하는 데 도움이 됩니다. 예를 들어, 태그를 사용하여 리소스를 구분하고, 특정 규정 준수 요구 사항 또는 워크플로를 지원하는 리소스를 식별하거나, 비용을 할당할 수 있습니다.

태그를 추가할 수 있는 Security Hub 리소스 유형은 다음과 같습니다.

  • 자동화 규칙

  • 구성 정책

  • Hub 리소스

태그 지정 기본 사항

리소스는 최대 50개의 태그를 가질 수 있습니다. 각 태그는 사용자가 정의하는 필수 태그 키와 선택적 태그 값으로 구성됩니다. 태그 키는 더 구체적인 태그 값에 대해 카테고리와 같은 역할을 하는 일반적인 레이블입니다. 태그 값은 태그 키에 대한 설명자 역할을 합니다.

예를 들어, 환경마다 다른 자동화 규칙(테스트 계정용 자동화 규칙 세트 하나, 프로덕션 계정용 자동화 규칙 세트 하나)을 만드는 경우, 해당 규칙에 Environment 태그 키를 할당할 수 있습니다. 관련 태그 값은 테스트 계정과 연결된 규칙의 경우 Test이고 프로덕션 계정 및 OU와 연결된 규칙의 경우, Prod일 수 있습니다.

AWS Security Hub 리소스에 태그를 정의하고 할당할 때 다음 사항에 유의하세요.

  • 각 리소스는 최대 50개의 태그를 보유할 수 있습니다.

  • 각 리소스에 대해 각 태그 키는 고유하며 하나의 태그 값만 가질 수 있습니다.

  • 태그 키와 값은 대소문자를 구분합니다. 모범적으로는 태그를 대문자로 사용하는 전략을 세우고 이러한 전략을 모든 리소스 유형에 대해 일관되게 구현하는 것이 좋습니다.

  • 태그 키는 최대 128개의 UTF-8 문자를 포함할 수 있습니다. 태그 값은 최대 256개의 UTF-8 문자를 포함할 수 있습니다. 문자는 문자, 숫자, 공백 또는 _ . : / = + - @ 기호일 수 있습니다.

  • aws: 접두사는에서 사용하도록 예약되어 있습니다 AWS. 정의한 태그 키나 값에는 이를 사용할 수 없습니다. 또는 이 접두사를 사용하는 태그 키 또는 값을 변경하거나 제거할 수 없습니다. 이 접두사를 사용하는 태그는 리소스당 50개의 할당량에 포함되지 않습니다.

  • 할당하는 모든 태그는 에서만 사용할 수 AWS 계정 있으며 할당하는 AWS 리전 에서만 사용할 수 있습니다.

  • Security Hub를 사용하여 리소스에 태그를 할당하는 경우, 해당 태그는 해당 AWS 리전의 Security Hub에 직접 저장된 리소스에만 적용됩니다. Security Hub가 다른 AWS 서비스에서 생성, 사용 또는 유지 관리하는 관련 지원 리소스에는 적용되지 않습니다. 예를 들어, Amazon Simple Storage Service(S3)와 관련된 조사 결과를 업데이트하는 자동화 규칙에 태그를 할당하는 경우, 태그는 지정된 리전의 Security Hub에 있는 자동화 규칙에만 적용됩니다. S3 버킷에는 적용되지 않습니다. 또한 연결된 리소스에 태그를 할당하려면 리소스를 AWS 서비스 저장하는 AWS Resource Groups 또는를 사용할 수 있습니다. 예를 들어 SAmazon S3S3를 사용할 수 있습니다. 관련 리소스에 태그를 할당하면 Security Hub 리소스에 대한 지원 리소스를 식별하는 데 도움이 될 수 있습니다.

  • 리소스를 삭제하면, 리소스에 지정된 태그 또한 삭제됩니다.

중요

기밀 또는 기타 유형의 민감한 데이터를 태그에 저장하지 마세요. 를 AWS 서비스포함하여 많은에서 태그에 액세스할 수 있습니다 AWS Billing and Cost Management. 태그는 민감한 데이터에 사용하기 위한 것이 아닙니다.

Security Hub 리소스에 대한 태그를 추가하고 관리하려면 Security Hub 콘솔, Security Hub API 또는 AWS Resource Groups 태깅 API를 사용할 수 있습니다. Security Hub와 함께라면 리소스를 만들 때 태그를 리소스에 추가할 수 있습니다. 개별 기존 리소스의 태그를 추가하고 관리할 수도 있습니다. Resource Groups를 사용하면 Security Hub를 AWS 서비스포함하여 여러에 걸쳐 있는 여러 기존 리소스에 대해 태그를 대량으로 추가하고 관리할 수 있습니다.

추가 태그 지정 팁 및 모범 사례는 AWS 리소스 태그 지정 사용 설명서의 리소스 태그 지정을 참조하세요. AWS

IAM 정책에서 태그 사용

리소스에 태그를 지정한 후 AWS Identity and Access Management (IAM)정책에서 태그 기반의 리소스 수준 권한을 정의할 수 있습니다. 이러한 방식으로 태그를 사용하면에서 리소스를 생성하고 태그를 지정할 수 있는 권한이 AWS 계정 있는 사용자 및 역할과 태그를 더 일반적으로 추가, 편집 및 제거할 수 있는 권한이 있는 사용자 및 역할에 대한 세분화된 제어를 구현할 수 있습니다. 태그를 기반으로 액세스를 컨트롤하려면 IAM 정책의 조건 요소에서 태그 관련 조건 키를 사용하면 됩니다.

예를 들어, 리소스에 대한 Owner 태그가 사용자 이름을 지정하는 경우, 사용자가 모든 AWS Security Hub 리소스에 대한 전체 액세스 권한을 갖도록 허용하는 IAM 정책을 생성할 수 있습니다.

{ "Version":"2012-10-17", "Statement": [ { "Sid": "ModifyResourceIfOwner", "Effect": "Allow", "Action": "securityhub:*", "Resource": "*", "Condition": { "StringEqualsIgnoreCase": {"aws:ResourceTag/Owner": "${aws:username}"} } } ] }

태그 기반의 리소스 수준 권한을 정의하면 권한이 즉시 적용됩니다. 즉, 리소스를 생성하자마자 더 안전하게 보호할 수 있으며 새로운 리소스에 태그 사용 적용을 빠르게 시작할 수 있습니다. 리소스 수준 권한을 사용하여 새로운 및 기존 리소스와 연결할 수 있는 태그 키와 값을 제어할 수도 있습니다. 자세한 내용은 IAM 사용 설명서태그를 사용하여 AWS 리소스에 대한 액세스 제어를 참조하세요.