As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
AWSPadrão de marcação de recursos no Security Hub CSPM
O padrão AWS Resource Tagging, desenvolvido pelo AWS Security Hub CSPM, ajuda você a determinar se seus AWS recursos não têm tags. As tags são pares de valores-chave que atuam como metadados para organizar recursos. AWS Com a maioria dos recursos da AWS, você tem a opção de adicionar tags quando cria o recurso ou após a sua criação. Exemplos de recursos incluem CloudFront distribuições da Amazon, instâncias do Amazon Elastic Compute Cloud (Amazon EC2) e segredos em. AWS Secrets Manager As tags podem ajudar você a gerenciar, identificar, organizar, pesquisar e filtrar AWS recursos.
Cada tag da tem duas partes:
-
Uma chave de tag (por exemplo,
CostCenter,EnvironmentouProject). As chaves de tag diferenciam maiúsculas de minúsculas -
Um valor de tag (por exemplo,
111122223333ouProduction). Assim como as chaves de tag, os valores de tag diferenciam maiúsculas de minúsculas.
É possível usar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. Para obter informações sobre como adicionar tags aos AWS recursos, consulte o Guia do usuário dos AWS recursos de marcação e do editor de tags.
Para cada controle que se aplica ao padrão AWS Resource Tagging no Security Hub CSPM, você pode, opcionalmente, usar o parâmetro suportado para especificar as chaves de tag que você deseja que o controle verifique. Se você não especificar nenhuma chave de tag, o controle verificará somente a existência de pelo menos uma chave de tag e falhará se um recurso não tiver nenhuma chave de tag.
Antes de ativar o padrão AWS de marcação de recursos, é importante habilitar e configurar a gravação de recursos noAWS Config. Ao configurar o registro de recursos, certifique-se também de habilitá-lo para todos os tipos de AWS recursos que são verificados pelos controles que se aplicam ao padrão. Caso contrário, o CSPM do Security Hub pode não ser capaz de avaliar os recursos adequados e gerar descobertas precisas para os controles que se apliquem ao padrão. Para obter mais informações, incluindo uma lista dos tipos de recursos a serem registrados, consulte AWS ConfigRecursos necessários para descobertas de controle.
Depois de habilitar o padrão AWS Resource Tagging, você começa a receber descobertas de controles que se aplicam ao padrão. Observe que pode levar até 18 horas para que o Security Hub CSPM gere descobertas para controles que usam a mesma regra AWS Config vinculada ao serviço que os controles que se aplicam a outros padrões habilitados. Para obter mais informações, consulte Programar a execução de verificações de segurança.
O padrão AWS Resource Tagging tem o seguinte nome de recurso da Amazon (ARN)arn:aws:securityhub::, region::standards/aws-resource-tagging-standard/v/1.0.0region onde está o código da região aplicável. Região da AWS Você também pode usar a GetEnabledStandardsoperação da API CSPM do Security Hub para recuperar o ARN de um padrão atualmente habilitado.
nota
O padrão Marcação de Recursos da AWS não está disponível nas regiões Ásia-Pacífico (Nova Zelândia) e Ásia-Pacífico (Taipei).
Controles que se aplicam ao padrão
A lista a seguir especifica quais controles CSPM do AWS Security Hub se aplicam ao padrão AWS Resource Tagging (v1.0.0). Para revisar os detalhes de um controle, escolha o controle.
-
[AppConfig.2]AWS AppConfigperfis de configuração devem ser marcados
-
[AppConfig.4]AWS AppConfigassociações de extensão devem ser marcadas
-
[AppRunner.2] Os conectores VPC do App Runner devem ser marcados
-
[Athena.2] Os catálogos de dados do Athena devem ser marcados
-
[Athena.3] Os grupos de trabalho do Athena devem ser marcados
-
[AutoScaling.10] Os grupos do EC2 Auto Scaling devem ser marcados
-
[Backup.2]AWS Backupos pontos de recuperação devem ser marcados
-
[Backup.4]AWS Backupos planos de relatórios devem ser marcados
-
[Batch.2] As políticas de agendamento em lote devem ser marcadas
-
[Batch.3] Ambientes de computação em lote devem ser marcados
-
[CloudFormation.2] as CloudFormation pilhas devem ser marcadas
-
[CloudFront.14] CloudFront as distribuições devem ser marcadas
-
[CodeArtifact.1] CodeArtifact repositórios devem ser marcados
-
[CodeGuruProfiler.1] Os grupos CodeGuru de criação de perfil do Profiler devem ser marcados
-
[CodeGuruReviewer.1] As associações do repositório do CodeGuru revisor devem ser marcadas
-
[Connect.1] Os tipos de objetos do Amazon Connect Customer Profiles devem ser marcados
-
[Detective.1] Os gráficos de comportamento do Detective devem ser marcados
-
[DMS.4] As instâncias de replicação do DMS devem ser marcadas
-
[DMS.5] Os grupos de sub-redes de replicação do DMS devem ser marcados
-
[EC2.33] Os anexos do EC2 Transit Gateway devem ser marcados
-
[EC2.34] As tabelas de rotas do gateway de trânsito EC2 devem ser marcadas
-
[EC2.37] Os endereços IP elásticos do EC2 devem ser marcados
-
[EC2.47] Os serviços de endpoint do Amazon VPC devem ser marcados
-
[EC2.48] Os registros de fluxo da Amazon VPC devem ser marcados
-
[EC2.49] As conexões de emparelhamento da Amazon VPC devem ser marcadas
-
[EC2.174] Os conjuntos de opções DHCP do EC2 devem ser marcados
-
[EC2.175] Os modelos de lançamento do EC2 devem ser marcados
-
[EC2.177] As sessões de espelhamento de tráfego do EC2 devem ser marcadas
-
[EC2.178] Os filtros de espelhos de tráfego do EC2 devem ser marcados
-
[EC2.179] Os alvos do espelho de tráfego do EC2 devem ser marcados
-
[EKS.7] As configurações do provedor de identidade EKS devem ser marcadas
-
[EventBridge.2] ônibus de EventBridge eventos devem ser etiquetados
-
[FraudDetector.1] Os tipos de entidade do Amazon Fraud Detector devem ser marcados
-
[FraudDetector.2] Os rótulos do Amazon Fraud Detector devem ser marcados
-
[FraudDetector.3] Os resultados do Amazon Fraud Detector devem ser marcados
-
[FraudDetector.4] As variáveis do Amazon Fraud Detector devem ser marcadas
-
[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados
-
[IAM.23] Os analisadores do IAM Access Analyzer devem ser marcados
-
[IoT.1]AWS IoT Device Defenderperfis de segurança devem ser marcados
-
[IoTEvents.1]AWSAs entradas do IoT Events devem ser marcadas
-
[IoTEvents.2]AWSOs modelos de detectores de eventos da IoT devem ser marcados
-
[IoTEvents.3]AWSOs modelos de alarme do IoT Events devem ser marcados
-
[IoTSiteWise.1]AWSOs modelos de SiteWise ativos de IoT devem ser marcados
-
[IoTSiteWise.2]AWSOs SiteWise painéis de IoT devem ser marcados
-
[IoTSiteWise.3]AWSOs SiteWise gateways de IoT devem ser marcados
-
[IoTSiteWise.4]AWS SiteWise Portais de IoT devem ser marcados
-
[IoTSiteWise.5]AWS SiteWise Projetos de IoT devem ser marcados
-
[IoTTwinMaker.1]AWSOs trabalhos de TwinMaker sincronização de IoT devem ser marcados
-
[IoTTwinMaker.2]AWSOs TwinMaker espaços de trabalho de IoT devem ser marcados
-
[IoTTwinMaker.3]AWSAs TwinMaker cenas de IoT devem ser marcadas
-
[IoTTwinMaker.4]AWSAs TwinMaker entidades de IoT devem ser marcadas
-
[IoTWireless.1]AWSOs grupos multicast do IoT Wireless devem ser marcados
-
[IoTWireless.2]AWSOs perfis de serviço IoT Wireless devem ser marcados
-
[IVS.1] Os pares de teclas de reprodução do IVS devem ser marcados
-
[Keyspaces.1] Os keyspaces do Amazon Keyspaces devem ser marcados
-
[NetworkFirewall.7] Os firewalls do Network Firewall devem ser marcados
-
[NetworkFirewall.8] As políticas de firewall do Network Firewall devem ser marcadas
-
[PCA.2]AWSAs autoridades certificadoras privadas da CA devem ser marcadas
-
[RDS.28] Os clusters de banco de dados do RDS devem ser marcados
-
[RDS.29] Os instantâneos do cluster de banco de dados do RDS devem ser marcados
-
[RDS.30] As instâncias de banco de dados do RDS devem ser marcadas
-
[RDS.31] Os grupos de segurança do RDS DB devem ser marcados
-
[RDS.32] Os instantâneos do banco de dados do RDS devem ser marcados
-
[RDS.33] Os grupos de sub-redes do banco de dados do RDS devem ser marcados
-
[Redshift.12] As assinaturas de notificação de eventos do Redshift devem ser marcadas
-
[Redshift.13] Os instantâneos do cluster Redshift devem ser marcados
-
[Redshift.14] Os grupos de sub-redes do cluster Redshift devem ser marcados
-
[Redshift.17] Os grupos de parâmetros do cluster Redshift devem ser marcados
-
[Route53.1] As verificações de saúde do Route 53 devem ser marcadas
-
[SageMaker.6] as configurações da imagem do SageMaker aplicativo devem ser marcadas
-
[SecretsManager.5] Os segredos do Secrets Manager devem ser marcados
-
[SES.2] Os conjuntos de configuração do SES devem ser marcados
-
[StepFunctions.2] As atividades do Step Functions devem ser marcadas
-
[Transfer.1]AWS Transfer Familyfluxos de trabalho devem ser marcados
-
[Transfer.5] Os certificados Transfer Family devem ser marcados
-
[Transfer.6] Os conectores Transfer Family devem ser marcados
-
[Transfer.7] Os perfis do Transfer Family devem ser marcados