As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Marcar recursos do Security Hub
Uma tag é um rótulo opcional que você pode definir e atribuir aos AWS recursos, incluindo certos tipos de recursos do AWS Security Hub. As tags podem ajudá-lo a identificar, categorizar e gerenciar recursos de diferentes maneiras, como por finalidade, proprietário, ambiente ou outros critérios. Por exemplo, é possível usar tags para distinguir entre recursos, identificar recursos que aceitam determinados requisitos de conformidade ou fluxos de trabalho ou alocar custos.
Você pode adicionar tags aos seguintes tipos de recurso do Security Hub:
-
Regras de automação
-
Políticas de configuração
-
Recurso do
Hub
Fundamentos das tags
Um recurso pode ter até 50 tags. Cada tag consiste em uma chave de tag obrigatória e um valor de tag opcional, ambos definidos por você. Uma chave de tag é uma etiqueta geral que atua como uma categoria para valores de tags mais específicos. Um valor de tag atua como um descritor de uma chave de tag.
Por exemplo, se você criar regras de automação diferentes para ambientes diferentes (um conjunto de regras de automação para contas de teste e outro para contas de produção), poderá atribuir uma chave de tag Environment a essas regras. O valor da tag associada pode ser Test para as regras associadas às contas de teste e Prod para as regras associadas às contas de produção OUs e.
Ao definir e atribuir tags aos recursos do AWS Security Hub, lembre-se do seguinte:
-
Cada recurso pode ter um máximo de 50 tags.
-
Em todos os recursos, cada chave de etiqueta deve ser exclusiva e pode ter apenas um valor de tag.
-
As chaves e valores das tags diferenciam maiúsculas de minúsculas. Como práticas recomendadas, recomendamos definir uma estratégia para letras maiúsculas em tags e implementá-las de forma consistente em todos os seus recursos.
-
Uma chave de tag pode ter no máximo 128 caracteres UTF-8. Um valor de tag pode ter no máximo 256 caracteres UTF-8. Os caracteres podem ser letras, números, espaços ou os seguintes símbolos: _ . : / = + - @
-
O
aws:prefixo é reservado para uso por AWS. Você não pode usá-lo em nenhuma chave ou valor de tag que você definir. Além disso, você não pode alterar ou remover chaves de tag ou valores que usam esse prefixo. As tags que usam esse prefixo não adicionam à cota de 50 tags por recurso. -
Todas as tags que você atribuir estão disponíveis somente para você Conta da AWS e somente no local Região da AWS em que você as atribui.
-
Se você atribuir tags a um recurso usando o Security Hub, as tags serão aplicadas somente ao recurso que está armazenado diretamente no Security Hub no(a) Região da AWS aplicável. Eles não são aplicados a nenhum recurso de suporte associado que o Security Hub cria, usa ou mantém para você em outros Serviços da AWS. Por exemplo, se você atribuir tags a uma regra de automação que atualiza descobertas relacionadas ao Amazon Simple Storage Service (Amazon S3), as tags são aplicadas somente à sua regra de automação no Security Hub para a região especificada. Elas não são aplicadas aos seus buckets do S3. Para também atribuir tags a um recurso associado, você pode usar AWS Resource Groups ou AWS service (Serviço da AWS) aquele que armazena o recurso, por exemplo, Amazon S3 para um bucket do S3. A atribuição de tags aos recursos associados pode ajudar você a identificar recursos de suporte para seus recursos do Security Hub.
-
Se você excluir um recurso, quaisquer tags atribuídas ao recurso também serão excluídas.
Importante
Não armazene dados confidenciais ou outros tipos de dados sigilosos em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive AWS Billing and Cost Management. As tags não devem ser usadas para dados confidenciais.
Para adicionar e gerenciar tags para recursos do Security Hub, você pode usar o console do Security Hub, a API do Security Hub ou a API AWS Resource Groups Tagging. Com o Security Hub é possível adicionar tags aos recursos ao criá-los. Você também pode adicionar e gerenciar tags para recursos individuais existentes. Com o Resource Groups, você pode adicionar e gerenciar tags em massa para vários recursos existentes, abrangendo vários Serviços da AWS, incluindo o Security Hub.
Para obter dicas adicionais de marcação e melhores práticas, consulte Como marcar seus AWS recursos no Guia do usuário de AWS recursos de marcação.
Utilizar tags nas políticas do IAM
Depois de começar a atribuir tags aos recursos, defina permissões de recurso baseadas em tags em políticas do AWS Identity and Access Management (IAM). Ao usar tags dessa forma, você pode implementar um controle granular de quais usuários e funções em sua empresa Conta da AWS têm permissão para criar e marcar recursos e quais usuários e funções têm permissão para adicionar, editar e remover tags de forma mais geral. Para controlar o acesso com base em tags, você pode usar chaves de condição relacionadas à tag no elemento Condição das políticas do IAM.
Por exemplo, você pode criar uma política do IAM que permita que um usuário tenha acesso completo a todos os recursos do AWS Security Hub, se a tag Owner para o recurso especificar seu nome de usuário:
{ "Version":"2012-10-17", "Statement": [ { "Sid": "ModifyResourceIfOwner", "Effect": "Allow", "Action": "securityhub:*", "Resource": "*", "Condition": { "StringEqualsIgnoreCase": {"aws:ResourceTag/Owner": "${aws:username}"} } } ] }
Se você definir permissões em nível de recurso e baseadas em tag, elas entrarão em vigor imediatamente. Isso significa que seus recursos ficam mais seguros assim que são criados, e que você pode começar a aplicar rapidamente o uso de tags em novos recursos. Também é possível usar permissões em nível de recurso para controlar quais valores e chaves de tag podem ser associados a recursos novos e existentes. Para obter mais informações, consulte Controle do acesso a AWS recursos usando tags no Guia do usuário do IAM.
