As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Marcar recursos do Security Hub
Uma *tag* é um rótulo opcional que você pode definir e atribuir aos AWS recursos, incluindo certos tipos de recursos CSPM do AWS Security Hub. As tags podem ajudá-lo a identificar, categorizar e gerenciar recursos de diferentes maneiras, como por finalidade, proprietário, ambiente ou outros critérios. Por exemplo, é possível usar tags para distinguir entre recursos, identificar recursos que aceitam determinados requisitos de conformidade ou fluxos de trabalho ou alocar custos.
É possível adicionar tags aos tipos de recurso a seguir do CSPM do Security Hub:
+ Regras de automação
+ Políticas de configuração
+ Recurso do `Hub`
## Fundamentos das tags
Um recurso pode ter até 50 tags. Cada tag consiste em uma *chave de tag* obrigatória e um *valor de tag* opcional, ambos definidos por você. Uma *chave de tag* é uma etiqueta geral que atua como uma categoria para valores de tags mais específicos. Um *valor de tag* atua como um descritor de uma chave de tag.
Por exemplo, se você criar regras de automação diferentes para ambientes diferentes (um conjunto de regras de automação para contas de teste e outro para contas de produção), poderá atribuir uma chave de tag `Environment` a essas regras. O valor da tag associada pode ser `Test` para as regras associadas às contas de teste e `Prod` para as regras associadas às contas de produção OUs e.
Ao definir e atribuir tags aos recursos CSPM do AWS Security Hub, lembre-se do seguinte:
+ Cada recurso pode ter um máximo de 50 tags.
+ Em todos os recursos, cada chave de tag deve ser exclusiva e pode ter apenas um valor de tag.
+ As chaves e valores das tags diferenciam maiúsculas de minúsculas. Como práticas recomendadas, recomendamos definir uma estratégia para letras maiúsculas em tags e implementá-las de forma consistente em todos os seus recursos.
+ Uma chave de tag pode ter no máximo 128 caracteres UTF-8. Um valor de tag pode ter no máximo 256 caracteres UTF-8. Os caracteres podem ser letras, números, espaços ou os seguintes símbolos: \$1 . : / = \$1 - @
+ O `aws:` prefixo é reservado para uso por AWS. Você não pode usá-lo em nenhuma chave ou valor de tag que você definir. Além disso, você não pode alterar ou remover chaves de tag ou valores que usam esse prefixo. As tags que usam esse prefixo não adicionam à cota de 50 tags por recurso.
+ Todas as tags que você atribuir estão disponíveis somente para você Conta da AWS e somente no local Região da AWS em que você as atribui.
+ Se você atribuir tags a um recurso usando o CSPM do Security Hub, as tags serão aplicadas somente ao recurso que estiver armazenado diretamente no CSPM do Security Hub na Região da AWS aplicável. Elas não são aplicadas a nenhum recurso de suporte associado que o CSPM do Security Hub crie, use ou mantenha para você em outros Serviços da AWS. Por exemplo, se você atribuir tags a uma regra de automação que atualize descobertas relacionadas ao Amazon Simple Storage Service (Amazon S3), as tags serão aplicadas somente à sua regra de automação no CSPM do Security Hub para a região especificada. Elas não são aplicadas aos seus buckets do S3. Para também atribuir tags a um recurso associado, você pode usar AWS Resource Groups ou AWS service (Serviço da AWS) aquele que armazena o recurso — por exemplo, Amazon S3 para um bucket do S3. A atribuição de tags aos recursos associados pode ajudá-lo a identificar recursos de suporte para seus recursos do CSPM do Security Hub.
+ Se você excluir um recurso, quaisquer tags atribuídas ao recurso também serão excluídas.
**Importante**
Não armazene dados confidenciais ou outros tipos de dados sigilosos em tags. As tags podem ser acessadas por muitos Serviços da AWS, inclusive Gerenciamento de Faturamento e Custos da AWS. As tags não devem ser usadas para dados confidenciais.
Para adicionar e gerenciar tags para recursos CSPM do Security Hub, você pode usar o console CSPM do Security Hub, a API CSPM do Security Hub ou a API Tagging. AWS Resource Groups Com o CSPM do Security Hub é possível adicionar tags aos recursos ao criá-los. Também é possível adicionar e gerenciar tags para recursos individuais existentes. Com o Resource Groups, você pode adicionar e gerenciar tags em massa para vários recursos existentes, abrangendo vários Serviços da AWS, incluindo o Security Hub CSPM.
Para obter dicas adicionais de marcação e melhores práticas, consulte Como [marcar seus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html) no Guia do usuário de * AWS recursos de marcação*.
## Utilizar tags nas políticas do IAM
Depois de começar a atribuir tags aos recursos, defina permissões de recurso baseadas em tags em políticas do AWS Identity and Access Management (IAM). Ao usar tags dessa forma, você pode implementar um controle granular de quais usuários e funções em sua empresa Conta da AWS têm permissão para criar e marcar recursos e quais usuários e funções têm permissão para adicionar, editar e remover tags de forma mais geral. Para controlar o acesso com base em tags, você pode usar [chaves de condição relacionadas à tag](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssecurityhub.html#awssecurityhub-policy-keys) no [elemento Condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) das políticas do IAM.
Por exemplo, é possível criar uma política do IAM que permita que um usuário tenha acesso completo a todos os recursos do CSPM do AWS Security Hub, se a tag `Owner` para o recurso especificar seu nome de usuário:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ModifyResourceIfOwner",
"Effect": "Allow",
"Action": "securityhub:*",
"Resource": "*",
"Condition": {
"StringEqualsIgnoreCase": {"aws:ResourceTag/Owner": "${aws:username}"}
}
}
]
}
```
------
Se você definir permissões em nível de recurso e baseadas em tag, elas entrarão em vigor imediatamente. Isso significa que seus recursos ficam mais seguros assim que são criados, e que você pode começar a aplicar rapidamente o uso de tags em novos recursos. Também é possível usar permissões em nível de recurso para controlar quais valores e chaves de tag podem ser associados a recursos novos e existentes. Para obter mais informações, consulte [Controle do acesso a AWS recursos usando tags](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html) no *Guia do usuário do IAM*.
# Adição de tags aos recursos do CSPM do Security Hub
Uma *tag* é um rótulo que você pode definir e atribuir aos AWS recursos, incluindo certos tipos de recursos CSPM do AWS Security Hub. Ao usar tags, você pode identificar, categorizar e gerenciar recursos de diferentes maneiras, como por finalidade, propriedade, ambiente ou outros critérios. Por exemplo, você pode usar tags para aplicar políticas, alocar custos, distinguir entre versões de recursos ou identificar recursos que suportam determinados requisitos de conformidade ou fluxos de trabalho.
É possível adicionar tags aos tipos de recurso a seguir do CSPM do Security Hub:
+ Regras de automação
+ Políticas de configuração
+ Recurso do `Hub`
Um recurso pode ter até 50 tags. Cada tag consiste em uma *chave de tag* necessária e um *valor de tag* opcional. Uma *chave de tag* é uma etiqueta geral que atua como uma categoria para valores de tags mais específicos. Um *valor de tag* atua como um descritor de uma chave de tag. Para obter mais informações sobre os requisitos e as opções de marcação, consulte [Fundamentos das tags](tagging-resources.md#tags-basics).
Para adicionar tags a um recurso do CSPM do Security Hub, é possível usar o console ou a API do CSPM do Security Hub. Porém, o console não é compatível com a adição de tags ao recurso `Hub`.
Depois de adicionar tags, você pode editar a tag e alterar a chave ou o valor da tag.
Para adicionar ou editar tags de vários recursos do CSPM do Security Hub ao mesmo tempo, use as operações de tag da [API de aplicação de tags do AWS Resource Groups](https://docs.aws.amazon.com/resourcegroupstagging/latest/APIReference/overview.html).
**Importante**
Adicionar tags a um recurso pode afetar o acesso a ele. Antes de adicionar uma tag a um recurso, revise todas as políticas AWS Identity and Access Management (IAM) que possam usar tags para controlar o acesso aos recursos.
------
#### [ Console ]
**Para adicionar tags a um recurso do CSPM do Security Hub (console)**
Quando você cria uma regra de automação ou uma política de configuração, o console do CSPM do Security Hub fornece opções para adicionar tags a ela. É possível fornecer a chave de tag e o valor da tag na seção **Tags**.
------
#### [ Security Hub CSPM API ]
**Para adicionar tags a um recurso do CSPM do Security Hub (API)**
Para criar um recurso e adicionar uma ou mais tags a ele programaticamente, use a operação apropriada para o tipo de recurso que deseja criar:
+ Para criar uma política de configuração e adicionar uma ou mais tags a ela, invoque a [CreateConfigurationPolicy](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateConfigurationPolicy.html)API ou, se estiver usando a AWS CLI, execute o [create-configuration-policy](https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-configuration-policy.html)comando.
+ Para criar uma regra de automação e adicionar uma ou mais tags a ela, invoque a [CreateAutomationRule](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateAutomationRule.html)API ou, se estiver usando a AWS CLI, execute o [create-automation-rule](https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-automation-rule.html)comando.
+ Para habilitar o CSPM do Security Hub e adicionar uma ou mais tags ao seu `Hub` recurso, invoque a [EnableSecurityHub](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_EnableSecurityHub.html)API ou, se estiver usando o AWS Command Line Interface (AWS CLI), execute o comando. [enable-security-hub](https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-security-hub.html)
Em sua solicitação, use o parâmetro `tags` para especificar a chave da tag e o valor opcional da tag para cada tag a ser adicionada ao recurso. O parâmetro `tags` especifica uma matriz de objetos. Cada objeto especifica uma chave de tag e seu valor associado.
Para adicionar uma ou mais tags a um recurso existente, use a [TagResource](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_TagResource.html)operação da API CSPM do Security Hub ou, se estiver usando o AWS CLI, execute o comando [tag-resource](https://docs.aws.amazon.com/cli/latest/reference/securityhub/tag-resource.html). Na solicitação, especifique o nome do recurso da Amazon (ARN) ao qual a tag será adicionada. Use o parâmetro `tags` para especificar a chave da tag (`key`) e o valor opcional da tag (`value`) para cada tag a ser adicionada. O parâmetro `tags` especifica uma matriz de objetos, um objeto para cada chave de tag e seu valor de tag associado.
Por exemplo, o AWS CLI comando a seguir adiciona uma chave de `Environment` tag com um valor de `Prod` tag à política de configuração especificada. Este exemplo está formatado para Linux, macOS ou Unix e usa o caractere de continuação de linha “barra invertida (\$1)” para melhorar a legibilidade.
**Exemplo de comando da CLI:**
```
$ aws securityhub tag-resource \
--resource-arn arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 \
--tags '{"Environment":"Prod"}'
```
Em que:
+ `resource-arn` especifica o ARN da política de configuração à qual adicionar uma tag.
+ `Environment` é a chave da tag a ser adicionada à regra.
+ `Prod` é o valor da tag para a chave de tag especificada (`Environment`).
No exemplo a seguir, o comando adiciona várias tags à política de configuração.
```
$ aws securityhub tag-resource \
--resource-arn arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 \
--tags '{"Environment":"Prod", "CostCenter":"12345", "Owner":"jane-doe"}'
```
Para cada objeto em uma matriz `tags`, os argumentos `key` e `value` são obrigatórios. No entanto, o valor do argumento `value` pode ser um segmento vazio. Se você não quiser associar um valor de tag a uma chave de tag, não especifique um valor para o argumento `value`. Por exemplo, o comando a seguir adiciona uma chave de tag `Owner` sem valor associado:
```
$ aws securityhub tag-resource \
--resource-arn arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 \
--tags '{"Owner":""}'
```
Se uma operação de aplicação de tag tiver êxito, o CSPM do Security Hub retornará uma resposta HTTP 200 vazia. Caso contrário, o CSPM do Security Hub retornará uma resposta HTTP 4 *xx* ou 500 que indica por que a operação falhou.
------
# Edição de tags para recursos do CSPM do Security Hub
Conforme seu ambiente ou requisitos mudam com o tempo, você pode avaliar as tags existentes para seus recursos CSPM do AWS Security Hub e alterá-las conforme necessário. Uma *tag* é um rótulo que você define e atribui a um ou mais recursos da AWS , incluindo certos tipos de recursos do Macie. Cada tag consiste em uma *chave de tag* necessária e um *valor de tag* opcional. Uma *chave de tag* é uma etiqueta geral que atua como uma categoria para valores de tags mais específicos. Um *valor de tag* atua como um descritor de uma chave de tag.
As tags podem ajudá-lo a identificar, categorizar e gerenciar recursos de diferentes maneiras, como por finalidade, proprietário, ambiente ou outros critérios. Por exemplo, você pode usar tags para aplicar políticas, alocar custos, distinguir entre versões de recursos ou identificar recursos que suportam determinados requisitos de conformidade ou fluxos de trabalho.
É possível adicionar tags aos tipos de recurso a seguir do CSPM do Security Hub:
+ Regras de automação
+ Políticas de configuração
+ Recurso do `Hub`
Para editar as chaves de tag ou os valores de tag de um recurso do CSPM do Security Hub, é possível usar a API do CSPM do Security Hub. Atualmente, o console do CSPM do Security Hub não oferece suporte à edição de tags.
**Importante**
Editar as tags de um recurso pode afetar o acesso a ele. Antes de editar uma tag para um recurso, revise todas as políticas AWS Identity and Access Management (IAM) que possam usar tags para controlar o acesso aos recursos.
------
#### [ Security Hub CSPM API ]
**Para editar tags para um recurso do CSPM do Security Hub (API)**
Ao editar uma tag para um recurso programaticamente, você substitui a tag existente por novos valores. Portanto, a melhor maneira de editar uma tag depende se você deseja editar uma chave de tag, um valor de tag ou ambos. Para editar uma chave de tag, [remova a tag atual](tags-remove.md) e [adicione uma nova](tags-add.md).
Para editar ou remover somente o valor da tag associado a uma chave de tag, substitua o valor existente usando a [TagResource](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_TagResource.html)operação da API CSPM do Security Hub. Se você estiver usando a AWS CLI, execute o comando [tag-resource](https://docs.aws.amazon.com/cli/latest/reference/securityhub/tag-resource.html). Em sua solicitação, especifique o nome do recurso da Amazon (ARN) do recurso cujo valor de tag deseja editar ou remover.
Para editar um valor de tag, use o parâmetro `tags` para especificar a chave de tag cujo valor de tag você deseja alterar. Você também deve especificar o novo valor da tag para a chave. Por exemplo, o AWS CLI comando a seguir altera o valor da tag de `Prod` `Test` para para a chave de `Environment` tag atribuída à regra de automação especificada. Este exemplo está formatado para Linux, macOS ou Unix e usa o caractere de continuação de linha “barra invertida (\$1)” para melhorar a legibilidade.
```
$ aws securityhub tag-resource \
--resource-arn arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 \
--tags '{"Environment":"Test"}'
```
Em que:
+ O `resource-arn` especifica o ARN da política de configuração.
+ `Environment` é a chave de tag associada ao valor da tag a ser alterado.
+ `Test` é o novo valor da chave especificada (`Environment`).
Para remover um valor de tag de uma chave de tag, não especifique um valor para o argumento `value` da chave no parâmetro `tags`. Por exemplo:
```
$ aws securityhub tag-resource \
--resource-arn arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 \
--tags '{"Owner":""}'
```
Se a operação tiver êxito, o CSPM do Security Hub retornará uma resposta HTTP 200 vazia. Caso contrário, o CSPM do Security Hub retornará uma resposta HTTP 4 *xx* ou 500 que indica por que a operação falhou.
------
# Revisão de tags para recursos do CSPM do Security Hub
Depois de adicionar ou editar tags para os recursos CSPM do AWS Security Hub, você pode ver quais chaves e valores de tag um recurso tem atualmente. Uma *tag* é um rótulo que você define e atribui a um ou mais recursos da AWS , incluindo certos tipos de recursos do Macie. Cada tag consiste em uma *chave de tag* necessária e um *valor de tag* opcional. Uma *chave de tag* é uma etiqueta geral que atua como uma categoria para valores de tags mais específicos. Um *valor de tag* atua como um descritor de uma chave de tag.
As tags podem ajudá-lo a identificar, categorizar e gerenciar recursos de diferentes maneiras, como por finalidade, proprietário, ambiente ou outros critérios. Por exemplo, você pode usar tags para aplicar políticas, alocar custos, distinguir entre versões de recursos ou identificar recursos que suportam determinados requisitos de conformidade ou fluxos de trabalho.
É possível adicionar tags aos tipos de recurso a seguir do CSPM do Security Hub:
+ Regras de automação
+ Políticas de configuração
+ Recurso do `Hub`
É possível revisar as tags de uma regra de automação ou política de configuração do CSPM do Security Hub usando o console ou a API do CSPM do Security Hub. O console não aceita a revisão de tags para o recurso `Hub`. Programaticamente, você pode revisar as tags de qualquer recurso.
Para revisar tags de vários recursos do CSPM do Security Hub ao mesmo tempo, use as operações de tag da [API de aplicação de tags do AWS Resource Groups](https://docs.aws.amazon.com/resourcegroupstagging/latest/APIReference/overview.html).
------
#### [ Console ]
**Para revisar as tags de um recurso do CSPM do Security Hub (console)**
1. Usando as credenciais do administrador do CSPM do Security Hub, abra o console CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. Realize uma das seguintes ações, dependendo do tipo de recurso que vai receber a tag:
+ Para revisar as tags de uma regra de automação, escolha **Automações** no painel de navegação. Em seguida, escolha uma regra de automação.
+ Para revisar as tags de uma política de configuração, escolha **Configuração** no painel de navegação. Em seguida, na guia **Políticas**, selecione a opção ao lado de uma política de configuração. Um painel lateral se abrirá, mostrando o número de tags atribuídas à política. É possível expandir o cabeçalho **Tags** para ver as chaves e os valores das tags.
A seção **Tags** lista todas as tags atribuídas ao recurso atualmente.
------
#### [ Security Hub CSPM API ]
**Para revisar tags para um recurso do CSPM do Security Hub (API)**
Para recuperar e revisar as tags de um recurso existente, invoque a [ListTagsForResource](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListTagsForResource.html)API. Em sua solicitação, use o parâmetro `resourceArn` para especificar o nome do recurso da Amazon (ARN).
Se você estiver usando o AWS CLI, execute o [list-tags-for-resource](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-tags-for-resource.html)comando e use o `resource-arn` parâmetro para especificar o ARN do recurso. Por exemplo:
```
$ aws securityhub list-tags-for-resource --resource-arn arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111
```
Se a operação tiver êxito, o CSPM do Security Hub retornará uma matriz de `tags`. Cada objeto na matriz especifica uma tag (tanto a chave quanto o valor) que está atualmente atribuída ao recurso. Por exemplo:
```
{
"tags": [
{
"key": "Environment",
"value": "Prod"
},
{
"key": "CostCenter",
"value": "12345"
},
{
"key": "Owner",
"value": ""
}
]
}
```
Em que `Environment`, `CostCenter` e `Owner` são as chaves de tag atribuídas ao recurso. `Prod` é o valor da tag associado à chave da tag `Environment`. `12345` é o valor da tag associado à chave da tag `CostCenter`. A chave de tag `Owner` não tem nenhum valor associado.
Para recuperar uma lista de todos os recursos CSPM do Security Hub que têm tags e todas as tags atribuídas a cada um desses recursos, use a [GetResources](https://docs.aws.amazon.com/resourcegroupstagging/latest/APIReference/API_GetResources.html)operação da API de marcação. AWS Resource Groups Na sua solicitação, defina o valor do parâmetro `ResourceTypeFilters` como `securityhub`. Para fazer isso usando o AWS CLI, execute o comando [get-resources](https://docs.aws.amazon.com/cli/latest/reference/resourcegroupstaggingapi/get-resources.html) e defina o valor do `resource-type-filters` parâmetro como. `securityhub` Por exemplo:
```
$ aws resourcegroupstaggingapi get-resources -\-resource-type-filters "securityhub"
```
Se a operação obtiver êxito, o Resource Groups retornará uma matriz `ResourceTagMappingList`. A matriz contém um objeto para cada recurso do CSPM do Security Hub que contenha tags. Cada objeto especifica o ARN de um recurso do CSPM do Security Hub e as chaves e valores de tag atribuídos ao recurso.
------
# Remoção de tags dos recursos do CSPM do Security Hub
Se você adicionar tags a um recurso CSPM do AWS Security Hub, poderá remover posteriormente uma ou mais delas. Uma *tag* é um rótulo definido e atribuído a recursos da AWS , incluindo certos tipos de recursos do CSPM do Security Hub. É possível adicionar, editar e remover tags dos tipos de recursos do CSPM do Security Hub a seguir: regras de automação, políticas de configuração e o recurso `Hub`.
Para remover tags de um recurso CSPM individual do AWS Security Hub, você pode usar a API CSPM do Security Hub. Atualmente, o console do CSPM do Security Hub não oferece suporte à remoção de tags.
Para remover tags de vários recursos do CSPM do Security Hub ao mesmo tempo, use as operações de tag da [API de aplicação de tags do AWS Resource Groups](https://docs.aws.amazon.com/resourcegroupstagging/latest/APIReference/overview.html).
**Importante**
Remover tags de um recurso pode afetar o acesso a ele. Antes de remover uma tag, revise todas as políticas AWS Identity and Access Management (IAM) que possam usar a tag para controlar o acesso aos recursos.
------
#### [ Security Hub CSPM API ]
**Para remover tags de um recurso do CSPM do Security Hub (API)**
Para remover uma ou mais tags de um recurso programaticamente, use a [UntagResource](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UntagResource.html)operação da API CSPM do Security Hub. Em sua solicitação, use o parâmetro `resourceArn` para especificar o nome do recurso da Amazon (ARN) que terá a tag removida. Use o parâmetro `tagKeys` para especificar a chave da tag a ser removida. Para remover várias tags, anexe o parâmetro `tagKeys` e o argumento de cada tag a ser removida, separados por um E comercial (&), por exemplo, `tagKeys=key1&tagKeys=key2`. Para remover somente um valor específico (e não a chave) de um recurso, [edite a tag](tags-update.md) em vez de removê-la.
Se você estiver usando o AWS CLI, execute o comando [untag-resource](https://docs.aws.amazon.com/cli/latest/reference/securityhub/untag-resource.html) para remover uma ou mais tags de um recurso. Para o parâmetro `resource-arn`, especifique o ARN do recurso que terá a tag removida. Use o parâmetro `tag-keys` para especificar a chave da tag a ser removida. Por exemplo, o comando a seguir remove a tag `Environment` (tanto a chave quanto o valor da tag) da política de configuração especificada:
```
$ aws securityhub untag-resource \
--resource-arn arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 \
--tag-keys Environment
```
Onde `resource-arn` especifica o ARN da política de configuração da qual remover uma tag e `Environment` é a chave da tag a ser removida.
Para remover várias tags de um recurso, acrescente cada chave adicional como argumento para o parâmetro `tag-keys`. Por exemplo:
```
$ aws securityhub untag-resource \
--resource-arn arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 \
--tag-keys Environment Owner
```
Se a operação tiver êxito, o CSPM do Security Hub retornará uma resposta HTTP 200 vazia. Caso contrário, o CSPM do Security Hub retornará uma resposta HTTP 4 *xx* ou 500 que indica por que a operação falhou.
------