标记 Security Hub 资源 - AWS Security Hub
标签基础知识在 IAM 策略中使用标签

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

标记 Security Hub 资源

标签是一个可选标签,您可以定义并分配给 AWS 资源,包括某些类型的 Sec AWS urity Hub 资源。标签可以帮助您以不同的方式识别、分类和管理资源,例如,按用途、所有者、环境或其他标准。例如,您可以使用标签来区分资源、识别支持某些合规性要求或工作流程的资源或分配成本。

您可以向以下 Security Hub 资源类型添加标签:

  • 自动化规则

  • 配置策略

  • Hub 资源

标签基础知识

一个资源可具有多达 50 个标签。每个标签都包含您定义的一个标签键和一个可选的标签值标签键是一种常见的标签,充当更具体的标签值的类别。标签值 充当标签键的描述符。

例如,如果您为不同的环境创建不同的自动化规则(一组自动化规则用于测试账户,另一组用于生产账户),则可以为这些规则分配 Environment 标签密钥。关联的标签值可能是Test与测试账号关联Prod的规则以及与生产账户关联的规则和OUs。

在为 Sec AWS urity Hub 资源定义和分配标签时,请记住以下几点:

  • 每个资源最多可以有 50 个标签。

  • 对于每个资源,每个标签键都必须是唯一的,并且每个标签键只能有一个标签值。

  • 标签键和值区分大小写。作为最佳实践,我们建议您定义一个利用标签的策略,并在所有资源中一致地实施该策略。

  • 标签密钥最多可包含 128 UTF -8 个字符。标签值最多可以包含 256 UTF -8 个字符。这些字符可以是字母、数字、空格或以下符号:_ . : / = + - @

  • aws:缀保留给使用 AWS。您不能在自己定义的任何标签键或值中使用此前缀。此外,您无法更改或删除使用此前缀的标签键或值。使用此前缀的标签不计入每个资源的 50 个标签限额中。

  • 您分配的任何标签仅供您使用, AWS 账户 并且仅适用于您分配标签 AWS 区域 的标记。

  • 如果您使用 Security Hub 为资源分配标签,则标签仅应用于直接存储在适用 AWS 区域中的 Security Hub 的资源。它们不适用于 Security Hub 在其他 AWS 服务为您创建、使用或维护的任何关联的支持资源。例如,如果您为更新与 Amazon Simple Storage Service (Amazon S3) Service 相关的调查发现的自动化规则分配标签,则这些标签仅应用于 Security Hub 中指定区域的自动化规则。它们不适用于您的 S3 存储桶。要同时为关联资源分配标签,您可以使用 AWS Resource Groups 或来存储资源,例如 AWS 服务 ,用于 S3 存储桶的 Amazon S3。为关联资源分配标签可以帮助您识别 Security Hub 资源的支持资源。

  • 如果删除资源,则分配给该资源的所有标签也将被删除。

重要

不要在标签中存储机密或其他类型的敏感数据。许多人都可以访问标签 AWS 服务,包括 AWS Billing and Cost Management。它们不适合用于敏感数据。

要为 Security Hub 资源添加和管理,可以使用 Security Hub 控制台、Security Hub API 或 AWS Resource Groups 标记API。通过 Security Hub,在创建资源时,您可以将标签添加到资源中。您还可以为单个现有资源添加和管理标签。借助 Resource Groups,您可以为多个现有资源(包括 Security Hub)批量添加和管理标签。 AWS 服务

有关其他标签提示和最佳实践,请参阅《标记 AWS 资源用户指南》中的为 AWS 资源添加标签

在 IAM 策略中使用标签

开始为资源添加标签后,您可以在 () 策略中定义基于标签的资源级权限。 AWS Identity and Access Management IAM通过以这种方式使用标签,您可以精细控制您中的哪些用户和角色 AWS 账户 有权创建和标记资源,以及哪些用户和角色有权更笼统地添加、编辑和删除标签。要根据标签控制访问权限,可以在IAM策略的 Condition 元素中使用与标签相关的条件

例如,您可以创建一个IAM策略,允许用户拥有对所有 Sec AWS urity Hub 资源的完全访问权限,前提是该资源的Owner标签指定了他们的用户名:

{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "ModifyResourceIfOwner",
            "Effect": "Allow",
            "Action": "securityhub:*",
            "Resource": "*",
            "Condition": {
                "StringEqualsIgnoreCase": {"aws:ResourceTag/Owner": "${aws:username}"}
            }
        }
    ]
}

如果您定义基于标签的资源级权限,该权限立即生效。这意味着,您的资源在创建后会更安全,而且您可以快速地开始将标签用于新资源。您还可以使用资源级权限来控制哪些标签键和值可以与新的和现有资源关联。有关更多信息,请参阅《IAM用户指南》中的使用标签控制对 AWS 资源的访问权限