本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 标记 Security Hub 资源
<a name="tagging-resources"></a>

*标签是一个可选标签*，您可以定义并分配给 AWS 资源，包括某些类型的 Sec AWS urity Hub CSPM 资源。标签可以帮助您以不同的方式识别、分类和管理资源，例如，按用途、所有者、环境或其他标准。例如，您可以使用标签来区分资源、识别支持某些合规性要求或工作流程的资源或分配成本。

您可以向以下 Security Hub CSPM 资源类型添加标签：
+ 自动化规则
+ 配置策略
+ `Hub` 资源

## 标签基础知识
<a name="tags-basics"></a>

一个资源可具有多达 50 个标签。每个标签都包含您定义的一个*标签键*和一个可选的*标签值*。*标签键*是一种常见的标签，充当更具体的标签值的类别。*标签值* 充当标签键的描述符。

例如，如果您为不同的环境创建不同的自动化规则（一组自动化规则用于测试账户，另一组用于生产账户），则可以为这些规则分配 `Environment` 标签密钥。关联的标签值可能是`Test`与测试账号关联`Prod`的规则以及与生产账户关联的规则和 OUs。

在为 Sec AWS urity Hub CSPM 资源定义和分配标签时，请记住以下几点：
+ 每个资源最多可以有 50 个标签。
+ 对于每个资源，每个标签键都必须是唯一的，并且每个标签键只能有一个标签值。
+ 标签键和值区分大小写。作为最佳实践，我们建议您定义一个利用标签的策略，并在所有资源中一致地实施该策略。
+ 一个标签键最多可包含 128 个 UTF-8 字符。一个标签值最多可包含 256 个 UTF-8 字符。这些字符可以是字母、数字、空格或以下符号：\$1 . : / = \$1 - @
+ 前`aws:`缀保留给使用 AWS。您不能在自己定义的任何标签键或值中使用此前缀。此外，您无法更改或删除使用此前缀的标签键或值。使用此前缀的标签不计入每个资源的 50 个标签限额中。
+ 您分配的任何标签仅供您使用， AWS 账户 并且仅适用于您分配标签 AWS 区域 的标记。
+ 如果您使用 Security Hub CSPM 为资源分配标签，则这些标签仅应用于适用 AWS 区域内直接存储在 Security Hub CSPM 中的资源。它们不适用于 Security Hub CSPM 在其他 AWS 服务为您创建、使用或维护的任何关联的支持资源。例如，如果您为更新与 Amazon Simple Storage Service（Amazon S3）相关的调查发现的自动化规则分配标签，则这些标签仅应用于 Security Hub CSPM 中指定区域的自动化规则。它们不适用于您的 S3 存储桶。要同时为关联资源分配标签，您可以使用 AWS Resource Groups 或来存储资源，例如 AWS 服务 ，用于 S3 存储桶的 Amazon S3。为关联资源分配标签可以帮助您识别 Security Hub CSPM 资源的支持资源。
+ 如果删除资源，则分配给该资源的所有标签也将被删除。

**重要**  
不要在标签中存储机密或其他类型的敏感数据。许多人都可以访问标签 AWS 服务，包括 AWS 账单与成本管理。它们不适合用于敏感数据。

要添加和管理 Security Hub CSPM 资源的标签，你可以使用 Security Hub CSPM 控制台、Security Hub CSPM API 或标记 API。 AWS Resource Groups 通过 Security Hub CSPM，在创建资源时，您可以将标签添加到资源中。您还可以为单个现有资源添加和管理标签。借助 Resource Groups，您可以为跨越多个资源的多个现有资源批量添加和管理标签 AWS 服务，包括 Security Hub CSPM。

有关其他标签提示和最佳实践，请参阅《[标记 AWS 资源用户指南](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html)》中的为* AWS 资源添加标签*。

## 在 IAM policy 中使用标签
<a name="tags-iam"></a>

开始为资源添加标签后，您可以在 AWS Identity and Access Management （IAM）策略中定义基于标签的资源级权限。通过以这种方式使用标签，您可以精细控制您中的哪些用户和角色 AWS 账户 有权创建和标记资源，以及哪些用户和角色有权更笼统地添加、编辑和删除标签。要基于标签控制访问，您可以在 IAM policy 的[条件元素](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)中使用[与标签关联的条件密钥](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssecurityhub.html#awssecurityhub-policy-keys)。

例如，您可以创建一个 IAM 策略，允许用户拥有对所有 AWS Security Hub CSPM 资源的完全访问权限（如果资源的 `Owner` 标签指定了用户名）：

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ModifyResourceIfOwner",
            "Effect": "Allow",
            "Action": "securityhub:*",
            "Resource": "*",
            "Condition": {
                "StringEqualsIgnoreCase": {"aws:ResourceTag/Owner": "${aws:username}"}
            }
        }
    ]
}
```

------

如果您定义基于标签的资源级权限，该权限立即生效。这意味着，您的资源在创建后会更安全，而且您可以快速地开始将标签用于新资源。您还可以使用资源级权限来控制哪些标签键和值可以与新的和现有资源关联。有关更多信息，请参阅 *IAM 用户指南*中的[使用标签控制对 AWS 资源的访问权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html)。

# 向 Security Hub CSPM 资源添加标签
<a name="tags-add"></a>

*标签*是您可以定义和分配给 AWS 资源的标签，包括某些类型的 Sec AWS urity Hub CSPM 资源。标签可以帮助您以不同的方式识别、分类和管理资源，例如按照用途、所有者、环境或其他标准。例如，您可以使用标签来应用策略、分配成本、区分资源版本，或识别支持特定合规性要求或工作流的资源。

您可以向以下 Security Hub CSPM 资源类型添加标签：
+ 自动化规则
+ 配置策略
+ `Hub` 资源

一个资源最多可以有 50 个标签。每个标签都包含一个必需的*标签键*和一个可选的*标签值*。*标签键*是一种常见的标记，充当更具体的标签值的类别。*标签值* 充当标签键的描述符。有关添加标签选项和要求的更多信息，请参阅 [标签基础知识](tagging-resources.md#tags-basics)。

要向 Security Hub CSPM 资源添加标签，您可以使用 Security Hub CSPM 控制台或 Security Hub CSPM API。但是控制台不支持向 `Hub` 资源添加标签。

添加标签后，您可以编辑标签并更改标签键或标签值。

要同时添加或编辑多个 Security Hub CSPM 资源的标签，请使用 [AWS Resource Groups Tagging API](https://docs.aws.amazon.com/resourcegroupstagging/latest/APIReference/overview.html) 的标记操作。

**重要**  
向资源添加标签可能会影响对该资源的访问。在向资源添加标签之前，请查看任何可能使用标签控制资源访问权限的 AWS Identity and Access Management (IAM) 策略。

------
#### [ Console ]

**向 Security Hub CSPM 资源添加标签（控制台）**

创建自动化规则或配置策略时，Security Hub CSPM 控制台会提供向其添加标签的选项。您可以在**标签**部分中提供标签密钥和标签值。

------
#### [ Security Hub CSPM API ]

**向 Security Hub CSPM 资源添加标签（API）**

要创建资源并以编程方式向其添加一个或多个标签，请使用适合您要创建的资源类型的操作：
+ 要创建配置策略并向其添加一个或多个标签，请调用 [CreateConfigurationPolicy](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateConfigurationPolicy.html)API，或者，如果您使用的是 AWS CLI，则运行[create-configuration-policy](https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-configuration-policy.html)命令。
+ 要创建自动化规则并向其添加一个或多个标签，请调用 [CreateAutomationRule](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateAutomationRule.html)API，或者，如果您使用的是 AWS CLI，则运行[create-automation-rule](https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-automation-rule.html)命令。
+ 要启用 Security Hub CSPM 并向`Hub`资源添加一个或多个标签，请调用 [EnableSecurityHub](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_EnableSecurityHub.html)API，或者，如果你使用的是 AWS Command Line Interface (AWS CLI)，则运行命令。[enable-security-hub](https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-security-hub.html)

在您的请求中，使用 `tags` 参数指定要添加到资源的每个标签的标签键和可选标签值。该 `tags` 参数指定对象数组。每个对象都指定一个标签密钥及其关联的标签值。

要向现有资源添加一个或多个标签，请使用 Security Hub CSPM API 的[TagResource](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_TagResource.html)操作，或者，如果您使用的是，则运行 [tag](https://docs.aws.amazon.com/cli/latest/reference/securityhub/tag-resource.html)-res AWS CLI ource 命令。在您的请求中，指定您要向其添加标签的资源的 Amazon 资源名称（ARN）。使用 `tags` 参数为要添加的每个标签指定标签密钥（`key`）和可选的标签值（`value`）。`tags` 参数指定一个对象数组，每个标签密钥对应一个对象及其关联的标签值。

例如，以下 AWS CLI 命令将带有`Environment`标签值的`Prod`标签密钥添加到指定的配置策略中。此示例是针对 Linux、macOS 或 Unix 进行格式化的，它使用反斜杠 (\$1) 行继续符来提高可读性。

**示例 CLI 命令：**

```
$ aws securityhub tag-resource \
--resource-arn arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 \
--tags '{"Environment":"Prod"}'
```

其中：
+ `resource-arn` 指定要向其添加标签的配置策略的 ARN。
+ `Environment` 是要添加到规则中的标签的标签密钥。
+ `Prod` 是指定标签键（`Environment`）的标签值。

在以下示例中，该命令向配置策略添加了多个标签。

```
$ aws securityhub tag-resource \
--resource-arn arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 \
--tags '{"Environment":"Prod", "CostCenter":"12345", "Owner":"jane-doe"}'
```

对于 `tags` 数组中的每个对象，都需要 `key` 和 `value` 参数。但是，`value` 实际参数的值可以是空字符串。如果您不想将标签值与标签键相关联，请不要为 `value` 实际参数指定值。例如，以下命令添加一个没有关联标签值的 `Owner` 标签键：

```
$ aws securityhub tag-resource \
--resource-arn arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 \
--tags '{"Owner":""}'
```

如果标记操作成功，Security Hub CSPM 将返回一个空的 HTTP 200 响应。否则，Security Hub CSPM 会返回 HTTP 4*xx* 或 500 响应，说明操作失败的原因。

------

# 编辑 Security Hub CSPM 资源的标签
<a name="tags-update"></a>

当您的环境或要求随着时间的推移而发生变化时，您可以评估 Sec AWS urity Hub CSPM 资源的现有标签，并根据需要更改标签。*标签*是一个可选标记，您可以进行定义并将其分配给 AWS 资源，包括某些类型的 Macie 资源。每个标签都包含一个必需的*标签键*和一个可选的*标签值*。*标签键*是一种常见的标记，充当更具体的标签值的类别。*标签值* 充当标签键的描述符。

标签可以帮助您以不同的方式识别、分类和管理资源，例如，按用途、所有者、环境或其他标准。例如，您可以使用标签来应用策略、分配成本、区分资源版本，或识别支持特定合规性要求或工作流的资源。

您可以向以下 Security Hub CSPM 资源类型添加标签：
+ 自动化规则
+ 配置策略
+ `Hub` 资源

要编辑 Security Hub CSPM 资源的标签键或标签值，可以使用 Security Hub CSPM API。Security Hub CSPM 控制台目前不支持标签编辑。

**重要**  
编辑资源的标签可能会影响对资源的访问权限。在编辑资源的标签之前，请查看任何可能使用标签控制资源访问权限的 AWS Identity and Access Management (IAM) 策略。

------
#### [ Security Hub CSPM API ]

**编辑 Security Hub CSPM 资源的标签（API）**

当您以编程方式编辑资源的标签时，将使用新值覆盖现有标签。因此，编辑标签的最佳方法取决于您是要编辑标签键、标签值还是两者兼而有之。要编辑标签密钥，请[删除当前标签](tags-remove.md)并[添加新标签](tags-add.md)。

要仅编辑或删除与标签密钥关联的标签值，请使用 Security Hub CSPM [TagResource](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_TagResource.html)API 的操作覆盖现有值。如果您使用的是 AWS CLI，请运行 [tag-resource](https://docs.aws.amazon.com/cli/latest/reference/securityhub/tag-resource.html) 命令。在您的请求中，指定要编辑或删除标签值的资源的 Amazon 资源名称（ARN）。

要编辑标签值，请使用 `tags` 参数指定要更改其标签值的标签密钥。您还应该为密钥指定新的标签值。例如，以下 AWS CLI 命令将分配给指定自动化规则`Test`的`Environment`标签键的标签值从`Prod`更改为。此示例的格式适用于 Linux、macOS 或 Unix，它使用了反斜杠 (\$1) 行继续符来提高可读性。

```
$ aws securityhub tag-resource \
--resource-arn arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 \
--tags '{"Environment":"Test"}'
```

其中：
+ `resource-arn` 指定配置策略的 ARN。
+ `Environment` 是与要更改的标签值关联的标签键。
+ `Test` 是指定标签键（`Environment`）的新标签值。

要从标签键中删除标签值，请不要在 `tags` 形式参数中为该标签键的 `value` 实际参数指定值。例如：

```
$ aws securityhub tag-resource \
--resource-arn arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 \
--tags '{"Owner":""}'
```

如果操作成功，Security Hub CSPM 将返回空的 HTTP 200 响应。否则，Security Hub CSPM 会返回 HTTP 4*xx* 或 500 响应，说明操作失败的原因。

------

# 查看 Security Hub CSPM 资源的标签
<a name="tags-retrieve"></a>

为 Sec AWS urity Hub CSPM 资源添加或编辑标签后，您可以查看资源当前具有的标签键和标签值。*标签*是一个可选标记，您可以进行定义并将其分配给 AWS 资源，包括某些类型的 Macie 资源。每个标签都包含一个必需的*标签键*和一个可选的*标签值*。*标签键*是一种常见的标记，充当更具体的标签值的类别。*标签值* 充当标签键的描述符。

标签可以帮助您以不同的方式识别、分类和管理资源，例如，按用途、所有者、环境或其他标准。例如，您可以使用标签来应用策略、分配成本、区分资源版本，或识别支持特定合规性要求或工作流的资源。

您可以向以下 Security Hub CSPM 资源类型添加标签：
+ 自动化规则
+ 配置策略
+ `Hub` 资源

您可以使用 Security Hub CSPM 控制台或 Security Hub CSPM API 查看 Security Hub CSPM 自动化规则或配置策略的标签。控制台不支持查看 `Hub` 资源的标签。您可以通过编程方式查看任何资源的标签。

要同时查看多个 Security Hub CSPM 资源的标签，请使用 [AWS Resource Groups Tagging API](https://docs.aws.amazon.com/resourcegroupstagging/latest/APIReference/overview.html) 的标记操作。

------
#### [ Console ]

**查看 Security Hub CSPM 资源的标签（控制台）**

1. 使用 Security Hub CSPM 管理员的凭据，打开 Sec AWS urity Hub CSPM 控制台，网址为。[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. 根据要添加标签的资源类型，请执行以下操作之一：
   + 要查看自动化规则的标签，请在导航窗格中选择**自动化**。然后，选择自动化规则。
   + 要查看配置策略的标签，请在导航窗格中选择**配置**。然后，在**策略**选项卡上，选择配置策略旁边的选项。将打开一个侧面板，其中显示分配给策略的标签数量。您可以展开**标签**标头以查看标签键和标签值。

**标签**部分列出当前分配给该资源的所有标签。

------
#### [ Security Hub CSPM API ]

**查看 Security Hub CSPM 资源的标签（API）**

要检索和查看现有资源的标签，请调用 [ListTagsForResource](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListTagsForResource.html)API。在您的请求中，使用 `resourceArn` 参数指定资源的 Amazon 资源名称（ARN）。

如果您使用的是 AWS CLI，请运行[list-tags-for-resource](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-tags-for-resource.html)命令并使用`resource-arn`参数指定资源的 ARN。例如：

```
$ aws securityhub list-tags-for-resource --resource-arn arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111
```

如果操作成功，Security Hub CSPM 将返回一个 `tags` 数组。数组中的每个对象都指定了当前分配给资源的标签（包括标签密钥和标签值）。例如：

```
{
    "tags": [
        {
            "key": "Environment",
            "value": "Prod"
        },
        {
            "key": "CostCenter",
            "value": "12345"
        },
        {
            "key": "Owner",
            "value": ""
        }
    ]
}
```

其中 `Environment`、`CostCenter` 和 `Owner` 是分配给资源的标签键。`Prod` 是与 `Environment` 标签键关联的标签值。`12345` 是与 `CostCenter` 标签键关联的标签值。`Owner` 标签密钥没有关联的标签值。

要检索所有带有标签的 Security Hub CSPM 资源以及分配给每个资源的所有标签的列表，请使用 AWS Resource Groups 标记 AP [GetResources](https://docs.aws.amazon.com/resourcegroupstagging/latest/APIReference/API_GetResources.html)I 的操作。在您的请求中，将 `ResourceTypeFilters` 参数的值设置为 `securityhub`。要使用执行此操作 AWS CLI，请运行 [get-resou](https://docs.aws.amazon.com/cli/latest/reference/resourcegroupstaggingapi/get-resources.html) rces 命令并将`resource-type-filters`参数的值设置为。`securityhub`例如：

```
$ aws resourcegroupstaggingapi get-resources -\-resource-type-filters "securityhub"
```

如果操作成功，Resource Groups 将返回一个 `ResourceTagMappingList` 数组。该数组包含每个带有标签的 Security Hub CSPM 资源的一个对象。每个对象都指定 Security Hub CSPM 资源的 ARN 以及分配给该资源的标签键和值。

------

# 从 Security Hub CSPM 资源中移除标签
<a name="tags-remove"></a>

如果您向 Sec AWS urity Hub CSPM 资源添加标签，则随后可以删除其中一个或多个标签。*标签*是一个可选标记，您可以进行定义并将其分配给 AWS 资源，包括某些类型的 Security Hub CSPM 资源。您可以从以下类型的 Security Hub CSPM 资源中添加、编辑和移除标签：自动化规则、配置策略和 `Hub` 资源。

要从单个 Sec AWS urity Hub CSPM 资源中删除标签，你可以使用 Security Hub CSPM API。Security Hub CSPM 控制台目前不支持移除标签。

要同时从多个 Security Hub CSPM 资源中移除标签，请使用 [AWS Resource Groups Tagging API](https://docs.aws.amazon.com/resourcegroupstagging/latest/APIReference/overview.html) 的标记操作。

**重要**  
从资源中删除标签可能对影响资源访问。在移除标签之前，请查看可能使用该标签控制资源访问权限的任何 AWS Identity and Access Management (IAM) 策略。

------
#### [ Security Hub CSPM API ]

**从 Security Hub CSPM 资源中移除标签（API）**

要以编程方式从资源中删除一个或多个标签，请使用 Security Hub CSPM API 的[UntagResource](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UntagResource.html)操作。在请求中，使用 `resourceArn` 参数指定要从中删除标签的资源的 Amazon 资源名称（ARN）。使用 `tagKeys` 形式参数指定要删除的标签的标签键。要删除多个标签，请为要删除的每个标签添加 `tagKeys` 形式参数和实际参数，并用和符号（&）分隔，例如 `tagKeys=key1&tagKeys=key2` 如果仅从资源中删除特定的标签值（而不是标签键），请[编辑标签](tags-update.md)而不是删除标签。

如果您使用的是 AWS CLI，请运行 [untag-resource 命令从资源](https://docs.aws.amazon.com/cli/latest/reference/securityhub/untag-resource.html)中移除一个或多个标签。在 `resource-arn` 参数中，指定要从中移除标签的资源的 ARN。使用 `tag-keys` 参数指定要删除的标签的标签键。例如，以下命令从指定配置策略中移除 `Environment` 标签（包括标签键和标签值）：

```
$ aws securityhub untag-resource \
--resource-arn arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 \
--tag-keys Environment
```

其中，`resource-arn` 指定要移除标签的配置策略的 ARN，`Environment` 是要移除的标签的标签键。

要从资源中移除多个标签，请添加每个额外的标签密钥作为 `tag-keys` 参数的参数。例如：

```
$ aws securityhub untag-resource \
--resource-arn arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 \
--tag-keys Environment Owner
```

如果操作成功，Security Hub CSPM 将返回空的 HTTP 200 响应。否则，Security Hub CSPM 会返回 HTTP 4*xx* 或 500 响应，说明操作失败的原因。

------