本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 標記 Security Hub 資源
*標籤*是選用的標籤,您可以定義和指派給 AWS 資源,包括特定類型的 AWS Security Hub CSPM 資源。標籤可協助您以不同方式識別、分類和管理資源,例如透過用途、擁有者、環境或其他條件。例如,您可以使用標籤來區分資源、識別支援特定合規要求或工作流程的資源,或分配成本。
您可以將標籤新增至下列類型的 Security Hub CSPM 資源:
+ 自動化規則
+ 組態政策
+ `Hub` 資源
## 標記基本概念
資源最多可以擁有 50 個標籤。每個標籤皆包含由您定義的必要「標籤金鑰」**與選用「標籤值」**。*標籤索引鍵*是一般標籤,可做為更特定標籤值的類別。*標籤值*是標籤金鑰的描述項。
例如,如果您為不同的環境建立不同的自動化規則 (一組適用於測試帳戶的自動化規則,另一組則適用於生產帳戶),您可以將`Environment`標籤金鑰指派給這些規則。相關聯的標籤值可能`Test`適用於與測試帳戶相關聯的規則,也可能`Prod`適用於與生產帳戶和 OUs 相關聯的規則。
當您定義標籤並將其指派給 AWS Security Hub CSPM 資源時,請記住下列事項:
+ 每個資源的上限為 50 個標籤。
+ 對於每個資源,每個標籤索引鍵必須是唯一的,而且只能有一個標籤值。
+ 標籤鍵與值皆區分大小寫。最佳實務是,建議您定義將標籤大寫的策略,並在整個資源中一致地實作該策略。
+ 標籤索引鍵最多可有 128 個 UTF-8 字元。標籤值最多可有 256 個 UTF-8 字元。字元可以是字母、數字、空格或下列符號:\$1 . : / = \$1 - @
+ 字`aws:`首保留供 使用 AWS。您無法在定義的任何標籤索引鍵或值中使用它。此外,您無法變更或移除使用此字首的標籤索引鍵或值。使用此字首的標籤不會計入每個資源 50 個標籤的配額。
+ 您指派的任何標籤僅適用於您的 AWS 帳戶 ,且僅適用於您指派標籤 AWS 區域 的 。
+ 如果您使用 Security Hub CSPM 將標籤指派給資源,則標籤只會套用至在適用的 Security Hub CSPM 中直接存放的資源 AWS 區域。它們不會套用至 Security Hub CSPM 為您在其他 中建立、使用或維護的任何相關支援資源 AWS 服務。例如,如果您將標籤指派給更新與 Amazon Simple Storage Service (Amazon S3) 相關調查結果的自動化規則,則標籤只會套用至指定區域的 Security Hub CSPM 中的自動化規則。它們不會套用至您的 S3 儲存貯體。若要同時將標籤指派給相關聯的資源,您可以使用 AWS Resource Groups 或 AWS 服務 來存放資源,例如 Amazon S3 用於 S3 儲存貯體。將標籤指派給相關聯的資源,可協助您識別 Security Hub CSPM 資源的支援資源。
+ 如果您刪除資源,也會刪除指派給資源的任何標籤。
**重要**
請勿在標籤中存放機密或其他類型的敏感資料。標籤可從許多 存取 AWS 服務,包括 AWS 帳單與成本管理。它們不適用於敏感資料。
若要新增和管理 Security Hub CSPM 資源的標籤,您可以使用 Security Hub CSPM 主控台、Security Hub CSPM API 或 AWS Resource Groups 標記 API。使用 Security Hub CSPM,您可以在建立資源時將標籤新增至資源。您也可以新增和管理個別現有資源的標籤。透過資源群組,您可以大量新增和管理跨越多個現有資源的標籤 AWS 服務,包括 Security Hub CSPM。
如需其他標記提示和最佳實務,請參閱[《標記 AWS 資源使用者指南](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html)*》中的標記您的 AWS 資源*。
## 在 IAM 政策中使用標籤
開始標記資源後,您可以在 AWS Identity and Access Management (IAM) 政策中定義以標籤為基礎的資源層級許可。透過以這種方式使用標籤,您可以實作精細控制 中的哪些使用者和角色 AWS 帳戶 具有建立和標記資源的許可,以及哪些使用者和角色具有更普遍地新增、編輯和移除標籤的許可。若要根據標籤控制存取,您可以在 IAM 政策[的條件元素](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)中使用[標籤相關條件索引鍵](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssecurityhub.html#awssecurityhub-policy-keys)。
例如,您可以建立 IAM 政策,以允許使用者完整存取所有 AWS Security Hub CSPM 資源,如果資源的`Owner`標籤指定其使用者名稱:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ModifyResourceIfOwner",
"Effect": "Allow",
"Action": "securityhub:*",
"Resource": "*",
"Condition": {
"StringEqualsIgnoreCase": {"aws:ResourceTag/Owner": "${aws:username}"}
}
}
]
}
```
------
如果您定義標籤型、資源層級許可,則許可會立即生效。這表示您的資源一旦建立就會更安全,而且您可以快速開始強制使用新資源的標籤。您也可以使用資源層級許可,以控制哪些標籤金鑰和值可以與新的和現有的資源相關聯。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[使用標籤控制對 AWS 資源的存取](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html)。
# 將標籤新增至 Security Hub CSPM 資源
*標籤*是您可以定義和指派給 AWS 資源的標籤,包括特定類型的 AWS Security Hub CSPM 資源。透過使用標籤,您可以以不同的方式識別、分類和管理資源,例如透過用途、擁有者、環境或其他條件。例如,您可以使用標籤來:套用政策、配置成本、區分資源版本,或識別支援特定合規要求或工作流程的資源。
您可以將標籤新增至下列類型的 Security Hub CSPM 資源:
+ 自動化規則
+ 組態政策
+ `Hub` 資源
資源最多可以擁有 50 個標籤。每個標籤都包含必要的*標籤索引鍵*和選用的*標籤值*。*標籤索引鍵*是一般標籤,可做為更特定標籤值的類別。*標籤值*是標籤金鑰的描述項。如需標記選項和需求的詳細資訊,請參閱 [標記基本概念](tagging-resources.md#tags-basics)。
若要將標籤新增至 Security Hub CSPM 資源,您可以使用 Security Hub CSPM 主控台或 Security Hub CSPM API。不過,主控台不支援將標籤新增至`Hub`資源。
新增標籤後,您可以編輯標籤並變更標籤索引鍵或標籤值。
若要同時新增或編輯多個 Security Hub CSPM 資源的標籤,請使用[AWS Resource Groups 標記 API](https://docs.aws.amazon.com/resourcegroupstagging/latest/APIReference/overview.html) 的標記操作。
**重要**
將標籤新增至資源可能會影響對資源的存取。將標籤新增至資源之前,請檢閱任何可能使用標籤來控制資源存取的 AWS Identity and Access Management (IAM) 政策。
------
#### [ Console ]
**將標籤新增至 Security Hub CSPM 資源 (主控台)**
當您建立自動化規則或組態政策時,Security Hub CSPM 主控台會提供新增標籤的選項。您可以在標籤區段中提供標籤索引鍵和**標籤**值。
------
#### [ Security Hub CSPM API ]
**將標籤新增至 Security Hub CSPM 資源 (API)**
若要以程式設計方式建立資源並新增一或多個標籤,請針對您要建立的資源類型使用適當的操作:
+ 若要建立組態政策並將其新增一或多個標籤,請叫用 [CreateConfigurationPolicy](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateConfigurationPolicy.html) API,或者,如果您使用的是 AWS CLI,請執行 [create-configuration-policy](https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-configuration-policy.html) 命令。
+ 若要建立自動化規則並將其新增一或多個標籤,請叫用 [CreateAutomationRule](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateAutomationRule.html) API,或者,如果您使用的是 AWS CLI,請執行 [create-automation-rule](https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-automation-rule.html) 命令。
+ 若要啟用 Security Hub CSPM 並將一或多個標籤新增至`Hub`資源,請叫用 [EnableSecurityHub](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_EnableSecurityHub.html) API,或者,如果您使用的是 AWS Command Line Interface (AWS CLI),請執行 [enable-security-hub](https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-security-hub.html) 命令。
在您的請求中,使用 `tags` 參數指定要新增至資源的每個標籤的標籤索引鍵和選用標籤值。`tags` 參數指定 物件陣列。每個物件都會指定標籤索引鍵及其相關聯的標籤值。
若要將一或多個標籤新增至現有資源,請使用 Security Hub CSPM API 的 [TagResource](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_TagResource.html) 操作,或者,如果您使用的是 AWS CLI,請執行 [tag-resource](https://docs.aws.amazon.com/cli/latest/reference/securityhub/tag-resource.html) 命令。在請求中,指定您要新增標籤之資源的 Amazon Resource Name (ARN)。使用 `tags` 參數為要新增的每個標籤指定標籤索引鍵 (`key`) 和選用標籤值 (`value`)。`tags` 參數會指定物件陣列、每個標籤索引鍵一個物件及其相關聯的標籤值。
例如,下列 AWS CLI 命令會將標籤值為 的`Prod`標籤`Environment`索引鍵新增至指定的組態政策。此範例已針對 Linux、macOS 或 Unix 格式化,並使用反斜線 (\$1) 行接續字元來改善可讀性。
**CLI 命令範例:**
```
$ aws securityhub tag-resource \
--resource-arn arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 \
--tags '{"Environment":"Prod"}'
```
其中:
+ `resource-arn` 指定要新增標籤之組態政策的 ARN。
+ `Environment` 是要新增至規則之標籤的標籤索引鍵。
+ `Prod` 是指定標籤索引鍵 () 的標籤值`Environment`。
在下列範例中, 命令會將數個標籤新增至組態政策。
```
$ aws securityhub tag-resource \
--resource-arn arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 \
--tags '{"Environment":"Prod", "CostCenter":"12345", "Owner":"jane-doe"}'
```
對於`tags`陣列中的每個物件,都需要 `key`和 `value`引數。不過,`value`引數的值可以是空字串。如果您不想將標籤值與標籤索引鍵建立關聯,請不要為`value`引數指定值。例如,下列命令會新增沒有關聯`Owner`標籤值的標籤金鑰:
```
$ aws securityhub tag-resource \
--resource-arn arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 \
--tags '{"Owner":""}'
```
如果標記操作成功,Security Hub CSPM 會傳回空的 HTTP 200 回應。否則,Security Hub CSPM 會傳回 HTTP 4*xx* 或 500 回應,指出操作失敗的原因。
------
# 編輯 Security Hub CSPM 資源的標籤
隨著環境或需求隨時間變更,您可以評估 AWS Security Hub CSPM 資源的現有標籤,並視需要變更標籤。*標籤*是您定義並指派給一或多個 AWS 資源的標籤,包括特定類型的 Macie 資源。每個標籤都包含必要的*標籤索引鍵*和選用的*標籤值*。*標籤索引鍵*是一般標籤,可做為更特定標籤值的類別。*標籤值*是標籤金鑰的描述項。
標籤可協助您以不同方式識別、分類和管理資源,例如透過用途、擁有者、環境或其他條件。例如,您可以使用標籤來:套用政策、配置成本、區分資源版本,或識別支援特定合規要求或工作流程的資源。
您可以將標籤新增至下列類型的 Security Hub CSPM 資源:
+ 自動化規則
+ 組態政策
+ `Hub` 資源
若要編輯 Security Hub CSPM 資源的標籤索引鍵或標籤值,您可以使用 Security Hub CSPM API。Security Hub CSPM 主控台目前不支援標籤編輯。
**重要**
編輯資源的標籤可能會影響對資源的存取。在編輯資源的標籤之前,請檢閱任何可能使用標籤來控制資源存取的 AWS Identity and Access Management (IAM) 政策。
------
#### [ Security Hub CSPM API ]
**編輯 Security Hub CSPM 資源 (API) 的標籤**
當您以程式設計方式編輯資源的標籤時,會以新的值覆寫現有的標籤。因此,編輯標籤的最佳方式取決於您要編輯標籤索引鍵、標籤值或兩者。若要編輯標籤金鑰,[請移除目前的標籤](tags-remove.md)並[新增標籤](tags-add.md)。
若要編輯或移除與標籤金鑰相關聯的標籤值,請使用 Security Hub CSPM API 的 [TagResource](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_TagResource.html) 操作覆寫現有的值。如果您使用的是 AWS CLI,請執行 [tag-resource](https://docs.aws.amazon.com/cli/latest/reference/securityhub/tag-resource.html) 命令。在您的請求中,指定您要編輯或移除其標籤值之資源的 Amazon Resource Name (ARN)。
若要編輯標籤值,請使用 `tags` 參數來指定您要變更其標籤值的標籤索引鍵。您也應該指定金鑰的新標籤值。例如,下列 AWS CLI 命令`Prod``Test`會將指派給指定自動化規則的標籤金鑰的`Environment`標籤值從 變更為 。此範例已針對 Linux、macOS 或 Unix 格式化,並使用反斜線 (\$1) 行接續字元來改善可讀性。
```
$ aws securityhub tag-resource \
--resource-arn arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 \
--tags '{"Environment":"Test"}'
```
其中:
+ `resource-arn` 指定組態政策的 ARN。
+ `Environment` 是與要變更的標籤值相關聯的標籤索引鍵。
+ `Test` 是指定標籤索引鍵 () 的新標籤值`Environment`。
若要從標籤索引鍵移除標籤值,請勿在 `tags` 參數中指定索引鍵`value`引數的值。例如:
```
$ aws securityhub tag-resource \
--resource-arn arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 \
--tags '{"Owner":""}'
```
如果操作成功,Security Hub CSPM 會傳回空的 HTTP 200 回應。否則,Security Hub CSPM 會傳回 HTTP 4*xx* 或 500 回應,指出操作失敗的原因。
------
# 檢閱 Security Hub CSPM 資源的標籤
新增或編輯 AWS Security Hub CSPM 資源的標籤後,您可以檢視資源目前擁有的標籤索引鍵和標籤值。*標籤*是您定義並指派給一或多個 AWS 資源的標籤,包括特定類型的 Macie 資源。每個標籤都包含必要的*標籤索引鍵*和選用的*標籤值*。*標籤索引鍵*是一般標籤,可做為更特定標籤值的類別。*標籤值*是標籤金鑰的描述項。
標籤可協助您以不同方式識別、分類和管理資源,例如透過用途、擁有者、環境或其他條件。例如,您可以使用標籤來:套用政策、配置成本、區分資源版本,或識別支援特定合規要求或工作流程的資源。
您可以將標籤新增至下列類型的 Security Hub CSPM 資源:
+ 自動化規則
+ 組態政策
+ `Hub` 資源
您可以使用 Security Hub CSPM 主控台或 Security Hub CSPM API 來檢閱 Security Hub CSPM 自動化規則或組態政策的標籤。主控台不支援檢閱`Hub`資源的標籤。您可以透過程式設計方式檢閱任何資源的標籤。
若要同時檢閱多個 Security Hub CSPM 資源的標籤,請使用[AWS Resource Groups 標記 API](https://docs.aws.amazon.com/resourcegroupstagging/latest/APIReference/overview.html) 的標記操作。
------
#### [ Console ]
**檢閱 Security Hub CSPM 資源的標籤 (主控台)**
1. 使用 Security Hub CSPM 管理員的登入資料,開啟位於 https://[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) 的 AWS Security Hub CSPM 主控台。
1. 根據您要新增標籤的資源類型,執行下列其中一項操作:
+ 若要檢閱自動化規則的標籤,請在導覽窗格中選擇**自動化**。然後,選擇自動化規則。
+ 若要檢閱組態政策的標籤,請在導覽窗格中選擇**組態**。然後,在**政策**索引標籤上,選取組態政策旁的選項。側邊面板隨即開啟,顯示指派給政策的標籤數量。您可以展開**標籤**標頭,以查看標籤索引鍵和標籤值。
**標籤**區段會列出目前指派給資源的所有標籤。
------
#### [ Security Hub CSPM API ]
**檢閱 Security Hub CSPM 資源 (API) 的標籤**
若要擷取和檢閱現有資源的標籤,請叫用 [ListTagsForResource](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListTagsForResource.html) API。在您的請求中,使用 `resourceArn` 參數來指定資源的 Amazon Resource Name (ARN)。
如果您使用的是 AWS CLI,請執行 [list-tags-for-resource](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-tags-for-resource.html) 命令,並使用 `resource-arn` 參數來指定資源的 ARN。例如:
```
$ aws securityhub list-tags-for-resource --resource-arn arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111
```
如果操作成功,Security Hub CSPM 會傳回`tags`陣列。陣列中的每個物件都會指定目前指派給資源的標籤 (包括標籤索引鍵和標籤值)。例如:
```
{
"tags": [
{
"key": "Environment",
"value": "Prod"
},
{
"key": "CostCenter",
"value": "12345"
},
{
"key": "Owner",
"value": ""
}
]
}
```
其中 `Environment`、 `CostCenter`和 `Owner`是指派給資源的標籤金鑰。 `Prod` 是與標籤金鑰相關聯的`Environment`標籤值。 `12345`是與標籤金鑰相關聯的`CostCenter`標籤值。`Owner` 標籤索引鍵沒有相關聯的標籤值。
若要擷取具有標籤的所有 Security Hub CSPM 資源清單,以及指派給每個資源的所有標籤,請使用 AWS Resource Groups 標記 API 的 [GetResources](https://docs.aws.amazon.com/resourcegroupstagging/latest/APIReference/API_GetResources.html) 操作。在您的請求中,將 `ResourceTypeFilters` 參數的值設定為 `securityhub`。若要使用 執行此操作 AWS CLI,請執行 [get-resources](https://docs.aws.amazon.com/cli/latest/reference/resourcegroupstaggingapi/get-resources.html) 命令,並將 `resource-type-filters` 參數的值設定為 `securityhub`。例如:
```
$ aws resourcegroupstaggingapi get-resources -\-resource-type-filters "securityhub"
```
如果操作成功,資源群組會傳回`ResourceTagMappingList`陣列。陣列為每個具有標籤的 Security Hub CSPM 資源包含一個物件。每個物件都會指定 Security Hub CSPM 資源的 ARN,以及指派給資源的標籤索引鍵和值。
------
# 從 Security Hub CSPM 資源移除標籤
如果您將標籤新增至 AWS Security Hub CSPM 資源,您之後可以移除一或多個標籤。*標籤*是您定義和指派給 AWS 資源的標籤,包括特定類型的 Security Hub CSPM 資源。您可以從下列類型的 Security Hub CSPM 資源新增、編輯和移除標籤:自動化規則、組態政策和資源`Hub`。
若要從個別 AWS Security Hub CSPM 資源移除標籤,您可以使用 Security Hub CSPM API。Security Hub CSPM 主控台目前不支援標籤移除。
若要同時從多個 Security Hub CSPM 資源中移除標籤,請使用[AWS Resource Groups 標記 API](https://docs.aws.amazon.com/resourcegroupstagging/latest/APIReference/overview.html) 的標記操作。
**重要**
從資源移除標籤可能會影響對資源的存取。移除標籤之前,請檢閱任何可能使用該標籤來控制資源存取的 AWS Identity and Access Management (IAM) 政策。
------
#### [ Security Hub CSPM API ]
**從 Security Hub CSPM 資源 (API) 移除標籤**
若要以程式設計方式從資源移除一或多個標籤,請使用 Security Hub CSPM API 的 [UntagResource](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UntagResource.html) 操作。在您的請求中,使用 `resourceArn` 參數來指定要從中移除標籤之資源的 Amazon Resource Name (ARN)。使用 `tagKeys` 參數來指定要移除之標籤的標籤索引鍵。若要移除多個標籤,請附加要移除之每個標籤的`tagKeys`參數和引數,並以 ampersand (&) 分隔,例如 `tagKeys=key1&tagKeys=key2`。若要僅從資源移除特定標籤值 (而非標籤索引鍵),[請編輯標籤](tags-update.md),而不是移除標籤。
如果您使用的是 AWS CLI,請執行 [untag-resource](https://docs.aws.amazon.com/cli/latest/reference/securityhub/untag-resource.html) 命令,從資源中移除一或多個標籤。針對 `resource-arn` 參數,指定要從中移除標籤之資源的 ARN。使用 `tag-keys` 參數指定要移除之標籤的標籤索引鍵。例如,下列命令會從指定的組態政策中移除`Environment`標籤 (包括標籤索引鍵和標籤值):
```
$ aws securityhub untag-resource \
--resource-arn arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 \
--tag-keys Environment
```
其中 `resource-arn`指定要從中移除標籤之組態政策的 ARN,且 `Environment`是要移除之標籤的標籤索引鍵。
若要從資源移除多個標籤,請新增每個額外的標籤索引鍵做為 `tag-keys` 參數的引數。例如:
```
$ aws securityhub untag-resource \
--resource-arn arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 \
--tag-keys Environment Owner
```
如果操作成功,Security Hub CSPM 會傳回空的 HTTP 200 回應。否則,Security Hub CSPM 會傳回 HTTP 4*xx* 或 500 回應,指出操作失敗的原因。
------