Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
AWSStandard für Ressourcen-Tagging in Security Hub CSPM
Mit dem AWS Resource Tagging-Standard, der von AWS Security Hub CSPM entwickelt wurde, können Sie feststellen, ob in Ihren AWS Ressourcen Tags fehlen. Tags sind Schlüssel-Wert-Paare, die als Metadaten für die Organisation von Ressourcen dienen. AWS Bei den meisten AWS Ressourcen haben Sie die Möglichkeit, einer Ressource Tags hinzuzufügen, wenn Sie die Ressource erstellen oder nachdem Sie die Ressource erstellt haben. Zu den Ressourcen gehören beispielsweise CloudFront Amazon-Distributionen, Amazon Elastic Compute Cloud (Amazon EC2) -Instances und Secrets in. AWS Secrets Manager Mithilfe von Tags können Sie Ressourcen verwalten, identifizieren, organisieren, suchen und filternAWS.
Jedes -Tag besteht aus zwei Teilen:
-
Ein Tag-Schlüssel, zum Beispiel,
CostCenterEnvironment, oder.ProjectBei Tag-Schlüsseln wird zwischen Groß- und Kleinschreibung unterschieden. -
Ein Tag-Wert, zum Beispiel oder.
111122223333ProductionWie bei Tag-Schlüsseln wird auch bei Tag-Werten zwischen Groß- und Kleinschreibung unterschieden.
Sie können Tags verwenden, um Ressourcen nach Zweck, Eigentümer, Umgebung oder anderen Kriterien zu kategorisieren. Informationen zum Hinzufügen von Tags zu AWS Ressourcen finden Sie im Benutzerhandbuch zum Kennzeichnen von AWS Ressourcen und zum Tag-Editor.
Für jedes Steuerelement, das für den AWS Resource Tagging-Standard in Security Hub CSPM gilt, können Sie optional den unterstützten Parameter verwenden, um Tag-Schlüssel anzugeben, nach denen das Steuerelement suchen soll. Wenn Sie keine Tag-Schlüssel angeben, prüft das Steuerelement nur, ob mindestens ein Tag-Schlüssel vorhanden ist, und schlägt fehl, wenn eine Ressource keine Tag-Schlüssel hat.
Bevor Sie den AWS Resource Tagging-Standard aktivieren, ist es wichtig, die Ressourcenaufzeichnung in AWS Config zu aktivieren und zu konfigurieren. Achten Sie bei der Konfiguration der Ressourcenaufzeichnung auch darauf, sie für alle AWS Ressourcentypen zu aktivieren, die durch die für den Standard geltenden Kontrollen überprüft werden. Andernfalls ist Security Hub CSPM möglicherweise nicht in der Lage, die geeigneten Ressourcen zu bewerten und genaue Ergebnisse für Kontrollen zu generieren, die für den Standard gelten. Weitere Informationen, einschließlich einer Liste der aufzuzeichnenden Ressourcentypen, finden Sie unter. Erforderliche AWS Config Ressourcen für Kontrollbefunde
Nachdem Sie den AWS Resource Tagging-Standard aktiviert haben, erhalten Sie erste Ergebnisse für Kontrollen, die für diesen Standard gelten. Beachten Sie, dass es bis zu 18 Stunden dauern kann, bis Security Hub CSPM Ergebnisse für Kontrollen generiert, die dieselbe AWS Config serviceverknüpfte Regel verwenden wie Kontrollen, die für andere aktivierte Standards gelten. Weitere Informationen finden Sie unter Zeitplan für die Ausführung von Sicherheitsprüfungen.
Der AWS Resource Tagging-Standard hat den folgenden Amazon-Ressourcennamen (ARN):arn:aws:securityhub:, wobei der Regionalcode für die entsprechende region::standards/aws-resource-tagging-standard/v/1.0.0region AWS-Region ist. Sie können auch den GetEnabledStandardsBetrieb der Security Hub CSPM-API verwenden, um den ARN eines Standards abzurufen, der derzeit aktiviert ist.
Anmerkung
Der AWSResource Tagging-Standard ist in den Regionen Asien-Pazifik (Neuseeland) und Asien-Pazifik (Taipeh) nicht verfügbar.
Kontrollen, die für den Standard gelten
In der folgenden Liste wird angegeben, welche AWS Security Hub CSPM-Steuerelemente für den AWS Resource Tagging-Standard (v1.0.0) gelten. Um die Details eines Steuerelements zu überprüfen, wählen Sie das Steuerelement aus.
-
[ACM.3] ACM-Zertifikate sollten mit einem Tag versehen werden
-
[AppConfig.1]AWS AppConfigAnwendungen sollten markiert werden
-
[AppConfig.2]AWS AppConfigKonfigurationsprofile sollten mit Tags versehen werden
-
[AppConfig.3]AWS AppConfigUmgebungen sollten markiert werden
-
[AppConfig.4]AWS AppConfigErweiterungszuordnungen sollten mit Tags versehen werden
-
[AppRunner.2] App Runner VPC-Konnektoren sollten markiert werden
-
[AutoScaling.10] EC2 Auto Scaling Scaling-Gruppen sollten markiert werden
-
[Backup.2]AWS BackupWiederherstellungspunkte sollten markiert werden
-
[Backup.3]AWS BackupTresore sollten mit Tags versehen werden
-
[Backup.4]AWS BackupBerichtspläne sollten mit Tags versehen werden
-
[Backup.5]AWS BackupBackup-Pläne sollten mit einem Tag versehen werden
-
[Batch.2] Richtlinien zur Batch-Planung sollten markiert werden
-
[Batch.3] Batch-Computing-Umgebungen sollten markiert werden
-
[CloudFormation.2] CloudFormation Stacks sollten markiert werden
-
[CloudFront.14] CloudFront Distributionen sollten markiert werden
-
[CodeArtifact.1] CodeArtifact Repositorien sollten markiert werden
-
[CodeGuruProfiler.1] CodeGuru Profiler-Profiling-Gruppen sollten markiert werden
-
[CodeGuruReviewer.1] CodeGuru Reviewer-Repository-Verknüpfungen sollten markiert werden
-
[Connect.1] Objekttypen von Amazon Connect Customer Profiles sollten mit Tags versehen werden
-
[DataSync.2] DataSync Aufgaben sollten mit Tags versehen werden
-
[Detective.1] Graphen zum Verhalten von Detektiven sollten markiert werden
-
[DMS.3] DMS-Veranstaltungsabonnements sollten mit einem Tag versehen werden
-
[DMS.5] Subnetzgruppen für die DMS-Replikation sollten markiert werden
-
[EC2.33] EC2 Transit Gateway-Anhänge sollten mit Tags versehen werden
-
[EC2.34] Die EC2-Transit-Gateway-Routentabellen sollten mit Tags versehen werden
-
[EC2.37] EC2-Elastic-IP-Adressen sollten mit Tags versehen werden
-
[EC2.42] EC2-Routing-Tabellen sollten mit Tags versehen werden
-
[EC2.47] Amazon VPC Endpoint Services sollten markiert werden
-
[EC2.49] Amazon VPC-Peering-Verbindungen sollten markiert werden
-
[EC2.174] EC2-DHCP-Optionssätze sollten mit Tags versehen werden
-
[EC2.175] EC2-Startvorlagen sollten mit Tags versehen werden
-
[EC2.177] EC2-Traffic-Mirror-Sitzungen sollten mit Tags versehen werden
-
[EC2.178] EC2-Traffic-Spiegelfilter sollten mit Tags versehen werden
-
[ECR.4] Öffentliche ECR-Repositorien sollten mit Tags versehen werden
-
[ECS.15] ECS-Aufgabendefinitionen sollten mit Tags versehen werden
-
[EKS.7] Die Konfigurationen des EKS-Identitätsanbieters sollten mit Tags versehen werden
-
[EventBridge.2] EventBridge Eventbusse sollten gekennzeichnet sein
-
[FraudDetector.1] Entitätstypen von Amazon Fraud Detector sollten markiert werden
-
[FraudDetector.2] Amazon Fraud Detector Detector-Etiketten sollten gekennzeichnet sein
-
[FraudDetector.3] Die Ergebnisse von Amazon Fraud Detector sollten markiert werden
-
[FraudDetector.4] Amazon Fraud Detector Detector-Variablen sollten markiert werden
-
[GlobalAccelerator.1] Global Accelerator-Beschleuniger sollten markiert sein
-
[GuardDuty.2] GuardDuty Filter sollten mit Tags versehen sein
-
[IAM.23] IAM Access Analyzer-Analyzer sollten gekennzeichnet sein
-
[IoT.1]AWS IoT Device DefenderSicherheitsprofile sollten markiert werden
-
[IoT.2]AWS IoT CoreMaßnahmen zur Schadensbegrenzung sollten mit einem Tag versehen werden
-
[IoT.3]AWS IoT CoreDimensionen sollten mit Tags versehen werden
-
[IoT.5]AWS IoT CoreRollenaliase sollten mit Tags versehen werden
-
[IoT.6]AWS IoT CoreRichtlinien sollten mit Tags versehen werden
-
[IoTEvents.1]AWSEingaben für IoT Events sollten markiert werden
-
[IoTEvents.2]AWSModelle mit IoT-Ereignisdetektoren sollten markiert werden
-
[IoTEvents.3]AWSAlarmmodelle für IoT Events sollten markiert werden
-
[IoTSiteWise.1]AWS SiteWise IoT-Asset-Modelle sollten markiert werden
-
[IoTSiteWise.2]AWS SiteWise IoT-Dashboards sollten mit Tags versehen werden
-
[IoTSiteWise.3]AWS SiteWise IoT-Gateways sollten markiert werden
-
[IoTSiteWise.4]AWS SiteWise IoT-Portale sollten mit Tags versehen werden
-
[IoTSiteWise.5]AWS SiteWise IoT-Projekte sollten markiert werden
-
[IoTTwinMaker.1]AWS TwinMaker IoT-Synchronisierungsjobs sollten markiert werden
-
[IoTTwinMaker.2]AWS TwinMaker IoT-Arbeitsbereiche sollten markiert werden
-
[IoTTwinMaker.3]AWS TwinMaker IoT-Szenen sollten markiert werden
-
[IoTTwinMaker.4]AWS TwinMaker IoT-Entitäten sollten markiert werden
-
[IoTWireless.1]AWSIoT-Wireless-Multicast-Gruppen sollten markiert werden
-
[IoTWireless.2]AWSIoT-Wireless-Dienstprofile sollten markiert werden
-
[IoTWireless.3]AWSIoT FUOTA-Aufgaben sollten markiert werden
-
[IVS.1] Schlüsselpaare für die IVS-Wiedergabe sollten markiert werden
-
[IVS.2] IVS-Aufnahmekonfigurationen sollten mit Tags versehen werden
-
[Keyspaces.1] Amazon Keyspaces-Keyspaces sollten markiert werden
-
[NetworkFirewall.7] Netzwerk-Firewall-Firewalls sollten markiert werden
-
[NetworkFirewall.8] Firewall-Richtlinien für Netzwerk-Firewalls sollten markiert werden
-
[Opensearch.9] OpenSearch Domains sollten mit Tags versehen werden
-
[PCA.2]AWSPrivate Zertifizierungsstellen sollten markiert werden
-
[RDS.29] Snapshots von RDS-DB-Clustern sollten mit Tags versehen werden
-
[Redshift.12] Abonnements für Redshift-Ereignisbenachrichtigungen sollten markiert werden
-
[Redshift.13] Redshift-Cluster-Snapshots sollten markiert werden
-
[Redshift.14] Redshift-Cluster-Subnetzgruppen sollten markiert werden
-
[Redshift.17] Redshift-Cluster-Parametergruppen sollten markiert werden
-
[Route53.1] Route 53-Gesundheitschecks sollten markiert werden
-
[SageMaker.6] SageMaker App-Image-Konfigurationen sollten mit Tags versehen werden
-
[SageMaker.7] SageMaker Bilder sollten mit Tags versehen werden
-
[SecretsManager.5] Secrets Manager Manager-Geheimnisse sollten markiert werden
-
[SES.2] SES-Konfigurationssätze sollten mit Tags versehen werden
-
[StepFunctions.2] Step Functions Functions-Aktivitäten sollten markiert werden
-
[Transfer.1]AWS Transfer FamilyWorkflows sollten markiert werden
-
[Transfer.4] Transfer Family Familienverträge sollten gekennzeichnet werden
-
[Transfer.5] Transfer Family Familienzertifikate sollten gekennzeichnet sein
-
[Transfer.6] Steckverbinder der Transfer Family sollten gekennzeichnet sein
-
[Transfer.7] Familienprofile übertragen sollten markiert werden