Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
AWSEstándar de etiquetado de recursos en Security Hub (CSPM)
El estándar AWS de etiquetado de recursos, desarrollado por AWS Security Hub CSPM, le ayuda a determinar si faltan etiquetas en sus AWS recursos. Las etiquetas son pares clave-valor que actúan como metadatos para organizar los recursos. AWS En la mayoría de los recursos de AWS, puede agregar etiquetas al recurso cuando lo crea o después de crearlo. Algunos ejemplos de recursos incluyen CloudFront distribuciones de Amazon, instancias de Amazon Elastic Compute Cloud (Amazon EC2) y secrets in. AWS Secrets Manager Las etiquetas pueden ayudarle a administrar, identificar, organizar, buscar y filtrar AWS los recursos.
Cada etiqueta de tiene dos partes:
-
Una clave de etiqueta, por ejemplo,
CostCenter,Environment, oProject. Las claves de etiquetas distinguen entre mayúsculas y minúsculas. -
Un valor de etiqueta, por ejemplo,
111122223333oProduction. Al igual que las claves de etiquetas, los valores de las etiquetas distinguen mayúsculas de minúsculas.
Utilice etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Para obtener información sobre cómo añadir etiquetas a AWS los recursos, consulte los AWSrecursos de etiquetado y la Guía del usuario del editor de etiquetas.
Para cada control que se aplique al estándar de etiquetado de AWS recursos de Security Hub CSPM, puede utilizar opcionalmente el parámetro compatible para especificar las claves de etiqueta que desea que compruebe el control. Si no especifica ninguna clave de etiqueta, el control verifica únicamente la existencia de al menos una clave de etiqueta y falla si un recurso no tiene ninguna.
Antes de habilitar el estándar AWS de etiquetado de recursos, es importante habilitar y configurar el registro de recursos en. AWS Config Al configurar el registro de recursos, asegúrese también de habilitarlo para todos los tipos de AWS recursos que se comprueban mediante los controles que se aplican al estándar. De lo contrario, es posible que el CSPM de Security Hub no pueda evaluar los recursos adecuados ni generar los resultados precisos para los controles aplicables al estándar. Para obtener más información, incluida una lista de los tipos de recursos que se deben registrar, consulte AWS ConfigRecursos necesarios para los hallazgos de control.
Tras activar el estándar de etiquetado de AWS recursos, empezará a recibir información sobre los controles que se aplican al estándar. Tenga en cuenta que Security Hub CSPM puede tardar hasta 18 horas en generar resultados para los controles que utilizan la misma regla AWS Config vinculada a servicios que los controles que se aplican a otros estándares habilitados. Para obtener más información, consulte Programación para ejecutar comprobaciones de seguridad.
El estándar de etiquetado de AWS recursos tiene el siguiente nombre de recurso de Amazon (ARN)arn:aws:securityhub::, region::standards/aws-resource-tagging-standard/v/1.0.0region donde es el código de región correspondiente. Región de AWS También puede utilizar el GetEnabledStandardsfuncionamiento de la API CSPM de Security Hub para recuperar el ARN de un estándar que esté habilitado actualmente.
nota
El estándar de etiquetado de recursos de AWS no está disponible en las regiones de Asia-Pacífico (Nueva Zelanda) y Asia-Pacífico (Taipéi).
Controles que se aplican al estándar
La siguiente lista especifica qué controles CSPM de AWS Security Hub se aplican al estándar de etiquetado de AWS recursos (v1.0.0). Para revisar los detalles de un control, seleccione el control.
-
[Amplify.1] Las aplicaciones Amplify deben estar etiquetadas
-
[AppConfig.1]AWS AppConfiglas aplicaciones deben estar etiquetadas
-
[AppConfig.2]AWS AppConfiglos perfiles de configuración deben estar etiquetados
-
[AppConfig.3]AWS AppConfiglos entornos deben estar etiquetados
-
[AppConfig.4]AWS AppConfiglas asociaciones de extensiones deben estar etiquetadas
-
[AppFlow.1] AppFlow Los flujos de Amazon deben estar etiquetados
-
[AppRunner.1] Los servicios de App Runner deben estar etiquetados
-
[AppRunner.2] Los conectores VPC de App Runner deben estar etiquetados
-
[AppSync.4]AWS AppSyncLas API de GraphQL deben estar etiquetadas
-
[Athena.2] Los catálogos de datos de Athena deben estar etiquetados
-
[Athena.3] Los grupos de trabajo de Athena deben estar etiquetados
-
[AutoScaling.10] Los grupos de Auto Scaling de EC2 deben estar etiquetados
-
[Backup.2]AWS Backuplos puntos de recuperación deben estar etiquetados
-
[Backup.4]AWS Backuplos planes de informes deben estar etiquetados
-
[Backup.5]AWS Backuplos planes de respaldo deben estar etiquetados
-
[Batch.1] Las colas de trabajos por lotes deben estar etiquetadas
-
[Batch.2] Las políticas de programación de lotes deben estar etiquetadas
-
[Batch.3] Los entornos de procesamiento por lotes deben etiquetarse
-
[CloudFormation.2] las CloudFormation pilas deben estar etiquetadas
-
[CloudFront.14] CloudFront las distribuciones deben estar etiquetadas
-
[CodeArtifact.1] CodeArtifact los repositorios deben estar etiquetados
-
[CodeGuruProfiler.1] Los grupos CodeGuru de creación de perfiles de Profiler deben estar etiquetados
-
[CodeGuruReviewer.1] Las asociaciones de repositorios de CodeGuru Reviewer deben estar etiquetadas
-
[Detective.1] Los gráficos de comportamiento de los detectives deben estar etiquetados
-
[DMS.3] Las suscripciones a eventos de DMS deben estar etiquetadas
-
[DMS.4] Las instancias de replicación de DMS deben estar etiquetadas
-
[DMS.5] Los grupos de subredes de replicación del DMS deben estar etiquetados
-
[EC2.33] Los archivos adjuntos de la pasarela de tránsito EC2 deben estar etiquetados
-
[EC2.34] Las tablas de rutas de la pasarela de tránsito EC2 deben estar etiquetadas
-
[EC2.36] Las pasarelas de clientes de EC2 deben estar etiquetadas
-
[EC2.37] Las direcciones IP elásticas de EC2 deben estar etiquetadas
-
[EC2.39] Las pasarelas de Internet EC2 deben estar etiquetadas
-
[EC2.43] Los grupos de seguridad de EC2 deben estar etiquetados
-
[EC2.47] Los servicios de punto final de Amazon VPC deben estar etiquetados
-
[EC2.48] Los registros de flujo de Amazon VPC deben estar etiquetados
-
[EC2.49] Las conexiones de emparejamiento de Amazon VPC deben estar etiquetadas
-
[EC2.52] Las pasarelas de tránsito EC2 deben estar etiquetadas
-
[EC2.174] Los conjuntos de opciones DHCP de EC2 deben estar etiquetados
-
[EC2.175] Las plantillas de lanzamiento de EC2 deben estar etiquetadas
-
[EC2.176] Las listas de prefijos de EC2 deben estar etiquetadas
-
[EC2.177] Las sesiones de réplica de tráfico de EC2 deben etiquetarse
-
[EC2.178] Los filtros espejo de tráfico EC2 deben estar etiquetados
-
[EC2.179] Los objetivos del espejo de tráfico de EC2 deben estar etiquetados
-
[ECR.4] Los repositorios públicos del ECR deben estar etiquetados
-
[ECS.15] Las definiciones de las tareas de ECS deben estar etiquetadas
-
[EKS.7] Las configuraciones del proveedor de identidad de EKS deben estar etiquetadas
-
[ES.9] Los dominios de Elasticsearch deben estar etiquetados
-
[EventBridge.2] los autobuses de EventBridge eventos deben estar etiquetados
-
[FraudDetector.1] Los tipos de entidades de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.2] Las etiquetas de Amazon Fraud Detector deben estar etiquetadas
-
[FraudDetector.3] Los resultados de Amazon Fraud Detector deben estar etiquetados
-
[FraudDetector.4] Las variables de Amazon Fraud Detector deben estar etiquetadas
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados
-
[GuardDuty.4] GuardDuty los detectores deben estar etiquetados
-
[IAM.23] Los analizadores de IAM Access Analyzer deben estar etiquetados
-
[IoT.1]AWS IoT Device Defenderlos perfiles de seguridad deben estar etiquetados
-
[IoT.2]AWS IoT Corelas acciones de mitigación deben estar etiquetadas
-
[IoT.4]AWS IoT Corelos autorizadores deben estar etiquetados
-
[IoT.5]AWS IoT CoreLos alias de los roles deben estar etiquetados
-
[IoTEvents.1]AWSLas entradas de IoT Events deben estar etiquetadas
-
[IoTEvents.2]AWSLos modelos de detectores de IoT Events deben estar etiquetados
-
[IoTEvents.3]AWSLos modelos de alarma de IoT Events deben estar etiquetados
-
[IoTSiteWise.1]AWSLos modelos SiteWise de activos de IoT deben estar etiquetados
-
[IoTSiteWise.2]AWS SiteWise Los paneles de IoT deben estar etiquetados
-
[IoTSiteWise.3]AWS SiteWise Las pasarelas de IoT deben estar etiquetadas
-
[IoTSiteWise.4]AWS SiteWise Los portales de IoT deben estar etiquetados
-
[IoTSiteWise.5]AWS SiteWise Los proyectos de IoT deben estar etiquetados
-
[IoTTwinMaker.1]AWSLos trabajos de TwinMaker sincronización de IoT deben estar etiquetados
-
[IoTTwinMaker.2]AWS TwinMaker Los espacios de trabajo de IoT deben estar etiquetados
-
[IoTTwinMaker.3]AWS TwinMaker Las escenas de IoT deben estar etiquetadas
-
[IoTTwinMaker.4]AWS TwinMaker Las entidades de IoT deben estar etiquetadas
-
[IoTWireless.1]AWSLos grupos de multidifusión de IoT Wireless deben estar etiquetados
-
[IoTWireless.2]AWSLos perfiles de servicio de IoT Wireless deben estar etiquetados
-
[IoTWireless.3]AWSLas tareas de IoT FUOTA deben estar etiquetadas
-
[IVS.1] Los pares de teclas de reproducción IVS deben estar etiquetados
-
[IVS.2] Las configuraciones de grabación de IVS deben estar etiquetadas
-
[Keyspaces.1] Los espacios clave de Amazon Keyspaces deben estar etiquetados
-
[Kinesis.2] Las transmisiones de Kinesis deben estar etiquetadas
-
[NetworkFirewall.7] Los firewalls de Network Firewall deben estar etiquetados
-
[NetworkFirewall.8] Las políticas de firewall de Network Firewall deben estar etiquetadas
-
[Opensearch.9] OpenSearch los dominios deben estar etiquetados
-
[PCA.2]AWSLas autoridades de certificación de CA privadas deben estar etiquetadas
-
[RDS.28] Los clústeres de bases de datos de RDS deben etiquetarse
-
[RDS.29] Las instantáneas del clúster de base de datos de RDS deben estar etiquetadas
-
[RDS.30] Las instancias de base de datos de RDS deben estar etiquetadas
-
[RDS.31] Los grupos de seguridad de RDS DB deben estar etiquetados
-
[RDS.33] Los grupos de subredes de base de datos de RDS deben etiquetarse
-
[Redshift.11] Los clústeres de Redshift deben estar etiquetados
-
[Redshift.12] Las suscripciones a notificaciones de eventos de Redshift deben estar etiquetadas
-
[Redshift.13] Las instantáneas del clúster de Redshift deben estar etiquetadas
-
[Redshift.14] Los grupos de subredes del clúster de Redshift deben estar etiquetados
-
[Redshift.17] Los grupos de parámetros del clúster de Redshift deben estar etiquetados
-
[Route53.1] Los controles de salud de Route 53 deben estar etiquetados
-
[SageMaker.6] Las configuraciones de imagen de la SageMaker aplicación deben estar etiquetadas
-
[SageMaker.7] SageMaker las imágenes deben estar etiquetadas
-
[SecretsManager.5] Los secretos de Secrets Manager deben estar etiquetados
-
[SES.1] Las listas de contactos de SES deben estar etiquetadas
-
[SES.2] Los conjuntos de configuración de SES deben estar etiquetados
-
[StepFunctions.2] Las actividades de Step Functions deben estar etiquetadas
-
[Transfer.1]AWS Transfer Familylos flujos de trabajo deben estar etiquetados
-
[Transfer.4] Los acuerdos Transfer Family deben estar etiquetados
-
[Transfer.5] Los certificados Transfer Family deben estar etiquetados
-
[Transfer.6] Los conectores Transfer Family deben estar etiquetados
-
[Transfer.7] Los perfiles de Transfer Family deben estar etiquetados