Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异，请参阅 中国的 Amazon Web Services 服务入门 (PDF)。

适用于 Amazon App Runner 的 Security Hub 控件

这些 Amazon Security Hub CSPM 控件可评估 Amazon App Runner 服务和资源。控件可能并非在所有 Amazon Web Services 区域都可用。有关更多信息，请参阅 按地区划分的控件可用性。

[AppRunner.1] 应标记 App Runner 服务

类别：识别 > 清单 > 标记

严重性：低

资源类型：AWS::AppRunner::Service

Amazon Config 规则： apprunner-service-tagged

计划类型：已触发变更

参数：

此控件检查 Amazon App Runner 服务是否具有带特定键的标签，这些键在 requiredKeyTags 参数中进行定义。如果 App Runner 服务没有任何标签键或者未在 requiredKeyTags 参数中指定所有键，则此控件将失败。如果未提供 requiredKeyTags 参数，则此控件仅检查是否存在标签键，如果 App Runner 未使用任何键进行标记，则此控件将失败。自动应用并以 aws: 为开头的系统标签会被忽略。

标签是您分配给 Amazon 资源的标记，由一个键和一个可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以将标签附加到 IAM 实体（用户或角色）以及 Amazon 资源。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅《IAM 用户指南》中的使用 ABAC 授权根据属性定义权限。

修复

有关向 Amazon App Runner 服务添加标签的信息，请参阅《Amazon App Runner API 参考》中的 TagResource。

[AppRunner.2] 应标记 App Runner VPC 连接器

类别：识别 > 清单 > 标记

严重性：低

资源类型：AWS::AppRunner::VpcConnector

Amazon Config 规则： apprunner-vpc-connector-tagged

计划类型：已触发变更

参数：

此控件检查 Amazon App Runner VPC 连接器是否具有带特定键的标签，这些键在 requiredKeyTags 参数中进行定义。如果 VPC 连接器没有任何标签键或未在 requiredKeyTags 参数中指定所有键，则此控件将失败。如果未提供 requiredKeyTags 参数，则此控件仅检查是否存在标签键，如果 VPC 连接器未使用任何键进行标记，则此控件将失败。自动应用并以 aws: 为开头的系统标签会被忽略。

标签是您分配给 Amazon 资源的标记，由一个键和一个可选值组成。您可以创建标签，以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时，可以将基于属性的访问权限控制（ABAC）作为授权策略实施，该策略根据标签来定义权限。您可以将标签附加到 IAM 实体（用户或角色）以及 Amazon 资源。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息，请参阅《IAM 用户指南》中的使用 ABAC 授权根据属性定义权限。

修复

有关向 Amazon App Runner VPC 连接器添加标签的信息，请参阅《Amazon App Runner API 参考》中的 TagResource。