Security Hub CSPM 中的 Amazon 资源标注标准
由 Security Hub CSPM Amazon 制定的 Amazon 资源标注标准可帮助您确定您的 Amazon 资源是否缺少标签。标签是键值对,用作组织 Amazon 资源的元数据。大多数 Amazon 资源都允许您在创建资源时或创建资源后向资源添加标签。资源示例包括 Amazon CloudFront 分配、Amazon Elastic Compute Cloud (Amazon EC2) 实例和 Amazon Secrets Manager 中的密钥。标签有助于您管理、识别、组织、搜索和筛选 Amazon 资源。
每个标签具有两个部分:
-
标签键,例如
CostCenter、Environment或Project。标签键区分大小写。 -
标签值,例如
111122223333或Production。与标签键一样,标签值区分大小写。
您可以使用标签,按用途、所有者、环境或其他标准对资源进行分类。有关向 Amazon 资源添加标签的信息,请参阅标记 Amazon 资源和标签编辑器用户指南。
对于 Security Hub CSPM 中适用于 Amazon 资源标注标准的每个控件,您可以选择使用支持的参数来指定希望控件检查的标签键。如果未指定任何标签键,则该控件仅检查是否存在至少一个标签键,如果资源没有任何标签键,则该控件将失败。
在启用 Amazon 资源标注标准之前,请务必先在 Amazon Config 中启用和配置资源记录。在配置资源记录时,还要确保为适用于标准的控件检查的所有 Amazon 资源类型启用它。否则,Security Hub CSPM 可能无法评估适当的资源,也无法针对适用于标准的控件生成准确的调查发现。有关更多信息,包括要记录的资源类型列表,请参阅 控件调查发现所需的 Amazon Config 资源。
启用 Amazon 资源标注标准后,您将开始接收适用于该标准的控件的调查发现。请注意,对于使用与适用于其他已启用标准的控件相同的 Amazon Config 服务相关规则的控件,Security Hub CSPM 最多可能需要 18 小时才能生成调查发现。有关更多信息,请参阅 有关运行安全检查的计划。
Amazon 资源标注标准具有以下 Amazon 资源名称 (ARN):arn:aws:securityhub:,其中 region::standards/aws-resource-tagging-standard/v/1.0.0region 是适用的 Amazon Web Services 区域 的区域代码。您还可以使用 Security Hub CSPM API 的 GetEnabledStandards 操作来检索当前已启用标准的 ARN。
注意
Amazon 资源标注标准不适用于亚太地区(新西兰)和亚太地区(台北)区域。
适用于标准的控件
以下列表指定了哪些 Amazon Security Hub CSPM 控件适用于 Amazon 资源标注标准 (v1.0.0)。要查看控件的详细信息,请选择该控件。