Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Controles de Security Hub para Athena
Estos controles de Security Hub evalúan el servicio y los recursos de Amazon Athena.
Es posible que estos controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulteDisponibilidad de los controles por región.
[Athena.1] Los grupos de trabajo de Athena deben estar cifrados en reposo
importante
Security Hub retiró este control en abril de 2024. Para obtener más información, consulte Registro de cambios en los controles de Security Hub.
Categoría: Proteger - Protección de datos - Cifrado de datos en reposo
Requisitos relacionados: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST .800-53.r5 SI-7 (6)
Gravedad: media
Tipo de recurso: AWS::Athena::WorkGroup
AWS Config regla: athena-workgroup-encrypted-at-rest
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si un grupo de trabajo de Athena está cifrado en reposo. El control falla si un grupo de trabajo de Athena no está cifrado en reposo.
En Athena, puede crear grupos de trabajo para ejecutar consultas para equipos, aplicaciones o diferentes cargas de trabajo. Cada grupo de trabajo tiene una configuración que permite el cifrado de todas las consultas. Tiene la opción de utilizar el cifrado del lado del servidor con las claves administradas del Amazon Simple Storage Service (Amazon S3) y el cifrado del lado del servidor con AWS Key Management Service (AWS KMS) o cifrado del lado del cliente con claves administradas por el cliente. KMS Los datos en reposo se refieren a cualquier dato que se almacene en un almacenamiento persistente y no volátil durante cualquier período de tiempo. El cifrado le ayuda a proteger la confidencialidad de dichos datos, reduciendo el riesgo de que un usuario no autorizado pueda acceder a ellos.
Corrección
Para habilitar el cifrado en reposo para los grupos de trabajo de Athena, consulte Editar un grupo de trabajo en la Guía del usuario de Amazon Athena. En la sección Configuración de los resultados de la consulta, seleccione Cifrar los resultados de la consulta.
[Athena.2] Los catálogos de datos de Athena deben estar etiquetados
Categoría: Identificar > Inventario > Etiquetado
Gravedad: baja
Tipo de recurso: AWS::Athena::DataCatalog
AWS Config regla: tagged-athena-datacatalog (regla personalizada de Security Hub)
Tipo de horario: provocado por un cambio
Parámetros:
| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Lista de claves de etiquetas que no están en el sistema y que debe contener el recurso evaluado. Las claves de etiqueta distinguen entre mayúsculas y minúsculas. | StringList | Lista de etiquetas que cumplen AWS requisitos |
No default value
|
Este control comprueba si un catálogo de datos de Amazon Athena tiene etiquetas con las claves específicas definidas en el parámetro. requiredTagKeys El control falla si el catálogo de datos no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetrorequiredTagKeys. Si requiredTagKeys no se proporciona el parámetro, el control solo comprueba la existencia de una clave de etiqueta y produce un error si el catálogo de datos no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan por ellaaws:, se ignoran.
Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarle a identificar, organizar, buscar y filtrar los recursos. El etiquetado también te ayuda a realizar un seguimiento de las acciones y notificaciones de los propietarios de los recursos responsables. Al utilizar el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, que define los permisos en función de las etiquetas. Puede adjuntar etiquetas a IAM las entidades (usuarios o roles) y a AWS recursos. Puede crear una ABAC política única o un conjunto de políticas independiente para sus IAM directores. Puede diseñar estas ABAC políticas para permitir las operaciones cuando la etiqueta del principal coincida con la etiqueta del recurso. Para obtener más información, consulte ¿ABACPara qué sirve AWS? en la Guía IAM del usuario.
nota
No añada información de identificación personal (PII) ni otra información confidencial o delicada en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, incluyendo AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte Etiquetar su AWS recursos en el Referencia general de AWS.
Corrección
Para añadir etiquetas a un catálogo de datos de Athena, consulte Etiquetado de los recursos de Athena en la Guía del usuario de Amazon Athena.
[Athena.3] Los grupos de trabajo de Athena deben estar etiquetados
Categoría: Identificar > Inventario > Etiquetado
Gravedad: baja
Tipo de recurso: AWS::Athena::WorkGroup
AWS Config regla: tagged-athena-workgroup (regla personalizada de Security Hub)
Tipo de horario: provocado por un cambio
Parámetros:
| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Lista de claves de etiquetas que no están en el sistema y que debe contener el recurso evaluado. Las claves de etiqueta distinguen entre mayúsculas y minúsculas. | StringList | Lista de etiquetas que cumplen AWS requisitos |
No default value
|
Este control comprueba si un grupo de trabajo de Amazon Athena tiene etiquetas con las claves específicas definidas en el parámetro. requiredTagKeys El control falla si el grupo de trabajo no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro. requiredTagKeys Si requiredTagKeys no se proporciona el parámetro, el control solo comprueba la existencia de una clave de etiqueta y genera un error si el grupo de trabajo no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan por ellaaws:, se ignoran.
Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarle a identificar, organizar, buscar y filtrar los recursos. El etiquetado también te ayuda a realizar un seguimiento de las acciones y notificaciones de los propietarios de los recursos responsables. Al utilizar el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, que define los permisos en función de las etiquetas. Puede adjuntar etiquetas a IAM las entidades (usuarios o roles) y a AWS recursos. Puede crear una ABAC política única o un conjunto de políticas independiente para sus IAM directores. Puede diseñar estas ABAC políticas para permitir las operaciones cuando la etiqueta del principal coincida con la etiqueta del recurso. Para obtener más información, consulte ¿ABACPara qué sirve AWS? en la Guía IAM del usuario.
nota
No añada información de identificación personal (PII) ni otra información confidencial o delicada en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, incluyendo AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte Etiquetar su AWS recursos en el Referencia general de AWS.
Corrección
Para añadir etiquetas a un grupo de trabajo de Athena, consulte Añadir y eliminar etiquetas en un grupo de trabajo individual en la Guía del usuario de Amazon Athena.
[Athena.4] Los grupos de trabajo de Athena deben tener habilitado el registro
Categoría: Identificar - Registro
Gravedad: media
Tipo de recurso: AWS::Athena::WorkGroup
AWS Config regla: athena-workgroup-logging-enabled
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si un grupo de trabajo de Amazon Athena publica métricas de uso en Amazon. CloudWatch El control falla si el grupo de trabajo no publica las métricas de uso en. CloudWatch
Los registros de auditoría rastrean y supervisan las actividades del sistema. Proporcionan un registro de los eventos que puede ayudarle a detectar brechas de seguridad, investigar incidentes y cumplir con las normativas. Los registros de auditoría también mejoran la responsabilidad y la transparencia generales de su organización.
Corrección
Para habilitar o deshabilitar las métricas de consulta para un grupo de trabajo de Athena, consulte Habilitar las métricas de CloudWatch consulta en Athena en la Guía del usuario de Amazon Athena.
