Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Controles CSPM de Security Hub para AWS Glue
Estos AWS Security Hub CSPM controles evalúan el AWS Glue servicio y los recursos. Es posible que los controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).
## [Glue.1] los AWS Glue trabajos deben estar etiquetados
**Categoría:** Identificar > Inventario > Etiquetado
**Gravedad:** baja
**Tipo de recurso:** `AWS::Glue::Job`
**AWS Config regla:** `tagged-glue-job` (regla CSPM de Security Hub personalizada)
**Tipo de horario:** provocado por un cambio
**Parámetros:**
| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiquetas distinguen entre mayúsculas y minúsculas. | StringList (máximo de 6 artículos) | De 1 a 6 claves de etiquetas que cumplan los [requisitos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | Sin valor predeterminado |
Este control comprueba si un AWS Glue trabajo tiene etiquetas con las claves específicas definidas en el parámetro`requiredTagKeys`. El control falla si el trabajo no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro `requiredTagKeys`. Si no se proporciona el parámetro `requiredTagKeys`, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si el trabajo no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con `aws:`, se ignoran.
Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.
**nota**
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, incluidas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte [Etiquetar sus AWS recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) en el. *Referencia general de AWS*
### Corrección
Para añadir etiquetas a un AWS Glue trabajo, consulte las [AWS etiquetas AWS Glue en](https://docs.aws.amazon.com/glue/latest/dg/monitor-tags.html) la Guía del *AWS Glue usuario*.
## [Glue.3] Las transformaciones AWS Glue de aprendizaje automático deben cifrarse en reposo
**Categoría:** Proteger > Protección de datos > Cifrado de data-at-rest
**Gravedad:** media
**Tipo de recurso:** `AWS::Glue::MLTransform`
**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/glue-ml-transform-encrypted-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/glue-ml-transform-encrypted-at-rest.html)
**Tipo de horario:** provocado por un cambio
**Parámetros:** no
Este control comprueba si una transformación AWS Glue de aprendizaje automático está cifrada en reposo. El control falla si la transformación de machine learning no está cifrada en reposo.
Los datos en reposo hacen referencia a los datos que se almacenan en un almacenamiento persistente y no volátil durante cualquier periodo de tiempo. El cifrado de datos en reposo permite proteger la confidencialidad de los datos, lo que reduce el riesgo de que un usuario no autorizado pueda acceder a ellos.
### Corrección
Para configurar el cifrado para las transformaciones de aprendizaje AWS Glue automático, consulte [Trabajar con transformaciones de aprendizaje automático](https://docs.aws.amazon.com/glue/latest/dg/console-machine-learning-transforms.html) en la *Guía del AWS Glue usuario*.
## [Glue.4] Los trabajos de AWS Glue Spark deberían ejecutarse en versiones compatibles de AWS Glue
**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), niST.800-53.r5 CM-2, niST.800-53.r5 SI-2, niST.800-53.r5 SI-2 (2), niST.800-53.r5 SI-2 (4), NIst.800-53.r5 SI-2 (5)
**Categoría:** Identificar > Administración de vulnerabilidades, parches y versiones
**Gravedad:** media
**Tipo de recurso:** `AWS::Glue::Job`
**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/glue-spark-job-supported-version.html](https://docs.aws.amazon.com/config/latest/developerguide/glue-spark-job-supported-version.html)
**Tipo de horario:** provocado por un cambio
**Parámetros:** `minimumSupportedGlueVersion`: `3.0` (no personalizables)
Este control AWS Glue comprueba si un trabajo de Spark está configurado para ejecutarse en una AWS Glue versión compatible de. El control falla si el trabajo de Spark está configurado para ejecutarse en una versión anterior a la versión mínima compatible. AWS Glue
**nota**
Este control también genera la `FAILED` búsqueda de un AWS Glue trabajo de Spark si la propiedad AWS Glue version (`GlueVersion`) no existe o es nula en el elemento de configuración (CI) del trabajo. En tales casos, el resultado incluye la anotación siguiente: `GlueVersion is null or missing in glueetl job configuration`. Para resolver este tipo de resultado `FAILED`, agregue la propiedad `GlueVersion` a la configuración del trabajo. Para obtener una lista de versiones compatibles y entornos de tiempo de ejecución, consulte [Versiones de AWS Glue](https://docs.aws.amazon.com/glue/latest/dg/release-notes.html#release-notes-versions) en la *Guía del usuario de AWS Glue *.
Ejecutar trabajos de AWS Glue Spark en las versiones actuales de AWS Glue puede optimizar el rendimiento, la seguridad y el acceso a las funciones más recientes de AWS Glue. También puede ayudar a proteger contra vulnerabilidades de seguridad. Por ejemplo, se puede publicar una versión nueva para ofrecer actualizaciones de seguridad, corregir problemas o incorporar características nuevas.
### Corrección
Para obtener información sobre cómo migrar un trabajo de Spark a una versión compatible de AWS Glue, consulte [Migración de trabajos AWS Glue de Spark](https://docs.aws.amazon.com/glue/latest/dg/migrating-version-40.html) en la Guía del *AWS Glue usuario*.