Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Contrôles Security Hub pour Athena
Ces contrôles Security Hub évaluent le service et les ressources Amazon Athena.
Il se peut que ces commandes ne soient pas disponibles dans tous les cas Régions AWS. Pour plus d'informations, consultezDisponibilité des contrôles par région.
[Athena.1] Les groupes de travail Athena doivent être chiffrés au repos
Important
Security Hub a retiré ce contrôle en avril 2024. Pour de plus amples informations, veuillez consulter Journal des modifications pour les contrôles du Security Hub.
Catégorie : Protéger - Protection des données - Chiffrement des données au repos
Exigences connexes : NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST .800-53.r5 SI-7 (6)
Gravité : Moyenne
Type de ressource : AWS::Athena::WorkGroup
AWS Config règle : athena-workgroup-encrypted-at-rest
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si un groupe de travail Athena est chiffré au repos. Le contrôle échoue si un groupe de travail Athena n'est pas chiffré au repos.
Dans Athena, vous pouvez créer des groupes de travail pour exécuter des requêtes pour des équipes, des applications ou différentes charges de travail. Chaque groupe de travail dispose d'un paramètre permettant d'activer le chiffrement de toutes les requêtes. Vous avez la possibilité d'utiliser le chiffrement côté serveur avec les clés gérées par Amazon Simple Storage Service (Amazon S3), le chiffrement côté serveur avec AWS Key Management Service (AWS KMS) des clés, ou un chiffrement côté client à l'aide de clés gérées KMS par le client. Les données au repos désignent toutes les données stockées dans un stockage persistant et non volatil pendant une durée quelconque. Le chiffrement vous aide à protéger la confidentialité de ces données, réduisant ainsi le risque qu'un utilisateur non autorisé puisse y accéder.
Correction
Pour activer le chiffrement au repos pour les groupes de travail Athena, consultez la section Modifier un groupe de travail dans le guide de l'utilisateur d'Amazon Athena. Dans la section Configuration des résultats de la requête, sélectionnez Chiffrer les résultats de la requête.
[Athena.2] Les catalogues de données Athena doivent être balisés
Catégorie : Identifier > Inventaire > Étiquetage
Gravité : Faible
Type de ressource : AWS::Athena::DataCatalog
AWS Config règle : tagged-athena-datacatalog
(règle Security Hub personnalisée)
Type de calendrier : changement déclenché
Paramètres :
Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut de Security Hub |
---|---|---|---|---|
requiredTagKeys
|
Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les clés de balises sont sensibles à la casse. | StringList | Liste des tags qui répondent AWS exigences |
No default value
|
Ce contrôle vérifie si un catalogue de données Amazon Athena comporte des balises avec les clés spécifiques définies dans le paramètre. requiredTagKeys
Le contrôle échoue si le catalogue de données ne possède aucune clé de balise ou s'il ne contient pas toutes les clés spécifiées dans le paramètrerequiredTagKeys
. Si le paramètre requiredTagKeys
n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le catalogue de données n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent paraws:
, sont ignorées.
Un tag est un label que vous attribuez à un AWS ressource, et elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d'autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises à IAM des entités (utilisateurs ou rôles) et à AWS ressources. Vous pouvez créer une ABAC politique unique ou un ensemble de politiques distinct pour vos IAM mandants. Vous pouvez concevoir ces ABAC politiques pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir À quoi ABAC sert AWS? dans le guide de IAM l'utilisateur.
Note
N'ajoutez pas d'informations personnellement identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, y compris AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section Marquage de votre AWS ressources dans le Références générales AWS.
Correction
Pour ajouter des balises à un catalogue de données Athena, consultez la section Marquage des ressources Athena dans le guide de l'utilisateur d'Amazon Athena.
[Athena.3] Les groupes de travail Athena doivent être balisés
Catégorie : Identifier > Inventaire > Étiquetage
Gravité : Faible
Type de ressource : AWS::Athena::WorkGroup
AWS Config règle : tagged-athena-workgroup
(règle Security Hub personnalisée)
Type de calendrier : changement déclenché
Paramètres :
Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut de Security Hub |
---|---|---|---|---|
requiredTagKeys
|
Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les clés de balises sont sensibles à la casse. | StringList | Liste des tags qui répondent AWS exigences |
No default value
|
Ce contrôle vérifie si un groupe de travail Amazon Athena possède des balises avec les clés spécifiques définies dans le paramètre. requiredTagKeys
Le contrôle échoue si le groupe de travail ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètrerequiredTagKeys
. Si le paramètre requiredTagKeys
n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le groupe de travail n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent paraws:
, sont ignorées.
Un tag est un label que vous attribuez à un AWS ressource, et elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d'autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises à IAM des entités (utilisateurs ou rôles) et à AWS ressources. Vous pouvez créer une ABAC politique unique ou un ensemble de politiques distinct pour vos IAM mandants. Vous pouvez concevoir ces ABAC politiques pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir À quoi ABAC sert AWS? dans le guide de IAM l'utilisateur.
Note
N'ajoutez pas d'informations personnellement identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, y compris AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section Marquage de votre AWS ressources dans le Références générales AWS.
Correction
Pour ajouter des balises à un groupe de travail Athena, consultez la section Ajouter et supprimer des balises sur un groupe de travail individuel dans le guide de l'utilisateur d'Amazon Athena.
[Athena.4] La journalisation des groupes de travail Athena doit être activée
Catégorie : Identifier - Journalisation
Gravité : Moyenne
Type de ressource : AWS::Athena::WorkGroup
AWS Config règle : athena-workgroup-logging-enabled
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si un groupe de travail Amazon Athena publie des statistiques d'utilisation sur Amazon. CloudWatch Le contrôle échoue si le groupe de travail ne publie pas de statistiques d'utilisation sur CloudWatch.
Les journaux d'audit suivent et surveillent les activités du système. Ils fournissent un enregistrement des événements qui peut vous aider à détecter les failles de sécurité, à enquêter sur les incidents et à vous conformer aux réglementations. Les journaux d'audit améliorent également la responsabilité globale et la transparence de votre organisation.
Correction
Pour activer ou désactiver les métriques de requêtes pour un groupe de travail Athena, consultez la section Activer les métriques de CloudWatch requêtes dans Athena dans le guide de l'utilisateur d'Amazon Athena.