Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Contrôles Security Hub CSPM pour Amazon EMR
Ces AWS Security Hub CSPM contrôles évaluent le service et les ressources Amazon EMR (anciennement Amazon Elastic MapReduce). Il est possible que les commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [EMR.1] Les nœuds principaux du cluster Amazon EMR ne doivent pas avoir d'adresses IP publiques
**Exigences connexes :** PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, PCI DSS v4.0.1/1.4.4, 1, (7), (21), (11), (16), (20), (21), (3), (4), (9) NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
**Catégorie :** Protéger - Configuration réseau sécurisée
**Gravité :** Élevée
**Type de ressource :** `AWS::EMR::Cluster`
**AWS Config règle : emr-master-no-public** [-ip](https://docs.aws.amazon.com/config/latest/developerguide/emr-master-no-public-ip.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si les nœuds maîtres des clusters Amazon EMR possèdent des adresses IP publiques. Le contrôle échoue si des adresses IP publiques sont associées à l'une des instances du nœud maître.
Les adresses IP publiques sont désignées dans le `PublicIp` champ de `NetworkInterfaces` configuration de l'instance. Ce contrôle vérifie uniquement les clusters Amazon EMR qui sont à l'état `RUNNING` or`WAITING`.
### Correction
Lors du lancement, vous pouvez contrôler si une adresse publique IPv4 est attribuée à votre instance dans un sous-réseau par défaut ou non par défaut. Par défaut, cet attribut est défini sur les sous-réseaux par défaut. `true` Les sous-réseaux autres que ceux par défaut ont l'attribut d'adressage IPv4 public défini sur`false`, sauf s'il a été créé par l'assistant d'instance de EC2 lancement d'Amazon. Dans ce cas, l'attribut est défini sur`true`.
Après le lancement, vous ne pouvez pas dissocier manuellement une IPv4 adresse publique de votre instance.
Pour remédier à un échec de détection, vous devez lancer un nouveau cluster dans un VPC avec un sous-réseau privé dont l'attribut d'adressage public est IPv4 défini sur. `false` Pour obtenir des instructions, consultez la section [Lancer des clusters dans un VPC](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-vpc-launching-job-flows.html) dans le guide de gestion Amazon *EMR.*
## [EMR.2] Le paramètre de blocage de l'accès public à Amazon EMR doit être activé
**Exigences associées :** PCI DSS v4.0.1/1.4.4, NIST.800-53.r5 AC-2 1, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-3,, (21) NIST.800-53.r5 AC-4,,, NIST.800-53.r5 AC-4 (11) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
**Catégorie :** Protéger > Gestion des accès sécurisés > Ressource non accessible au public
**Gravité :** Critique
**Type de ressource :** `AWS::::Account`
**Règle AWS Config :** [emr-block-public-access](https://docs.aws.amazon.com/config/latest/developerguide/emr-block-public-access.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si votre compte est configuré pour bloquer l'accès public à Amazon EMR. Le contrôle échoue si le paramètre de blocage de l'accès public n'est pas activé ou si un port autre que le port 22 est autorisé.
Le blocage de l'accès public par Amazon EMR vous empêche de lancer un cluster dans un sous-réseau public si le cluster possède une configuration de sécurité qui autorise le trafic entrant depuis des adresses IP publiques sur un port. Lorsqu'un utilisateur de votre Compte AWS lance un cluster, Amazon EMR vérifie les règles de port du groupe de sécurité du cluster et les compare à vos règles de trafic entrant. Si le groupe de sécurité dispose d'une règle entrante qui ouvre des ports aux adresses IP publiques IPv4 0.0.0.0/0 ou IPv6 : :/0, et que ces ports ne sont pas spécifiés comme des exceptions pour votre compte, Amazon EMR n'autorise pas l'utilisateur à créer le cluster.
**Note**
Le blocage de l'accès public est activé par défaut. Pour améliorer la protection du compte, nous vous recommandons de le laisser activé.
### Correction
Pour configurer le blocage de l'accès public pour Amazon EMR, consultez la section Utilisation de l'accès [public bloqué par Amazon EMR dans le guide de gestion](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-block-public-access.html) Amazon *EMR*.
## [EMR.3] Les configurations de sécurité Amazon EMR doivent être chiffrées au repos
**Exigences connexes :** NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CP-9 (8), NIST.800-53.R5 SI-12
**Catégorie :** Protéger > Protection des données > Chiffrement de data-at-rest
**Gravité :** Moyenne
**Type de ressource :** `AWS::EMR::SecurityConfiguration`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/emr-security-configuration-encryption-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/emr-security-configuration-encryption-rest.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si le chiffrement au repos est activé dans une configuration de sécurité Amazon EMR. Le contrôle échoue si la configuration de sécurité n'active pas le chiffrement au repos.
Les données au repos font référence aux données stockées dans un stockage persistant et non volatil pendant une durée quelconque. Le chiffrement des données au repos vous permet de protéger leur confidentialité, ce qui réduit le risque qu'un utilisateur non autorisé puisse y accéder.
### Correction
Pour activer le chiffrement au repos dans une configuration de sécurité Amazon EMR, consultez la section [Configurer le chiffrement des données dans le](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-create-security-configuration.html#emr-security-configuration-encryption.html) guide de gestion Amazon *EMR.*
## [EMR.4] Les configurations de sécurité d'Amazon EMR doivent être cryptées pendant le transport
**Exigences connexes :** NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-7 (4) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 (1), NIST.800-53.r5 SC-8 (2), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 3, NIST.800-53.r5 SC-2 3 (3)
**Catégorie :** Protéger > Protection des données > Chiffrement de data-in-transit
**Gravité :** Moyenne
**Type de ressource :** `AWS::EMR::SecurityConfiguration`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/emr-security-configuration-encryption-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/emr-security-configuration-encryption-transit.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si le chiffrement en transit est activé dans une configuration de sécurité Amazon EMR. Le contrôle échoue si la configuration de sécurité n'active pas le chiffrement en transit.
Les données en transit font référence aux données qui se déplacent d'un emplacement à un autre, par exemple entre les nœuds de votre cluster ou entre votre cluster et votre application. Les données peuvent circuler sur Internet ou au sein d'un réseau privé. Le chiffrement des données en transit réduit le risque qu'un utilisateur non autorisé puisse espionner le trafic réseau.
### Correction
Pour activer le chiffrement en transit dans une configuration de sécurité Amazon EMR, consultez la section [Configurer le chiffrement des données dans le](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-create-security-configuration.html#emr-security-configuration-encryption.html) guide de gestion Amazon *EMR.*