Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Kontrol Security Hub untuk AWS Glue

Ini AWS Security Hub kontrol mengevaluasi AWS Glue layanan dan sumber daya.

Kontrol ini mungkin tidak tersedia di semua Wilayah AWS Untuk informasi selengkapnya, lihat Ketersediaan kontrol berdasarkan Wilayah.

[Lem. 1] AWS Glue pekerjaan harus diberi tag

Kategori: Identifikasi > Inventaris > Penandaan

Tingkat keparahan: Rendah

Jenis sumber daya: AWS::Glue::Job

AWS Config aturan: tagged-glue-job (aturan Security Hub khusus)

Jenis jadwal: Perubahan dipicu

Parameter:

Kontrol ini memeriksa apakah AWS Glue job memiliki tag dengan kunci spesifik yang ditentukan dalam parameterrequiredTagKeys. Kontrol gagal jika pekerjaan tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameterrequiredTagKeys. Jika parameter requiredTagKeys tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika pekerjaan tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai denganaws:, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan terdiri dari kunci dan nilai opsional. Anda dapat membuat tag untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke IAM entitas (pengguna atau peran) dan AWS sumber daya. Anda dapat membuat satu ABAC kebijakan atau serangkaian kebijakan terpisah untuk IAM prinsipal Anda. Anda dapat mendesain ABAC kebijakan ini untuk mengizinkan operasi ketika tag prinsipal cocok dengan tag sumber daya. Untuk informasi selengkapnya, lihat ABAC Untuk apa AWS? dalam IAMUser Guide.

Remediasi

Untuk menambahkan tag ke AWS Glue pekerjaan, lihat AWS tag di AWS Gluedi AWS Glue Panduan Pengguna.

[Lem. 2] AWS Glue pekerjaan harus mengaktifkan pencatatan

Kategori: Identifikasi > Logging

Tingkat keparahan: Sedang

Jenis sumber daya: AWS::Glue::Job

AWS Config aturan: glue-job-logging-enabled

Jenis jadwal: Perubahan dipicu

Parameter: Tidak

Kontrol ini memeriksa apakah AWS Glue pekerjaan telah mengaktifkan pencatatan. Kontrol gagal jika pekerjaan tidak mengaktifkan logging.

Log audit melacak dan memantau aktivitas sistem. Mereka menyediakan catatan peristiwa yang dapat membantu Anda mendeteksi pelanggaran keamanan, menyelidiki insiden, dan mematuhi peraturan. Log audit juga meningkatkan akuntabilitas dan transparansi organisasi Anda secara keseluruhan.

Remediasi

Untuk mengaktifkan pencatatan berkelanjutan untuk yang sudah ada AWS Glue pekerjaan, lihat Mengaktifkan logging berkelanjutan untuk AWS Glue pekerjaan di AWS Glue Panduan Pengguna.

[Lem. 3] AWS Glue transformasi pembelajaran mesin harus dienkripsi saat istirahat

Kategori: Lindungi > Perlindungan Data > Enkripsi data-at-rest

Tingkat keparahan: Sedang

Jenis sumber daya: AWS::Glue::MLTransform

AWS Config aturan: glue-ml-transform-encrypted-at-rest

Jenis jadwal: Perubahan dipicu

Parameter: Tidak

Kontrol ini memeriksa apakah AWS Glue transformasi pembelajaran mesin dienkripsi saat istirahat. Kontrol gagal jika transformasi pembelajaran mesin tidak dienkripsi saat istirahat.

Data saat istirahat mengacu pada data yang disimpan dalam penyimpanan persisten dan tidak mudah menguap untuk durasi berapa pun. Mengenkripsi data saat istirahat membantu Anda melindungi kerahasiaannya, yang mengurangi risiko bahwa pengguna yang tidak sah dapat mengaksesnya.

Remediasi

Untuk mengkonfigurasi enkripsi untuk AWS Glue pembelajaran mesin berubah, lihat Bekerja dengan transformasi pembelajaran mesin di AWS Glue Panduan Pengguna.