Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Controlli Security Hub per AWS Glue
Questi AWS Security Hub controlli valutano il AWS Glue servizio e le risorse.
Questi controlli potrebbero non essere disponibili tutti Regioni AWS. Per ulteriori informazioni, consulta Disponibilità dei controlli per regione.
[Glue.1] i AWS Glue lavori devono essere etichettati
Categoria: Identificazione > Inventario > Etichettatura
Gravità: bassa
Tipo di risorsa: AWS::Glue::Job
AWS Config regola: tagged-glue-job (regola Security Hub personalizzata)
Tipo di pianificazione: modifica attivata
Parametri:
| Parametro | Descrizione | Tipo | Valori personalizzati consentiti | Valore predefinito di Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. Le chiavi dei tag prevedono una distinzione tra lettere maiuscole e minuscole. | StringList | Elenco di tag che soddisfano i requisiti AWS | Nessun valore predefinito |
Questo controllo verifica se un AWS Glue lavoro ha tag con le chiavi specifiche definite nel parametrorequiredTagKeys. Il controllo fallisce se il lavoro non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametrorequiredTagKeys. Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il lavoro non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A cosa serve ABAC? AWS nella Guida per l'utente di IAM.
Nota
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta Taggare le AWS risorse in. Riferimenti generali di AWS
Correzione
Per aggiungere tag a un AWS Glue lavoro, consulta i AWS tag AWS Glue nella Guida per l'AWS Glue utente.
[Glue.3] le trasformazioni di apprendimento AWS Glue automatico devono essere crittografate a riposo
Categoria: Proteggi > Protezione dei dati > Crittografia di data-at-rest
Gravità: media
Tipo di risorsa: AWS::Glue::MLTransform
Regola AWS Config : glue-ml-transform-encrypted-at-rest
Tipo di pianificazione: modifica attivata
Parametri: No
Questo controllo verifica se una trasformazione di AWS Glue machine learning è crittografata quando è inattiva. Il controllo fallisce se la trasformazione dell'apprendimento automatico non è crittografata a riposo.
I dati inattivi si riferiscono ai dati archiviati in uno storage persistente e non volatile per qualsiasi durata. La crittografia dei dati inutilizzati consente di proteggerne la riservatezza, riducendo il rischio che un utente non autorizzato possa accedervi.
Correzione
Per configurare la crittografia per le trasformazioni dell'apprendimento AWS Glue automatico, consulta Lavorare con le trasformazioni dell'apprendimento automatico nella Guida per l'utente.AWS Glue
[Glue.4] I job AWS Glue Spark dovrebbero essere eseguiti su versioni supportate di AWS Glue
Requisiti correlati: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 SI-2, NIST.800-53.r5 SI-2 (2), NIST.800-53.r5 SI-2 (4), NIST.800-53.r5 SI-2 (5)
Categoria: Identificazione > Gestione di vulnerabilità, patch e versioni
Gravità: media
Tipo di risorsa: AWS::Glue::Job
Regola AWS Config : glue-spark-job-supported-version
Tipo di pianificazione: modifica attivata
Parametri:minimumSupportedGlueVersion: 3.0 (non personalizzabile)
Questo controllo verifica se un job AWS Glue for Spark è configurato per l'esecuzione su una versione supportata di AWS Glue. Il controllo fallisce se il job Spark è configurato per l'esecuzione su una versione precedente alla versione minima supportata. AWS Glue
L'esecuzione dei job AWS Glue Spark sulle versioni correnti di AWS Glue può ottimizzare le prestazioni, la sicurezza e l'accesso alle funzionalità più recenti di. AWS Glue Può anche aiutare a proteggere dalle vulnerabilità di sicurezza. Ad esempio, potrebbe essere rilasciata una nuova versione per fornire aggiornamenti di sicurezza, risolvere problemi o introdurre nuove funzionalità.
Correzione
Per informazioni sulla migrazione di un job Spark a una versione supportata di AWS Glue, consulta Migrating AWS Glue for Spark jobs nella Guida per l'utente.AWS Glue
