Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Controlli CSPM Security Hub per AWS Glue
Questi AWS Security Hub CSPM controlli valutano il AWS Glue servizio e le risorse. I controlli potrebbero non essere disponibili in tutti Regioni AWS. Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).
## [Glue.1] i AWS Glue lavori devono essere etichettati
**Categoria:** Identificazione > Inventario > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::Glue::Job`
**AWS Config regola:** `tagged-glue-job` (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: modifica attivata**
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | Nessun valore predefinito |
Questo controllo verifica se un AWS Glue job ha tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo fallisce se il lavoro non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredTagKeys`. Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il lavoro non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice in materia di etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*
### Correzione
Per aggiungere tag a un AWS Glue lavoro, consulta i [AWS tag AWS Glue nella Guida](https://docs.aws.amazon.com/glue/latest/dg/monitor-tags.html) per l'*AWS Glue utente*.
## [Glue.3] le trasformazioni di apprendimento AWS Glue automatico devono essere crittografate a riposo
**Categoria:** Proteggi > Protezione dei dati > Crittografia di data-at-rest
**Gravità:** media
**Tipo di risorsa:** `AWS::Glue::MLTransform`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/glue-ml-transform-encrypted-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/glue-ml-transform-encrypted-at-rest.html)
**Tipo di pianificazione:** modifica attivata
**Parametri: No**
Questo controllo verifica se una trasformazione di AWS Glue machine learning è crittografata quando è inattiva. Il controllo fallisce se la trasformazione dell'apprendimento automatico non è crittografata a riposo.
I dati inattivi si riferiscono ai dati archiviati in uno storage persistente e non volatile per qualsiasi durata. La crittografia dei dati inutilizzati consente di proteggerne la riservatezza, riducendo il rischio che un utente non autorizzato possa accedervi.
### Correzione
*Per configurare la crittografia per le trasformazioni dell'apprendimento AWS Glue automatico, consulta [Lavorare con le trasformazioni dell'apprendimento automatico](https://docs.aws.amazon.com/glue/latest/dg/console-machine-learning-transforms.html) nella Guida per l'utente.AWS Glue *
## [Glue.4] I job AWS Glue Spark dovrebbero essere eseguiti su versioni supportate di AWS Glue
**Requisiti correlati:** NIST.800-53.r5 CA-9 (1), nIST.800-53.r5 CM-2, NIST.800-53.r5 SI-2, NIST.800-53.r5 SI-2 (2), NIST.800-53.r5 SI-2 (4), NIST.800-53.r5 SI-2 (5)
**Categoria**: Identificazione > Gestione di vulnerabilità, patch e versioni
**Gravità:** media
**Tipo di risorsa:** `AWS::Glue::Job`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/glue-spark-job-supported-version.html](https://docs.aws.amazon.com/config/latest/developerguide/glue-spark-job-supported-version.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:**`minimumSupportedGlueVersion`: `3.0` (non personalizzabile)
Questo controllo verifica se un job AWS Glue for Spark è configurato per l'esecuzione su una versione supportata di AWS Glue. Il controllo fallisce se il job Spark è configurato per l'esecuzione su una versione precedente alla versione minima supportata. AWS Glue
**Nota**
Questo controllo genera anche una `FAILED` ricerca per un job AWS Glue for Spark se la proprietà AWS Glue version (`GlueVersion`) non esiste o è nulla nell'elemento di configurazione (CI) per il lavoro. In questi casi, la scoperta include la seguente annotazione:. `GlueVersion is null or missing in glueetl job configuration` Per risolvere questo tipo di `FAILED` ricerca, aggiungi la `GlueVersion` proprietà alla configurazione del lavoro. Per un elenco delle versioni e degli ambienti di runtime supportati, consulta [AWS Glue Versioni](https://docs.aws.amazon.com/glue/latest/dg/release-notes.html#release-notes-versions) nella *Guida AWS Glue per l'utente*.
L'esecuzione dei job AWS Glue Spark sulle versioni correnti di AWS Glue può ottimizzare le prestazioni, la sicurezza e l'accesso alle funzionalità più recenti di AWS Glue. Può anche aiutare a proteggere dalle vulnerabilità di sicurezza. Ad esempio, potrebbe essere rilasciata una nuova versione per fornire aggiornamenti di sicurezza, risolvere problemi o introdurre nuove funzionalità.
### Correzione
*Per informazioni sulla migrazione di un job Spark a una versione supportata di AWS Glue, consulta [Migrating AWS Glue for Spark jobs nella Guida per](https://docs.aws.amazon.com/glue/latest/dg/migrating-version-40.html) l'utente.AWS Glue *