翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon EMR の Security Hub コントロール
これらの AWS Security Hub コントロールは、Amazon EMR (以前は Amazon Elastic MapReduce と呼ばれていました) サービスとリソースを評価します。
これらのコントロールは、一部の で使用できない場合があります AWS リージョン。詳細については、「リージョン別のコントロールの可用性」を参照してください。
[EMR.1] Amazon EMR クラスタープライマリノードは、パブリック IP アドレスを未設定にする必要があります
関連する要件: PCI DSS v3.2.1/1.2.1、PCI DSS v3.2.1/1.3.1、PCI DSS v3.2.1/1.3.2、PCI DSS v3.2.1/1.3.4、PCI DSS v3.2.1/1.3.6、PCI DSS v4.0.1/1.4.4、NIST.800-53.r5 AC-21、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7
カテゴリ: 保護 > セキュアなネットワーク設定
重要度: 高
リソースタイプ : AWS::EMR::Cluster
AWS Config ルール : emr-master-no-public-ip
スケジュールタイプ: 定期的
パラメータ: なし
このコントロールは、Amazon EMR クラスターのマスターノードにパブリック IP アドレスが設定されているかどうかをチェックします。マスターノードインスタンスのいずれかにパブリック IP アドレスが関連付けられている場合、コントロールは失敗します。
パブリック IP アドレスは、インスタンスの NetworkInterfaces 設定の PublicIp フィールドで指定されます。このコントロールは、RUNNING または WAITING 状態にある Amazon EMR クラスターのみをチェックします。
修正
起動中に、デフォルトサブネットまたはデフォルト以外のサブネット内のインスタンスがパブリック IPv4 アドレスを割り当てられるかどうかをコントロールできます。デフォルトでは、デフォルトサブネットのこの属性は true に設定されています。Amazon EC2 起動インスタンスウィザードによって作成された場合を除き、デフォルト以外のサブネットで IPv4 パブリックアドレス属性は false に設定されています。その場合、属性は true に設定されます。
起動後に、インスタンスからパブリック IPv4 アドレスの割り当てを手動で解除することはできません。
失敗した検出結果を修正するには、IPv4 パブリックアドレス属性が false に設定されているプライベートサブネットを使用して、VPC で新しいクラスターを起動する必要があります。手順については、「Amazon EMR 管理ガイド」の「VPC でクラスターを起動する」を参照してください。
[EMR.2] Amazon EMR ブロックパブリックアクセス設定を有効にする必要があります
関連する要件: PCI DSS v4.0.1/1.4.4、NIST.800-53.r5 AC-21、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 AC-6、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(2 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-70
カテゴリ: 保護 > セキュアなアクセス管理 > パブリックアクセスが不可能なリソース
重要度: 非常事態
リソースタイプ : AWS::::Account
AWS Config ルール : emr-block-public-access
スケジュールタイプ: 定期的
パラメータ : なし
このコントロールは、アカウントに Amazon EMR ブロックパブリックアクセスが設定されているかどうかをチェックします。ブロックパブリックアクセス設定が有効になっていない場合、またはポート 22 以外のポートが許可されている場合、コントロールは失敗します。
Amazon EMR のブロックパブリックアクセスは、クラスターのセキュリティ設定でポートのパブリック IP アドレスからのインバウンドトラフィックが許可されている場合に、ユーザーがパブリックサブネットでクラスターを起動するのを防止します。 AWS アカウント のユーザーがクラスターを起動すると、Amazon EMR はクラスターのセキュリティグループのポートルールをチェックし、インバウンドトラフィックルールと比較します。セキュリティグループに、パブリック IP アドレス IPv4 0.0.0.0/0 または IPv6 ::/0 に対してポートを開くインバウンドルールがあり、それらのポートがアカウントで適切に指定されていない場合、Amazon EMR はユーザーにクラスターの作成を許可しません。
注記
ブロックパブリックアクセスはデフォルトで有効になっています。アカウントの保護を強化するには、これを有効のままにしておくことが推奨されます。
修正
Amazon EMR のブロックパブリックアクセスを設定するには、「Amazon EMR 管理ガイド」の「Amazon EMR のパブリックアクセスブロックの使用」を参照してください。
[EMR.3] Amazon EMR セキュリティ設定は保管時に暗号化する必要があります
カテゴリ: 保護 > データ保護 > 保管中のデータの暗号化
重要度: 中
リソースタイプ : AWS::EMR::SecurityConfiguration
AWS Config ルール : emr-security-configuration-encryption-rest
スケジュールタイプ: 変更がトリガーされた場合
パラメータ : なし
このコントロールは、Amazon EMR セキュリティ設定が保管中に暗号化されているかどうかを確認します。セキュリティ設定が保管時に暗号化されていない場合、コントロールは失敗します。
保管中のデータとは、永続的な不揮発性ストレージに任意の期間保管されているデータを指します。保管中のデータを暗号化すると、その機密性が保護され、権限のないユーザーがアクセスするリスクが低減されます。
修正
保管中の Amazon EMR セキュリティ設定を暗号化するには、「Amazon EMR 管理ガイド」の「データ暗号化の設定」を参照してください。
[EMR.4] Amazon EMR セキュリティ設定は転送中に暗号化する必要があります
カテゴリ: 保護 > データ保護 > 転送中のデータの暗号化
重要度: 中
リソースタイプ : AWS::EMR::SecurityConfiguration
AWS Config ルール : emr-security-configuration-encryption-transit
スケジュールタイプ: 変更がトリガーされた場合
パラメータ : なし
このコントロールは、Amazon EMR セキュリティ設定が転送中に暗号化されているかどうかをチェックします。セキュリティ設定が転送中に暗号化されていない場合、コントロールは失敗します。
転送中のデータとは、クラスター内のノード間やクラスターとアプリケーション間など、ある場所から別の場所に移動するデータを指します。データはインターネット内またはプライベートネットワーク内を移動する場合があります。転送中のデータを暗号化することで、権限のないユーザーがネットワークトラフィックを盗聴するリスクが軽減されます。
修正
転送中の Amazon EMR セキュリティ設定を暗号化するには、「Amazon EMR 管理ガイド」の「データ暗号化の設定」を参照してください。
