の Security Hub コントロール AWS Glue - AWS Security Hub
[Glue.1] AWS Glue ジョブにはタグを付ける必要があります[Glue.2] AWS Glue ジョブではログ記録が有効になっている必要があります[Glue.3] AWS Glue 機械学習変換は保管時に暗号化する必要があります

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

の Security Hub コントロール AWS Glue

これら AWS Security Hub コントロールは を評価します AWS Glue サービスとリソース。

これらのコントロールは、すべての で利用できるとは限りません。 AWS リージョン。 詳細については、「」を参照してくださいリージョン別のコントロールの可用性

[Glue.1] AWS Glue ジョブにはタグを付ける必要があります

カテゴリ: 識別 > インベントリ > タグ付け

重要度:

リソースタイプ : AWS::Glue::Job

AWS Config ルール:tagged-glue-job (カスタム Security Hub ルール)

スケジュールタイプ : 変更がトリガーされた場合

パラメータ :

パラメータ 説明 [Type] (タイプ) 許可されているカスタム値 Security Hub のデフォルト値
requiredTagKeys 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは、大文字と小文字が区別されます。 StringList を満たすタグのリスト AWS の要件 デフォルト値なし

このコントロールは、 が AWS Glue ジョブには、パラメータ で定義された特定のキーを持つタグがありますrequiredTagKeys。ジョブにタグキーがない場合、またはパラメータ で指定されたすべてのキーがない場合、コントロールは失敗しますrequiredTagKeys。パラメータが指定されていない場合、コントロールrequiredTagKeysはタグキーの存在のみをチェックし、ジョブにキーがタグ付けされていない場合は失敗します。自動的に適用され、 で始まるシステムタグaws:は無視されます。

タグは、 に割り当てるラベルです。 AWS リソースは、キーとオプションの値で構成されます。タグを作成することで、リソースを目的、所有者、環境その他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。また、タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセスコントロール (ABAC) を実装できます。IAM エンティティ (ユーザーまたはロール) と にタグをアタッチできます。 AWS リソースの使用料金を見積もることができます。IAM プリンシパルには、単一のABACポリシーまたは個別のポリシーセットを作成できます。プリンシパルのタグがリソースタグと一致するときにオペレーションを許可するように、これらのABACポリシーを設計できます。詳細については、「 とはABAC」を参照してください。 AWSユーザーガイドの「」。 IAM

注記

個人を特定できる情報 (PII) やその他の機密情報や機密情報をタグに追加しないでください。タグには多くの がアクセスできます AWS のサービスを含む AWS Billing。 タグ付けのベストプラクティスの詳細については、「 のタグ付け」を参照してください。 AWS の リソース AWS 全般のリファレンス.

修正

にタグを追加するには AWS Glue ジョブ、「」を参照してください。 AWS のタグ AWS Glue ()AWS Glue ユーザーガイド

[Glue.2] AWS Glue ジョブではログ記録が有効になっている必要があります

カテゴリ: 識別 > ログ記録

重要度:

リソースタイプ : AWS::Glue::Job

AWS Config ルール: glue-job-logging-enabled

スケジュールタイプ: 変更がトリガーされた場合

パラメータ: いいえ

このコントロールは、 が AWS Glue ジョブではログ記録が有効になっています。ジョブでログ記録が有効になっていない場合、コントロールは失敗します。

監査ログは、システムアクティビティを追跡およびモニタリングします。セキュリティ違反の検出、インシデントの調査、および規制への準拠に役立つイベントの記録を提供します。監査ログは、組織の全体的な説明責任と透明性も強化します。

修正

既存の の継続的なログ記録を有効にするには AWS Glue ジョブ、「 の継続的なログ記録の有効化」を参照してください。 AWS Glue の ジョブ AWS Glue ユーザーガイド

[Glue.3] AWS Glue 機械学習変換は保管時に暗号化する必要があります

カテゴリ: 保護 > データ保護 > の暗号化 data-at-rest

重要度:

リソースタイプ : AWS::Glue::MLTransform

AWS Config ルール: glue-ml-transform-encrypted-at-rest

スケジュールタイプ: 変更がトリガーされた場合

パラメータ: いいえ

このコントロールは、 が AWS Glue 機械学習変換は保管時に暗号化されます。機械学習変換が保管中に暗号化されていない場合、コントロールは失敗します。

保管中のデータとは、永続的で不揮発性のストレージに任意の期間保存されるデータを指します。保管中のデータを暗号化すると、機密性が保護され、権限のないユーザーがデータにアクセスできるリスクが軽減されます。

修正

の暗号化を設定するには AWS Glue 機械学習変換、「」の「機械学習変換の使用」を参照してください。 AWS Glue ユーザーガイド