As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Controles do Security Hub para Athena

Esses controles do Security Hub avaliam o serviço e os recursos do Amazon Athena.

Esses controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte Disponibilidade de controles por região.

[Athena.1] Os grupos de trabalho do Athena devem ser criptografados em repouso

Categoria: Proteger > Proteção de dados > Criptografia de dados em repouso

Requisitos relacionados: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST .800-53.r5 SI-7 (6)

Severidade: média

Tipo de recurso: AWS::Athena::WorkGroup

Regra do AWS Config : athena-workgroup-encrypted-at-rest

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se um grupo de trabalho do Athena está criptografado em repouso. Esse controle falha se um grupo de trabalho do Athena não estiver criptografado em repouso.

No Athena, você pode criar grupos de trabalho para executar consultas para equipes, aplicativos ou workloads diferentes. Cada grupo de trabalho tem uma configuração para ativar a criptografia em todas as consultas. Você tem a opção de usar criptografia do lado do servidor com chaves gerenciadas do Amazon Simple Storage Service (Amazon S3), criptografia do lado do servidor com chaves AWS KMS() ou criptografia do lado do cliente AWS Key Management Service com chaves gerenciadas pelo cliente. KMS Dados em repouso se referem a qualquer dado armazenado em armazenamento persistente e não volátil por qualquer período. A criptografia ajuda a proteger a confidencialidade desses dados, reduzindo o risco de que um usuário não autorizado possa acessá-los.

Correção

Para habilitar a criptografia em repouso para grupos de trabalho do Athena, consulte Editar um grupo de trabalho no Guia do usuário do Amazon Athena. Na seção Configuração do resultado da consulta, selecione Criptografar resultados da consulta.

[Athena.2] Os catálogos de dados do Athena devem ser marcados

Categoria: Identificar > Inventário > Marcação

Severidade: baixa

Tipo de recurso: AWS::Athena::DataCatalog

Regra AWS Config : tagged-athena-datacatalog (regra personalizada do Security Hub)

Tipo de programação: acionado por alterações

Parâmetros:

Esse controle verifica se um catálogo de dados do Amazon Athena tem tags com as chaves específicas definidas no parâmetro. requiredTagKeys O controle falhará se o catálogo de dados não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetrorequiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle só verificará a existência de uma chave de tag e falhará se o catálogo de dados não estiver marcado com nenhuma chave. As tags do sistema, que são aplicadas automaticamente e começam comaws:, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. Você pode criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar a marcação, você pode implementar o controle de acesso baseado em atributos (ABAC) como uma estratégia de autorização, que define as permissões com base nas tags. Você pode anexar tags a IAM entidades (usuários ou funções) e a AWS recursos. Você pode criar uma única ABAC política ou um conjunto separado de políticas para seus IAM diretores. Você pode criar essas ABAC políticas para permitir operações quando a tag do diretor corresponder à tag do recurso. Para obter mais informações, consulte ABACPara que serve AWS? no Guia do IAM usuário.

Correção

Para adicionar tags a um catálogo de dados do Athena, consulte Como marcar recursos do Athena no Guia do usuário do Amazon Athena.

[Athena.3] Os grupos de trabalho do Athena devem ser marcados

Categoria: Identificar > Inventário > Marcação

Severidade: baixa

Tipo de recurso: AWS::Athena::WorkGroup

Regra AWS Config : tagged-athena-workgroup (regra personalizada do Security Hub)

Tipo de programação: acionado por alterações

Parâmetros:

Esse controle verifica se um grupo de trabalho do Amazon Athena tem tags com as chaves específicas definidas no parâmetro. requiredTagKeys O controle falhará se o grupo de trabalho não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetrorequiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle só verificará a existência de uma chave de tag e falhará se o grupo de trabalho não estiver marcado com nenhuma chave. As tags do sistema, que são aplicadas automaticamente e começam comaws:, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. Você pode criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar a marcação, você pode implementar o controle de acesso baseado em atributos (ABAC) como uma estratégia de autorização, que define as permissões com base nas tags. Você pode anexar tags a IAM entidades (usuários ou funções) e a AWS recursos. Você pode criar uma única ABAC política ou um conjunto separado de políticas para seus IAM diretores. Você pode criar essas ABAC políticas para permitir operações quando a tag do diretor corresponder à tag do recurso. Para obter mais informações, consulte ABACPara que serve AWS? no Guia do IAM usuário.

Correção

Para adicionar tags a um grupo de trabalho do Athena, consulte Adicionar e excluir tags em um grupo de trabalho individual no Guia do usuário do Amazon Athena.