View a markdown version of this page

Amazon Athena 的 Security Hub CSPM 控制項 - AWSSecurity Hub

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Amazon Athena 的 Security Hub CSPM 控制項

這些AWS Security Hub CSPM控制項會評估 Amazon Athena 服務和資源。控制項可能無法全部使用AWS 區域。如需詳細資訊,請參閱依區域的控制項可用性

【Athena.1】 Athena 工作群組應靜態加密

重要

Security Hub CSPM 已於 2024 年 4 月淘汰此控制項。如需詳細資訊,請參閱Security Hub CSPM 控制項的變更日誌

類別:保護 ‒ 資料保護 ‒ 靜態資料加密

相關要求:NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-3(6)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-28、NIST.800-53.r5 SC-28(1)、NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SI-7(6)

嚴重性:

資源類型: AWS::Athena::WorkGroup

AWS Config 規則:athena-workgroup-encrypted-at-rest

排程類型:變更已觸發

參數:

此控制項會檢查 Athena 工作群組是否靜態加密。如果 Athena 工作群組未靜態加密,則控制項會失敗。

在 Athena 中,您可以建立工作群組,以執行團隊、應用程式或不同工作負載的查詢。每個工作群組都有一個設定,可在所有查詢上啟用加密。您可以選擇搭配 Amazon Simple Storage Service (Amazon S3) 受管金鑰使用伺服器端加密、搭配 AWS Key Management Service(AWS KMS) 金鑰使用伺服器端加密,或搭配客戶受管 KMS 金鑰使用用戶端加密。靜態資料是指在任何期間存放在持久性、非揮發性儲存體中的任何資料。加密可協助您保護此類資料的機密性,降低未經授權的使用者可存取資料的風險。

修補

若要啟用 Athena 工作群組的靜態加密,請參閱《Amazon Athena 使用者指南》中的編輯工作群組。在查詢結果組態區段中,選取加密查詢結果

【Athena.2】 應標記 Athena 資料目錄

類別:識別 > 庫存 > 標記

嚴重性:

資源類型: AWS::Athena::DataCatalog

AWS Configrule:tagged-athena-datacatalog(自訂 Security Hub CSPM 規則)

排程類型:變更已觸發

參數:

參數 Description (描述) Type 允許自訂值 Security Hub CSPM 預設值
requiredTagKeys 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 StringList (最多 6 個項目) 1–6 個符合AWS要求的標籤金鑰。 No default value

此控制項會檢查 Amazon Athena 資料目錄是否具有具有參數 中定義之特定金鑰的標籤requiredTagKeys。如果資料目錄沒有任何標籤索引鍵,或沒有參數 中指定的所有索引鍵,則控制項會失敗requiredTagKeys。如果requiredTagKeys未提供 參數,則控制項只會檢查標籤索引鍵是否存在,如果資料目錄未標記任何索引鍵,則 會失敗。系統會aws:忽略自動套用並以 開頭的系統標籤。

標籤是您指派給AWS資源的標籤,由索引鍵和選用值組成。您可建立標籤,以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的當責資源擁有者。使用標記時,您可以實作屬性型存取控制 (ABAC) 做為授權策略,以根據標籤定義許可。您可以將標籤連接至 IAM 實體 (使用者或角色) 和 AWS資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策,以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊,請參閱什麼是 ABACAWS? IAM 使用者指南中的 。

注意

請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤AWS 服務,包括 AWS Billing。如需更多標記最佳實務,請參閱《》中的標記您的 AWS資源AWS 一般參考

修補

若要將標籤新增至 Athena 資料目錄,請參閱《Amazon Athena Athena 使用者指南》中的標記 Athena 資源

【Athena.3】 應標記 Athena 工作群組

類別:識別 > 庫存 > 標記

嚴重性:

資源類型: AWS::Athena::WorkGroup

AWS Configrule:tagged-athena-workgroup(自訂 Security Hub CSPM 規則)

排程類型:已觸發變更

參數:

參數 Description (描述) Type 允許自訂值 Security Hub CSPM 預設值
requiredTagKeys 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 StringList (最多 6 個項目) 1–6 個符合AWS要求的標籤金鑰。 No default value

此控制項會檢查 Amazon Athena 工作群組是否具有具有參數 中定義之特定金鑰的標籤requiredTagKeys。如果工作群組沒有任何標籤索引鍵,或沒有參數 中指定的所有索引鍵,則控制項會失敗requiredTagKeys。如果requiredTagKeys未提供 參數,則控制項只會檢查標籤索引鍵是否存在,如果工作群組未標記任何索引鍵,則 控制會失敗。系統會aws:忽略自動套用並以 開頭的系統標籤。

標籤是您指派給AWS資源的標籤,由索引鍵和選用值組成。您可建立標籤,以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的當責資源擁有者。使用標記時,您可以實作屬性型存取控制 (ABAC) 做為授權策略,以根據標籤定義許可。您可以將標籤連接至 IAM 實體 (使用者或角色) 和 AWS資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策,以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊,請參閱什麼是 ABACAWS? IAM 使用者指南中的 。

注意

請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤AWS 服務,包括 AWS Billing。如需更多標記最佳實務,請參閱《》中的標記您的 AWS資源AWS 一般參考

修補

若要將標籤新增至 Athena 工作群組,請參閱《Amazon Athena 使用者指南》中的在個別工作群組上新增和刪除標籤

【Athena.4】 Athena 工作群組應該已啟用記錄

類別:識別 > 記錄日誌

嚴重性:

資源類型: AWS::Athena::WorkGroup

AWS Config 規則:athena-workgroup-logging-enabled

排程類型:已觸發變更

參數:

此控制項會檢查 Amazon Athena 工作群組是否已啟用記錄。如果工作群組未啟用記錄,則控制項會失敗。

稽核日誌會追蹤和監控系統活動。它們提供事件的記錄,可協助您偵測安全漏洞、調查事件並遵守法規。稽核日誌也會增強組織的整體責任和透明度。

修補

如需有關啟用 Athena 工作群組記錄的資訊,請參閱《Amazon Athena 使用者指南》中的在 Athena 中啟用 CloudWatch 查詢指標