本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Athena 的 Security Hub 控制項
這些 Security Hub 控制項會評估 Amazon Athena 的服務和資源。
這些控件可能無法在所有人中使用 AWS 區域。 如需詳細資訊,請參閱各區域控制項的可用性。
[Athena.1] Athena 工作群組應在靜態時加密
重要
安全中心於 2024 年 4 月淘汰此控制項。如需詳細資訊,請參閱變更 Security Hub 控制項的日誌。
類別:保護 ‒ 資料保護 ‒ 靜態資料加密
相關要求: NIST.800-53.r5 CA-9(一)、 NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1三、 NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-2八、NIST八 NIST.800-53.r5 SC-7 (一)、(十)、
嚴重性:中
資源類型:AWS::Athena::WorkGroup
AWS Config 規則:athena-workgroup-encrypted-at-rest
排程類型:已觸發變更
參數:無
此控制項會檢查 Athena 工作群組是否已靜態加密。如果 Athena 工作群組在靜態時未加密,則控制項會失敗。
在 Athena 中,您可以建立工作群組來執行團隊、應用程式或不同工作負載的查詢。每個工作群組都具有對所有查詢啟用加密的設定。您可以選擇使用伺服器端加密搭配 Amazon Simple Storage Service (Amazon S3) 受管金鑰、伺服器端加密 AWS Key Management Service (AWS KMS) 金鑰,或使用客戶管理KMS金鑰進行用戶端加密。靜態數據是指任何持續時間存儲在持久性非易失性存儲中的任何數據。加密可協助您保護此類資料的機密性,降低未經授權的使用者存取資料的風險。
修補
若要為 Athena 工作群組啟用靜態加密,請參閱 Amazon Athena 使用者指南中的編輯工作群組。在 [查詢結果組態] 區段中,選取 [加密查詢結果]。
[Athena。2] Athena 資料目錄應加上標籤
類別:識別 > 庫存 > 標籤
嚴重性:低
資源類型:AWS::Athena::DataCatalog
AWS Config 規則:tagged-athena-datacatalog(自訂 Security Hub 規則)
排程類型:已觸發變更
參數:
| 參數 | Description (描述) | Type | 允許的自訂值 | Security Hub 預設值 |
|---|---|---|---|---|
requiredTagKeys
|
評估資源必須包含的非系統標籤鍵清單。標籤鍵會區分大小寫。 | StringList | 符合的標籤列表 AWS 要求 |
No default value
|
此控制項會檢查 Amazon Athena 資料目錄是否具有標籤,其中包含參數中定義的特定金鑰requiredTagKeys。如果資料目錄沒有任何標籤索引鍵,或者控制項沒有在參數中指定的所有索引鍵,則控制項會失敗requiredTagKeys。如果requiredTagKeys未提供參數,控制項只會檢查標籤金鑰是否存在,如果資料目錄未使用任何索引鍵加上標籤,則會失敗。系統標籤 (自動套用並以aws:開頭) 會被忽略。
標籤是您指派給標籤的標籤 AWS 資源,它由一個鍵和一個可選值。您可建立標籤,依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、整理、搜尋和篩選資源。標記也可協助您追蹤可負責資源擁有者的動作和通知。使用標記時,您可以實作以屬性為基礎的存取控制 (ABAC) 作為授權策略,該策略會根據標籤定義權限。您可以將標籤附加至IAM實體 (使用者或角色),以及 AWS 的費用。您可以為IAM主參與者建立單一ABAC原則或個別的原則集。您可以設計這些ABAC原則,以便在主參與者的標籤符合資源標籤時允許作業。如需詳細資訊,請參閱用ABAC途 AWS? 在《IAM使用者指南》中。
注意
不要在標籤中添加個人身份信息(PII)或其他機密或敏感信息。許多人都可以訪問標籤 AWS 服務,包括 AWS Billing。 如需更多標記最佳做法,請參閱標記您的 AWS中的資源 AWS 一般參考.
修補
若要將標籤新增至 Athena 資料目錄,請參閱 Amazon Athena 使用者指南中的標記 Athena 資源。
[Athena .3] Athena 工作組應該被標記
類別:識別 > 庫存 > 標籤
嚴重性:低
資源類型:AWS::Athena::WorkGroup
AWS Config 規則:tagged-athena-workgroup(自訂 Security Hub 規則)
排程類型:已觸發變更
參數:
| 參數 | Description (描述) | Type | 允許的自訂值 | Security Hub 預設值 |
|---|---|---|---|---|
requiredTagKeys
|
評估資源必須包含的非系統標籤鍵清單。標籤鍵會區分大小寫。 | StringList | 符合的標籤列表 AWS 要求 |
No default value
|
此控制項會檢查 Amazon Athena 工作群組是否具有標籤,其中包含參數中定義的特定金鑰requiredTagKeys。如果工作群組沒有任何標籤鍵,或者沒有在參數中指定的所有索引鍵,則控制項會失敗requiredTagKeys。如果requiredTagKeys未提供參數,控制項只會檢查標籤金鑰是否存在,如果工作群組未使用任何金鑰加上標籤,則會失敗。系統標籤 (自動套用並以aws:開頭) 會被忽略。
標籤是您指派給標籤的標籤 AWS 資源,它由一個鍵和一個可選值。您可建立標籤,依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、整理、搜尋和篩選資源。標記也可協助您追蹤可負責資源擁有者的動作和通知。使用標記時,您可以實作以屬性為基礎的存取控制 (ABAC) 作為授權策略,該策略會根據標籤定義權限。您可以將標籤附加至IAM實體 (使用者或角色),以及 AWS 的費用。您可以為IAM主參與者建立單一ABAC原則或個別的原則集。您可以設計這些ABAC原則,以便在主參與者的標籤符合資源標籤時允許作業。如需詳細資訊,請參閱用ABAC途 AWS? 在《IAM使用者指南》中。
注意
不要在標籤中添加個人身份信息(PII)或其他機密或敏感信息。許多人都可以訪問標籤 AWS 服務,包括 AWS Billing。 如需更多標記最佳做法,請參閱標記您的 AWS中的資源 AWS 一般參考.
修補
若要將標籤新增至 Athena 工作群組,請參閱 Amazon Athena 使用者指南中的在個別工作群組上新增和刪除標籤。
[Athena.4] Athena 工作群組應啟用記錄功能
類別:識別 > 記錄日誌
嚴重性:中
資源類型:AWS::Athena::WorkGroup
AWS Config 規則:athena-workgroup-logging-enabled
排程類型:已觸發變更
參數:無
此控制項可檢查 Amazon Athena 工作群組是否將使用指標發佈給 Amazon CloudWatch。如果工作群組未將使用量度發佈至,則控制項會失敗 CloudWatch。
稽核記錄會追蹤和監控系統活動。它們提供事件記錄,可協助您偵測安全漏洞、調查事件並遵守法規。稽核記錄還可增強組織的整體責任感和透明度。
修補
若要啟用或停用 Athena 工作群組的查詢指標,請參閱 Amazon Athena 使用者指南中的啟用 Athena 中的 CloudWatch 查詢指標。
