本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# Amazon EMR 的 Security Hub CSPM 控制項
這些 AWS Security Hub CSPM 控制項會評估 Amazon EMR (先前稱為 Amazon Elastic MapReduce) 服務和資源。控制項可能無法全部使用 AWS 區域。如需詳細資訊,請參閱[依區域的控制項可用性](securityhub-regions.md#securityhub-regions-control-support)。
## 【EMR.1】 Amazon EMR 叢集主節點不應具有公有 IP 地址
**相關要求:**PCI DSS v3.2.1/1.2.1、PCI DSS v3.2.1/1.3.1、PCI DSS v3.2.1/1.3.2、PCI DSS v3.2.1/1.3.4、PCI DSS v3.2.1/1.3.6、PCI DSS v4.0.1/1.4.4、NIST.800-53.r5 AC-21、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4)、NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7
**類別:**保護 > 安全網路組態
**嚴重性:**高
**資源類型:** `AWS::EMR::Cluster`
**AWS Config 規則:**[emr-master-no-public-ip](https://docs.aws.amazon.com/config/latest/developerguide/emr-master-no-public-ip.html)
**排程類型:**定期
**參數:**無
此控制項會檢查 Amazon EMR 叢集上的主節點是否具有公有 IP 地址。如果公有 IP 地址與任何主節點執行個體相關聯,則控制項會失敗。
公有 IP 地址是在執行個體`NetworkInterfaces`組態的 `PublicIp` 欄位中指定。此控制項只會檢查處於 `RUNNING`或 `WAITING` 狀態的 Amazon EMR 叢集。
### 修補
在啟動期間,您可以控制預設或非預設子網路中的執行個體是否已指派公有 IPv4 地址。根據預設,預設子網路會將此屬性設定為 `true`。非預設子網路的 IPv4 公有定址屬性設定為 `false`,除非是由 Amazon EC2 啟動執行個體精靈建立。在這種情況下, 屬性會設定為 `true`。
啟動後,您無法手動取消公有 IPv4 地址與執行個體的關聯。
若要修復失敗的問題清單,您必須在 VPC 中啟動新的叢集,其私有子網路的 IPv4 公有定址屬性設定為 `false`。如需指示,請參閱《*Amazon EMR 管理指南*》中的[在 VPC 中啟動叢集](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-vpc-launching-job-flows.html)。
## 【EMR.2】 應啟用 Amazon EMR 封鎖公開存取設定
**相關要求:**PCI DSS v4.0.1/1.4.4、NIST.800-53.r5 AC-21、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-4、NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 AC-6、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7
**類別:**保護 > 安全存取管理 > 資源不可公開存取
**嚴重性:**嚴重
**資源類型:** `AWS::::Account`
**AWS Config 規則:**[emr-block-public-access](https://docs.aws.amazon.com/config/latest/developerguide/emr-block-public-access.html)
**排程類型:**定期
**參數:**無
此控制項會檢查您的帳戶是否已設定 Amazon EMR 封鎖公開存取。如果未啟用封鎖公開存取設定,或允許連接埠 22 以外的任何連接埠,則控制項會失敗。
如果叢集具有允許來自連接埠上公有 IP 地址的傳入流量的安全組態,Amazon EMR 封鎖公有存取會阻止您在公有子網路中啟動叢集。在您的 AWS 帳戶 中的使用者啟動叢集時,Amazon EMR 會檢查叢集安全群組中的連接埠規則,並將其與您的傳入流量規則進行比較。如果安全群組具有開啟公有 IP 地址 IPv4 0.0.0.0/0 或 IPv6 ::/0 連接埠的傳入規則,且這些連接埠未指定為您帳戶的例外狀況,則 Amazon EMR 不會允許使用者建立叢集。
**注意**
預設為啟用封鎖公開存取。為了增強帳戶保護,建議您保持啟用狀態。
### 修補
若要設定 Amazon EMR 的封鎖公開存取,請參閱《[Amazon EMR 管理指南》中的使用 Amazon EMR 封鎖公開存取](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-block-public-access.html)。 **
## 【EMR.3】 Amazon EMR 安全組態應靜態加密
**相關需求:**NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CP-9(8)、NIST.800-53.r5 SI-12
**類別:**保護 > 資料保護 > data-at-rest加密
**嚴重性:**中
**資源類型:** `AWS::EMR::SecurityConfiguration`
**AWS Config 規則:**[https://docs.aws.amazon.com/config/latest/developerguide/emr-security-configuration-encryption-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/emr-security-configuration-encryption-rest.html)
**排程類型:**已觸發變更
**參數:**無
此控制項會檢查 Amazon EMR 安全組態是否已啟用靜態加密。如果安全組態未啟用靜態加密,則控制項會失敗。
靜態資料是指存放在持久性、非揮發性儲存體中任何持續時間的資料。加密靜態資料可協助您保護其機密性,進而降低未經授權的使用者可存取資料的風險。
### 修補
若要在 Amazon EMR 安全組態中啟用靜態加密,請參閱《*Amazon EMR 管理指南*》中的[設定資料加密](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-create-security-configuration.html#emr-security-configuration-encryption.html)。
## 【EMR.4】 Amazon EMR 安全組態應在傳輸中加密
**相關要求:**NIST.800-53.r5 AC-4、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-8、NIST.800-53.r5 SC-8(1)、NIST.800-53.r5 SC-8(2)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-23、NIST.800-53.r5 SC-23(3)
**類別:**保護 > 資料保護 > data-in-transit加密
**嚴重性:**中
**資源類型:** `AWS::EMR::SecurityConfiguration`
**AWS Config 規則:**[https://docs.aws.amazon.com/config/latest/developerguide/emr-security-configuration-encryption-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/emr-security-configuration-encryption-transit.html)
**排程類型:**已觸發變更
**參數:**無
此控制項會檢查 Amazon EMR 安全組態是否已啟用傳輸中加密。如果安全組態未啟用傳輸中的加密,則控制項會失敗。
傳輸中的資料是指從一個位置移動到另一個位置的資料,例如叢集中的節點之間,或叢集與您的應用程式之間。資料可能會跨網際網路或在私有網路中移動。加密傳輸中的資料可降低未經授權的使用者可以竊聽網路流量的風險。
### 修補
若要在 Amazon EMR 安全組態中啟用傳輸中加密,請參閱《*Amazon EMR 管理指南*》中的[設定資料加密](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-create-security-configuration.html#emr-security-configuration-encryption.html)。