本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Security Hub 控制項 AWS Glue
這些 AWS Security Hub 控制項:評估 AWS Glue 服務和資源。
這些控制項可能不適用於所有 AWS 區域。 如需詳細資訊,請參閱各區域控制項的可用性。
[膠水 1] AWS Glue 工作應該被標記
類別:識別 > 庫存 > 標籤
嚴重性:低
資源類型:AWS::Glue::Job
AWS Config 規則:tagged-glue-job(自訂 Security Hub 規則)
排程類型:已觸發變更
參數:
| 參數 | Description (描述) | Type | 允許的自訂值 | Security Hub 預設值 |
|---|---|---|---|---|
requiredTagKeys
|
評估資源必須包含的非系統標籤鍵清單。標籤鍵會區分大小寫。 | StringList | 符合的標籤列表 AWS 要求 | 無預設值 |
這個控件檢查是否 AWS Glue 工作具有在參數中定義的特定鍵的標籤requiredTagKeys。如果工作沒有任何標籤鍵,或者沒有在參數中指定的所有索引鍵,控制項就會失敗requiredTagKeys。如果requiredTagKeys未提供參數,控制項只會檢查標籤金鑰是否存在,如果工作未使用任何索引鍵加上標籤,則會失敗。系統標籤 (自動套用並以aws:開頭) 會被忽略。
標籤是您指派給標籤 AWS 資源,它由一個鍵和一個可選值。您可建立標籤,依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、整理、搜尋和篩選資源。標記也可協助您追蹤可負責資源擁有者的動作和通知。使用標記時,您可以實作以屬性為基礎的存取控制 (ABAC) 作為授權策略,該策略會根據標籤定義權限。您可以將標籤附加至IAM實體 (使用者或角色),以及 AWS 的費用。您可以為IAM主參與者建立單一ABAC原則或個別的原則集。您可以設計這些ABAC原則,以便在主參與者的標籤符合資源標籤時允許作業。如需詳細資訊,請參閱用ABAC途 AWS? 在《IAM使用者指南》中。
注意
不要在標籤中添加個人身份信息(PII)或其他機密或敏感信息。許多人都可以訪問標籤 AWS 服務,包括 AWS Billing。 如需更多標記最佳做法,請參閱標記 AWS中的資源 AWS 一般參考.
修補
若要將標籤新增至 AWS Glue 工作,請參閱 AWS 中的標籤 AWS Glue 中的 AWS Glue 用戶指南。
[膠水 .2] AWS Glue 工作應該啟用日誌記錄
類別:識別 > 記錄日誌
嚴重性:中
資源類型:AWS::Glue::Job
AWS Config 規則:glue-job-logging-enabled
排程類型:已觸發變更
參數:無
這個控件檢查是否 AWS Glue 工作已啟用記錄。如果工作未啟用記錄,則控制項會失敗。
稽核記錄會追蹤和監控系統活動。它們提供事件記錄,可協助您偵測安全漏洞、調查事件並遵守法規。稽核記錄還可增強組織的整體責任和透明度。
修補
若要啟用現有的連續記錄 AWS Glue 工作,請參閱啟用連續記錄 AWS Glue在中的工作 AWS Glue 用戶指南。
[膠水 3] AWS Glue 機器學習轉換應在靜態時加密
分類:保護 > 資料保護 > 加密 data-at-rest
嚴重性:中
資源類型:AWS::Glue::MLTransform
AWS Config 規則:glue-ml-transform-encrypted-at-rest
排程類型:已觸發變更
參數:無
這個控件檢查是否 AWS Glue 機器學習轉換在靜態時會加密。如果機器學習轉換未在靜態時加密,則控制項會失敗。
靜態資料是指在任何持續時間內儲存在持續性、非揮發性儲存體中的資料。將靜態資料加密可協助您保護其機密性,進而降低未經授權使用者存取資料的風險。
修補
若要設定加密 AWS Glue 機器學習轉換,請參閱「使用機器學習轉換」。AWS Glue 用戶指南。
