View a markdown version of this page

Kontrol CSPM Security Hub untukAWS Glue - AWSSecurity Hub

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Kontrol CSPM Security Hub untukAWS Glue

AWS Security Hub CSPMKontrol ini mengevaluasi AWS Glue layanan dan sumber daya. Kontrol mungkin tidak tersedia di semuaWilayah AWS. Untuk informasi selengkapnya, lihat Ketersediaan kontrol berdasarkan Wilayah.

[Glue.1]AWS Gluepekerjaan harus diberi tag

Kategori: Identifikasi > Inventaris > Penandaan

Tingkat keparahan: Rendah

Jenis sumber daya: AWS::Glue::Job

AWS Configaturan: tagged-glue-job (aturan CSPM Security Hub kustom)

Jenis jadwal: Perubahan dipicu

Parameter:

Parameter Deskripsi Tipe Nilai kustom yang diizinkan Nilai default CSPM Security Hub
requiredTagKeys Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil. StringList (maksimal 6 item) 1—6 kunci tag yang memenuhi persyaratanAWS. Tidak ada nilai default

Kontrol ini memeriksa apakah AWS Glue pekerjaan memiliki tag dengan kunci tertentu yang ditentukan dalam parameterrequiredTagKeys. Kontrol gagal jika pekerjaan tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameterrequiredTagKeys. Jika parameter requiredTagKeys tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika pekerjaan tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai denganaws:, diabaikan.

Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat Untuk apa ABAC? AWS di Panduan Pengguna IAM.

catatan

Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orangLayanan AWS, termasukAWS Billing. Untuk praktik terbaik penandaan lainnya, lihat Menandai AWS sumber daya Anda di. Referensi Umum AWS

Remediasi

Untuk menambahkan tag ke AWS Glue pekerjaan, lihat AWStag AWS Glue di Panduan AWS Glue Pengguna.

[Glue.3]AWS Gluetransformasi pembelajaran mesin harus dienkripsi saat istirahat

Kategori: Lindungi > Perlindungan data > Enkripsi data-at-rest

Tingkat keparahan: Sedang

Jenis sumber daya: AWS::Glue::MLTransform

AWS Configaturan: glue-ml-transform-encrypted-at-rest

Jenis jadwal: Perubahan dipicu

Parameter: Tidak

Kontrol ini memeriksa apakah transformasi pembelajaran AWS Glue mesin dienkripsi saat istirahat. Kontrol gagal jika transformasi pembelajaran mesin tidak dienkripsi saat istirahat.

Data saat istirahat mengacu pada data yang disimpan dalam penyimpanan persisten dan tidak mudah menguap untuk durasi berapa pun. Mengenkripsi data saat istirahat membantu Anda melindungi kerahasiaannya, yang mengurangi risiko bahwa pengguna yang tidak sah dapat mengaksesnya.

Remediasi

Untuk mengonfigurasi enkripsi untuk transformasi pembelajaran AWS Glue mesin, lihat Bekerja dengan transformasi pembelajaran mesin di AWS GluePanduan Pengguna.

[Glue.4]AWS GluePekerjaan percikan harus berjalan pada versi yang didukungAWS Glue

Persyaratan terkait: NIST.800-53.r5 CA-9 (1) NIST.800-53.r5 CM-2, NIST.800-53.r5 SI-2,, NIST.800-53.r5 SI-2 (2), NIST.800-53.r5 SI-2 (4), NIST.800-53.r5 SI-2 (5)

Kategori: Identifikasi > Kerentanan, tambalan, dan manajemen versi

Tingkat keparahan: Sedang

Jenis sumber daya: AWS::Glue::Job

AWS Configaturan: glue-spark-job-supported-version

Jenis jadwal: Perubahan dipicu

Parameter:minimumSupportedGlueVersion: 3.0 (tidak dapat disesuaikan)

Kontrol ini memeriksa apakah pekerjaan AWS Glue for Spark dikonfigurasi untuk berjalan pada versi yang didukung. AWS Glue Kontrol gagal jika pekerjaan Spark dikonfigurasi untuk berjalan pada versi yang lebih awal dari versi minimum yang didukung. AWS Glue

catatan

Kontrol ini juga menghasilkan FAILED temuan untuk pekerjaan Spark jika properti AWS Glue version (GlueVersion) tidak ada atau null dalam item konfigurasi (CI) untuk pekerjaan tersebut. AWS Glue Dalam kasus seperti itu, temuan tersebut mencakup anotasi berikut:GlueVersion is null or missing in glueetl job configuration. Untuk mengatasi jenis FAILED temuan ini, tambahkan GlueVersion properti ke konfigurasi pekerjaan. Untuk daftar versi dan lingkungan runtime yang didukung, lihat AWS GlueVersi dalam Panduan AWS Glue Pengguna.

Menjalankan pekerjaan AWS Glue Spark pada versi saat ini AWS Glue dapat mengoptimalkan kinerja, keamanan, dan akses ke fitur terbaru. AWS Glue Ini juga dapat membantu melindungi terhadap kerentanan keamanan. Misalnya, versi baru mungkin dirilis untuk menyediakan pembaruan keamanan, mengatasi masalah, atau memperkenalkan fitur baru.

Remediasi

Untuk informasi tentang memigrasi pekerjaan Spark ke versi yang didukungAWS Glue, lihat Memigrasi AWS Glue pekerjaan Spark di Panduan Pengguna. AWS Glue