Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Kontrol CSPM Security Hub untukAWS Glue
AWS Security Hub CSPMKontrol ini mengevaluasi AWS Glue layanan dan sumber daya. Kontrol mungkin tidak tersedia di semuaWilayah AWS. Untuk informasi selengkapnya, lihat Ketersediaan kontrol berdasarkan Wilayah.
[Glue.1]AWS Gluepekerjaan harus diberi tag
Kategori: Identifikasi > Inventaris > Penandaan
Tingkat keparahan: Rendah
Jenis sumber daya: AWS::Glue::Job
AWS Configaturan: tagged-glue-job (aturan CSPM Security Hub kustom)
Jenis jadwal: Perubahan dipicu
Parameter:
| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Daftar kunci tag non-sistem yang harus berisi sumber daya yang dievaluasi. Kunci tag peka huruf besar dan kecil. | StringList (maksimal 6 item) | 1—6 kunci tag yang memenuhi persyaratanAWS. | Tidak ada nilai default |
Kontrol ini memeriksa apakah AWS Glue pekerjaan memiliki tag dengan kunci tertentu yang ditentukan dalam parameterrequiredTagKeys. Kontrol gagal jika pekerjaan tidak memiliki kunci tag atau jika tidak memiliki semua kunci yang ditentukan dalam parameterrequiredTagKeys. Jika parameter requiredTagKeys tidak disediakan, kontrol hanya memeriksa keberadaan kunci tag dan gagal jika pekerjaan tidak ditandai dengan kunci apa pun. Tag sistem, yang secara otomatis diterapkan dan dimulai denganaws:, diabaikan.
Tag adalah label yang Anda tetapkan ke AWS sumber daya, dan itu terdiri dari kunci dan nilai opsional. Anda dapat menggunakan tanda untuk mengategorikan sumber daya berdasarkan tujuan, pemilik, lingkungan, atau kriteria lainnya. Tag dapat membantu Anda mengidentifikasi, mengatur, mencari, dan memfilter sumber daya. Penandaan juga membantu Anda melacak pemilik sumber daya yang bertanggung jawab untuk tindakan dan pemberitahuan. Saat menggunakan penandaan, Anda dapat menerapkan kontrol akses berbasis atribut (ABAC) sebagai strategi otorisasi, yang menentukan izin berdasarkan tag. Anda dapat melampirkan tag ke entitas IAM (pengguna atau peran) dan ke AWS sumber daya. Anda dapat membuat kebijakan ABAC tunggal atau serangkaian kebijakan terpisah untuk prinsipal IAM Anda. Anda dapat mendesain kebijakan ABAC ini untuk mengizinkan operasi saat tag prinsipal cocok dengan tag sumber daya. Untuk informasi lebih lanjut, lihat Untuk apa ABAC? AWS di Panduan Pengguna IAM.
catatan
Jangan menambahkan informasi identitas pribadi (PII) atau informasi rahasia atau sensitif lainnya dalam tag. Tag dapat diakses oleh banyak orangLayanan AWS, termasukAWS Billing. Untuk praktik terbaik penandaan lainnya, lihat Menandai AWS sumber daya Anda di. Referensi Umum AWS
Remediasi
Untuk menambahkan tag ke AWS Glue pekerjaan, lihat AWStag AWS Glue di Panduan AWS Glue Pengguna.
[Glue.3]AWS Gluetransformasi pembelajaran mesin harus dienkripsi saat istirahat
Kategori: Lindungi > Perlindungan data > Enkripsi data-at-rest
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::Glue::MLTransform
AWS Configaturan: glue-ml-transform-encrypted-at-rest
Jenis jadwal: Perubahan dipicu
Parameter: Tidak
Kontrol ini memeriksa apakah transformasi pembelajaran AWS Glue mesin dienkripsi saat istirahat. Kontrol gagal jika transformasi pembelajaran mesin tidak dienkripsi saat istirahat.
Data saat istirahat mengacu pada data yang disimpan dalam penyimpanan persisten dan tidak mudah menguap untuk durasi berapa pun. Mengenkripsi data saat istirahat membantu Anda melindungi kerahasiaannya, yang mengurangi risiko bahwa pengguna yang tidak sah dapat mengaksesnya.
Remediasi
Untuk mengonfigurasi enkripsi untuk transformasi pembelajaran AWS Glue mesin, lihat Bekerja dengan transformasi pembelajaran mesin di AWS GluePanduan Pengguna.
[Glue.4]AWS GluePekerjaan percikan harus berjalan pada versi yang didukungAWS Glue
Persyaratan terkait: NIST.800-53.r5 CA-9 (1) NIST.800-53.r5 CM-2, NIST.800-53.r5 SI-2,, NIST.800-53.r5 SI-2 (2), NIST.800-53.r5 SI-2 (4), NIST.800-53.r5 SI-2 (5)
Kategori: Identifikasi > Kerentanan, tambalan, dan manajemen versi
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::Glue::Job
AWS Configaturan: glue-spark-job-supported-version
Jenis jadwal: Perubahan dipicu
Parameter:minimumSupportedGlueVersion: 3.0 (tidak dapat disesuaikan)
Kontrol ini memeriksa apakah pekerjaan AWS Glue for Spark dikonfigurasi untuk berjalan pada versi yang didukung. AWS Glue Kontrol gagal jika pekerjaan Spark dikonfigurasi untuk berjalan pada versi yang lebih awal dari versi minimum yang didukung. AWS Glue
catatan
Kontrol ini juga menghasilkan FAILED temuan untuk pekerjaan Spark jika properti AWS Glue version (GlueVersion) tidak ada atau null dalam item konfigurasi (CI) untuk pekerjaan tersebut. AWS Glue Dalam kasus seperti itu, temuan tersebut mencakup anotasi berikut:GlueVersion is null or missing in glueetl job
configuration. Untuk mengatasi jenis FAILED temuan ini, tambahkan GlueVersion properti ke konfigurasi pekerjaan. Untuk daftar versi dan lingkungan runtime yang didukung, lihat AWS GlueVersi dalam Panduan AWS Glue Pengguna.
Menjalankan pekerjaan AWS Glue Spark pada versi saat ini AWS Glue dapat mengoptimalkan kinerja, keamanan, dan akses ke fitur terbaru. AWS Glue Ini juga dapat membantu melindungi terhadap kerentanan keamanan. Misalnya, versi baru mungkin dirilis untuk menyediakan pembaruan keamanan, mengatasi masalah, atau memperkenalkan fitur baru.
Remediasi
Untuk informasi tentang memigrasi pekerjaan Spark ke versi yang didukungAWS Glue, lihat Memigrasi AWS Glue pekerjaan Spark di Panduan Pengguna. AWS Glue