Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Contrôles Security Hub pour AWS Glue
Ces AWS Security Hub les contrôles évaluent le AWS Glue service et ressources.
Ces commandes peuvent ne pas être disponibles dans tous les cas Régions AWS. Pour plus d'informations, consultezDisponibilité des contrôles par région.
[Colle.1] AWS Glue les emplois doivent être étiquetés
Catégorie : Identifier > Inventaire > Étiquetage
Gravité : Faible
Type de ressource : AWS::Glue::Job
AWS Config règle : tagged-glue-job (règle Security Hub personnalisée)
Type de calendrier : changement déclenché
Paramètres :
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut de Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les clés de balises sont sensibles à la casse. | StringList | Liste des tags qui répondent AWS exigences | Aucune valeur par défaut |
Ce contrôle vérifie si un AWS Glue La tâche possède des balises avec les clés spécifiques définies dans le paramètrerequiredTagKeys. Le contrôle échoue si la tâche ne possède aucune clé de balise ou si toutes les clés spécifiées dans le paramètre ne sont pas présentesrequiredTagKeys. Si le paramètre requiredTagKeys n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si la tâche n'est associée à aucune clé. Les balises système, qui sont automatiquement appliquées et commencent paraws:, sont ignorées.
Un tag est un label que vous attribuez à un AWS ressource, et elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d'autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises à IAM des entités (utilisateurs ou rôles) et à AWS ressources. Vous pouvez créer une ABAC politique unique ou un ensemble de politiques distinct pour vos IAM mandants. Vous pouvez concevoir ces ABAC politiques pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir À quoi ABAC sert AWS? dans le guide de IAM l'utilisateur.
Note
N'ajoutez pas d'informations personnellement identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, y compris AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section Marquage de votre AWS ressources dans le Références générales AWS.
Correction
Pour ajouter des balises à un AWS Glue travail, voir AWS tags dans AWS Glue dans le .AWS Glue Guide de l'utilisateur.
[Colle.2] AWS Glue la journalisation des tâches doit être activée
Catégorie : Identifier - Journalisation
Gravité : Moyenne
Type de ressource : AWS::Glue::Job
AWS Config règle : glue-job-logging-enabled
Type de calendrier : changement déclenché
Paramètres : Non
Ce contrôle vérifie si un AWS Glue la journalisation de la tâche est activée. Le contrôle échoue si la journalisation n'est pas activée pour la tâche.
Les journaux d'audit suivent et surveillent les activités du système. Ils fournissent un enregistrement des événements qui peut vous aider à détecter les failles de sécurité, à enquêter sur les incidents et à vous conformer aux réglementations. Les journaux d'audit améliorent également la responsabilité globale et la transparence de votre organisation.
Correction
Pour activer la journalisation continue d'un fichier existant AWS Glue job, voir Activation de la journalisation continue pour AWS Glue emplois dans le AWS Glue Guide de l'utilisateur.
[Colle.3] AWS Glue les transformations de machine learning doivent être cryptées au repos
Catégorie : Protéger > Protection des données > Chiffrement de data-at-rest
Gravité : Moyenne
Type de ressource : AWS::Glue::MLTransform
AWS Config règle : glue-ml-transform-encrypted-at-rest
Type de calendrier : changement déclenché
Paramètres : Non
Ce contrôle vérifie si un AWS Glue la transformation du machine learning est cryptée au repos. Le contrôle échoue si la transformation de machine learning n'est pas chiffrée au repos.
Les données au repos font référence aux données stockées dans un stockage persistant et non volatil pendant une durée quelconque. Le chiffrement des données au repos vous permet de protéger leur confidentialité, ce qui réduit le risque qu'un utilisateur non autorisé puisse y accéder.
Correction
Pour configurer le chiffrement pour AWS Glue transformations de l'apprentissage automatique, voir Travailler avec les transformations de l'apprentissage automatique dans AWS Glue Guide de l'utilisateur.
