Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Contrôles Security Hub pour AWS Glue
Ces AWS Security Hub contrôles évaluent le AWS Glue service et les ressources.
Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter Disponibilité des contrôles par région.
[Glue.1] les AWS Glue tâches doivent être étiquetées
Catégorie : Identifier > Inventaire > Étiquetage
Gravité : Faible
Type de ressource : AWS::Glue::Job
AWS Config règle : tagged-glue-job (règle Security Hub personnalisée)
Type de calendrier : changement déclenché
Paramètres :
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut de Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les clés de balises sont sensibles à la casse. | StringList | Liste des tags répondant aux AWS exigences | Aucune valeur par défaut |
Ce contrôle vérifie si une AWS Glue tâche possède des balises avec les clés spécifiques définies dans le paramètrerequiredTagKeys. Le contrôle échoue si la tâche ne possède aucune clé de balise ou si toutes les clés spécifiées dans le paramètre ne sont pas présentesrequiredTagKeys. Si le paramètre requiredTagKeys n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si la tâche n'est associée à aucune clé. Les balises système, qui sont automatiquement appliquées et commencent paraws:, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d'autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les actions et les notifications des propriétaires de ressources responsables. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir À quoi sert ABAC ? AWS dans le guide de l'utilisateur IAM.
Note
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section Marquage de vos AWS ressources dans le. Références générales AWS
Correction
Pour ajouter des balises à une AWS Glue tâche, consultez les AWS balises AWS Glue dans le guide de AWS Glue l'utilisateur.
[Glue.3] Les transformations d'apprentissage AWS Glue automatique doivent être cryptées au repos
Catégorie : Protéger > Protection des données > Chiffrement de data-at-rest
Gravité : Moyenne
Type de ressource : AWS::Glue::MLTransform
Règle AWS Config : glue-ml-transform-encrypted-at-rest
Type de calendrier : changement déclenché
Paramètres : Non
Ce contrôle vérifie si une transformation de AWS Glue machine learning est chiffrée au repos. Le contrôle échoue si la transformation de machine learning n'est pas chiffrée au repos.
Les données au repos font référence aux données stockées dans un stockage persistant et non volatil pendant une durée quelconque. Le chiffrement des données au repos vous permet de protéger leur confidentialité, ce qui réduit le risque qu'un utilisateur non autorisé puisse y accéder.
Correction
Pour configurer le chiffrement pour les transformations de AWS Glue machine learning, consultez la section Utilisation des transformations de machine learning dans le guide de AWS Glue l'utilisateur.
[Glue.4] Les tâches AWS Glue Spark doivent s'exécuter sur les versions prises en charge de AWS Glue
Exigences connexes : NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2, NIST.800-53.R5 SI-2, NIST.800-53.R5 SI-2 (2), NIST.800-53.R5 SI-2 (4), NIST.800-53.R5 SI-2 (5)
Catégorie : Identifier > Gestion des vulnérabilités, des correctifs et des versions
Gravité : Moyenne
Type de ressource : AWS::Glue::Job
Règle AWS Config : glue-spark-job-supported-version
Type de calendrier : changement déclenché
Paramètres minimumSupportedGlueVersion : 3.0 (non personnalisable)
Ce contrôle vérifie si une tâche AWS Glue for Spark est configurée pour s'exécuter sur une version prise en charge de AWS Glue. Le contrôle échoue si le job Spark est configuré pour s'exécuter sur une version antérieure à la version minimale prise en charge. AWS Glue
L'exécution de tâches AWS Glue Spark sur les versions actuelles de AWS Glue permet d'optimiser les performances, la sécurité et l'accès aux dernières fonctionnalités de AWS Glue. Cela peut également aider à se prémunir contre les failles de sécurité. Par exemple, une nouvelle version peut être publiée pour fournir des mises à jour de sécurité, résoudre des problèmes ou introduire de nouvelles fonctionnalités.
Correction
Pour plus d'informations sur la migration d'une tâche Spark vers une version compatible de AWS Glue, consultez la section Migration AWS Glue pour les tâches Spark dans le guide de l'AWS Glue utilisateur.
