

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# Amazon Athena 的 Security Hub CSPM 控制項
<a name="athena-controls"></a>

這些 AWS Security Hub CSPM 控制項會評估 Amazon Athena 服務和資源。控制項可能無法全部使用 AWS 區域。如需詳細資訊，請參閱[依區域的控制項可用性](securityhub-regions.md#securityhub-regions-control-support)。

## 【Athena.1】 Athena 工作群組應靜態加密
<a name="athena-1"></a>

**重要**  
Security Hub CSPM 已於 2024 年 4 月淘汰此控制項。如需詳細資訊，請參閱[Security Hub CSPM 控制項的變更日誌](controls-change-log.md)。

**類別：**保護 ‒ 資料保護 ‒ 靜態資料加密

**相關要求：**NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-3(6)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-28、NIST.800-53.r5 SC-28(1)、NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SI-7(6)

**嚴重性：**中

**資源類型：** `AWS::Athena::WorkGroup`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/athena-workgroup-encrypted-at-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/athena-workgroup-encrypted-at-rest.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 Athena 工作群組是否靜態加密。如果 Athena 工作群組未靜態加密，則控制項會失敗。

在 Athena 中，您可以建立工作群組，以執行團隊、應用程式或不同工作負載的查詢。每個工作群組都有一個設定，可在所有查詢上啟用加密。您可以選擇搭配 Amazon Simple Storage Service (Amazon S3) 受管金鑰使用伺服器端加密、搭配 AWS Key Management Service (AWS KMS) 金鑰使用伺服器端加密，或搭配客戶受管 KMS 金鑰使用用戶端加密。靜態資料是指在任何期間內存放在持久性、非揮發性儲存體中的任何資料。加密可協助您保護此類資料的機密性，降低未經授權的使用者可存取資料的風險。

### 修補
<a name="athena-1-remediation"></a>

若要啟用 Athena 工作群組的靜態加密，請參閱《*Amazon Athena 使用者指南*》中的[編輯工作群組](https://docs.aws.amazon.com/athena/latest/ug/workgroups-create-update-delete.html#editing-workgroups)。在**查詢結果組態**區段中，選取**加密查詢結果**。

## 【Athena.2】 應標記 Athena 資料目錄
<a name="athena-2"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::Athena::DataCatalog`

**AWS Config rule：**`tagged-athena-datacatalog`（自訂 Security Hub CSPM 規則）

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1-6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 |  No default value  | 

此控制項會檢查 Amazon Athena 資料目錄是否具有具有參數 中定義之特定金鑰的標籤`requiredTagKeys`。如果資料目錄沒有任何標籤索引鍵，或沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredTagKeys`。如果`requiredTagKeys`未提供 參數，則控制項只會檢查標籤索引鍵是否存在，如果資料目錄未標記任何索引鍵，則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的當責資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[什麼是 ABAC AWS？](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱《》中的[標記您的 AWS 資源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)*AWS 一般參考*。

### 修補
<a name="athena-2-remediation"></a>

若要將標籤新增至 Athena 資料目錄，請參閱《*Amazon Athena * [Athena 使用者指南》中的標記 Athena 資源](https://docs.aws.amazon.com/athena/latest/ug/tags.html)。

## 【Athena.3】 應標記 Athena 工作群組
<a name="athena-3"></a>

**類別：**識別 > 庫存 > 標記

**嚴重性：**低

**資源類型：** `AWS::Athena::WorkGroup`

**AWS Config rule：**`tagged-athena-workgroup`（自訂 Security Hub CSPM 規則）

**排程類型：**已觸發變更

**參數：**


| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList （最多 6 個項目）  | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 |  No default value  | 

此控制項會檢查 Amazon Athena 工作群組是否具有具有參數 中定義之特定金鑰的標籤`requiredTagKeys`。如果工作群組沒有任何標籤索引鍵，或沒有參數 中指定的所有索引鍵，則控制項會失敗`requiredTagKeys`。如果`requiredTagKeys`未提供 參數，則控制項只會檢查標籤索引鍵是否存在，如果工作群組未標記任何索引鍵，則 控制會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。

標籤是您指派給 AWS 資源的標籤，由索引鍵和選用值組成。您可建立標籤，以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的當責資源擁有者。使用標記時，您可以實作屬性型存取控制 (ABAC) 做為授權策略，以根據標籤定義許可。您可以將標籤連接至 IAM 實體 （使用者或角色） 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策，以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[什麼是 ABAC AWS？](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。

**注意**  
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳實務，請參閱《》中的[標記您的 AWS 資源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)*AWS 一般參考*。

### 修補
<a name="athena-3-remediation"></a>

若要將標籤新增至 Athena 工作群組，請參閱《*Amazon Athena 使用者指南*》中的[在個別工作群組上新增和刪除標籤](https://docs.aws.amazon.com/athena/latest/ug/tags-console.html#tags-add-delete)。

## 【Athena.4】 Athena 工作群組應該已啟用記錄
<a name="athena-4"></a>

**類別：**識別 > 記錄日誌

**嚴重性：**中

**資源類型：** `AWS::Athena::WorkGroup`

**AWS Config 規則：**[https://docs.aws.amazon.com/config/latest/developerguide/athena-workgroup-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/athena-workgroup-logging-enabled.html)

**排程類型：**已觸發變更

**參數：**無

此控制項會檢查 Amazon Athena 工作群組是否已啟用記錄。如果工作群組未啟用記錄，則控制項會失敗。

稽核日誌會追蹤和監控系統活動。它們提供事件的記錄，可協助您偵測安全漏洞、調查事件並遵守法規。稽核日誌也會增強組織的整體責任和透明度。

### 修補
<a name="athena-4-remediation"></a>

如需有關啟用 Athena 工作群組記錄的資訊，請參閱《*Amazon Athena 使用者指南》中的在 Athena *[中啟用 CloudWatch 查詢指標](https://docs.aws.amazon.com/athena/latest/ug/athena-cloudwatch-metrics-enable.html)。