翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
の Security Hub CSPM コントロールAWS Glue
これらのAWS Security Hub CSPMコントロールは、AWS Glueサービスとリソースを評価します。コントロールは一部の で使用できない場合がありますAWS リージョン。詳細については、「リージョン別のコントロールの可用性」を参照してください。
[Glue.1]AWS Glueジョブにはタグを付ける必要があります
カテゴリ: 識別 > インベントリ > タグ付け
重要度: 低
リソースタイプ : AWS::Glue::Job
AWS Configrule: tagged-glue-job (カスタム Security Hub CSPM ルール)
スケジュールタイプ : 変更がトリガーされた場合
パラメータ :
| パラメータ | 説明 | タイプ | 許可されているカスタム値 | Security Hub CSPM のデフォルト値 |
|---|---|---|---|---|
requiredTagKeys
|
評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは大文字と小文字が区別されます。 | StringList (最大 6 項目) | AWS 要件を満たす 1~6 個のタグキー。 | デフォルト値なし |
このコントロールは、AWS Glueジョブにパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックしますrequiredTagKeys。ジョブにタグキーがない場合、またはパラメータ requiredTagKeys で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ requiredTagKeys が指定されていない場合、コントロールはタグキーの存在のみをチェックし、ジョブにキーがタグ付けされていない場合は失敗します。自動的に適用され、aws: で始まるシステムタグは無視されます。
タグは、 AWSリソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成して、リソースを目的、所有者、環境、またはその他の基準で分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセス制御 (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール) および AWSリソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。詳細については、IAM ユーザーガイドの「ABAC とはAWS」を参照してください。
注記
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグにはAWS のサービス、 を含む多くのユーザーがアクセスできますAWS Billing。タグ付けのベストプラクティスの詳細については、の「 AWSリソースのタグ付け」を参照してくださいAWS 全般のリファレンス。
修正
AWS Glueジョブにタグを追加するには、「 AWS Glueユーザーガイド」の「 AWSのタグAWS Glue」を参照してください。
[Glue.3]AWS Glue機械学習変換は保管時に暗号化する必要があります
カテゴリ: 保護 > データ保護 > 保管中のデータの暗号化
重要度: 中
リソースタイプ : AWS::Glue::MLTransform
AWS Config ルール : glue-ml-transform-encrypted-at-rest
スケジュールタイプ: 変更がトリガーされた場合
パラメータ : なし
このコントロールは、AWS Glue機械学習変換が保管時に暗号化されているかどうかをチェックします。機械学習変換が保管中に暗号化されていない場合、コントロールは失敗します。
保管中のデータとは、永続的な不揮発性ストレージに任意の期間保管されているデータを指します。保管中のデータを暗号化すると、その機密性が保護され、権限のないユーザーがアクセスするリスクが低減されます。
修正
AWS Glue機械学習変換の暗号化を設定するには、「 AWS Glueユーザーガイド」の「機械学習変換の使用」を参照してください。
[Glue.4]AWS GlueSpark ジョブは、サポートされているバージョンの で実行する必要がありますAWS Glue
関連する要件: NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 SI-2、NIST.800-53.r5 SI-2(2)、NIST.800-53.r5 SI-2(4)、NIST.800-53.r5 SI-2(5)
カテゴリ: 特定 > 脆弱性、パッチ、バージョン管理
重要度: 中
リソースタイプ : AWS::Glue::Job
AWS Config ルール : glue-spark-job-supported-version
スケジュールタイプ: 変更がトリガーされた場合
パラメータ: minimumSupportedGlueVersion: 3.0 (カスタマイズ不可)
このコントロールは、 AWS Gluefor Spark ジョブがサポートされているバージョンの で実行されるように設定されているかどうかを確認しますAWS Glue。Spark ジョブがサポートされている最小バージョンより前のバージョンの で実行されるように設定されている場合、コントロールAWS Glueは失敗します。
注記
このコントロールは、AWS Glueバージョン (GlueVersion) プロパティが存在しないか、ジョブの設定項目 (CI) AWS Glueが null の場合にも、Spark ジョブの FAILEDの結果を生成します。このような場合、検出結果には GlueVersion is null or missing in glueetl job
configuration という注釈が含まれます。このタイプの FAILED 検出結果に対処するには、ジョブの設定に GlueVersion プロパティを追加します。サポートされているバージョンとランタイム環境のリストについては、「AWS Glue ユーザーガイド」の「AWS Glue バージョン」を参照してください。
の最新バージョンで AWS GlueSpark ジョブを実行すると、パフォーマンス、セキュリティ、および の最新機能へのアクセスを最適化AWS GlueできますAWS Glue。また、セキュリティの脆弱性に対する保護にも役立ちます。たとえば、新しいバージョンがリリースされて、セキュリティ更新プログラムの提供、問題への対処、新機能の導入が行われることがあります。
修正
Spark ジョブをサポートされている バージョンに移行する方法についてはAWS Glue、 AWS Glueユーザーガイドの「Spark ジョブAWS Glueの移行」を参照してください。
