Controles do Security Hub para o AWS Glue
Esses controles do AWS Security Hub CSPM avaliam o serviço e os recursos do AWS Glue. Os controles podem não estar disponíveis em todas as Regiões da AWS. Para obter mais informações, consulte Disponibilidade de controles por região.
[Glue.1] Os trabalhos do AWS Glue devem ser marcados
Categoria: Identificar > Inventário > Marcação
Gravidade: baixa
Tipo de recurso: AWS::Glue::Job
Regra AWS Config: tagged-glue-job (regra personalizada do Security Hub)
Tipo de programação: acionado por alterações
Parâmetros:
| Parameter | Descrição | Tipo | Valores personalizados permitidos | Valor padrão do Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
A lista de chaves que não são de sistema que o recurso avaliado deve conter. Chaves de tag fazem distinção entre maiúsculas e minúsculas. | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos requisitos da AWS. | Nenhum valor padrão |
Esse controle verifica se um trabalho do AWS Glue tem tags com as chaves específicas definidas no parâmetro requiredTagKeys. O controle falhará se o trabalho não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro requiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se o trabalho não estiver marcado com nenhuma tag de chave. As tags de sistema, que são aplicadas automaticamente e começam com aws:, são ignoradas.
Uma tag é um rótulo que você atribui a um recurso da AWS e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. É possível anexar tags a entidades do IAM (usuários ou perfis) e a recursos da AWS. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte O que é ABAC para AWS? no Guia do usuário do IAM.
nota
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags são acessíveis a muitos Serviços da AWS, incluindo o AWS Billing. Para saber mais sobre as práticas recomendadas de marcação, consulte Tagging your AWS resources na Referência geral da AWS.
Correção
Para adicionar tags a um trabalho do AWS Glue, consulte AWS tags in AWS Glue no AWS Glue User Guide.
[Glue.3] As transformações de machine learning do AWS Glue devem ser criptografadas em repouso
Categoria: Proteger > Proteção de dados > Criptografia de dados em repouso
Gravidade: média
Tipo de recurso: AWS::Glue::MLTransform
AWS Config Regra: glue-ml-transform-encrypted-at-rest
Tipo de programação: acionado por alterações
Parâmetros: não
Esse controle verifica se uma transformação de machine learning do AWS Glue é criptografada em repouso. Esse controle falhará se a transformação de machine learning não for criptografada em repouso.
Dados em repouso se referem a dados armazenados em um armazenamento persistente e não volátil por qualquer período. Criptografar os dados em repouso ajuda a proteger sua confidencialidade, reduzindo o risco de que um usuário não autorizado possa acessá-los.
Correção
Para configurar a criptografia para transformações de machine learning do AWS Glue, consulte Working with machine learning transforms no AWS Glue User Guide.
[Glue.4] Os trabalhos do AWS Glue Spark devem ser executados em versões com suporte do AWS Glue
Requisitos relacionados: NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-2, NIST.800-53.r5 SI-2, NIST.800-53.r5 SI-2(2), NIST.800-53.r5 SI-2(4), NIST.800-53.r5 SI-2(5)
Categoria: Identificar > Gerenciamento de vulnerabilidades, patches e versões
Gravidade: média
Tipo de recurso: AWS::Glue::Job
AWS Config Regra: glue-spark-job-supported-version
Tipo de programação: acionado por alterações
Parâmetros: minimumSupportedGlueVersion: 3.0 (não personalizável)
Esse controle verifica se um trabalho do AWS Glue para Spark está configurado para ser executado em uma versão com suporte do AWS Glue. O controle falhará se o trabalho do Spark estiver configurado para ser executado em uma versão do AWS Glue anterior à versão mínima com suporte.
nota
Esse controle também gera uma descoberta FAILED para um trabalho do AWS Glue para Spark se a propriedade versão do AWS Glue (GlueVersion) não existir ou for nula no item de configuração (CI) do trabalho. Nesses casos, a descoberta inclui a anotação a seguir: GlueVersion is null or missing in glueetl job
configuration. Para resolver esse tipo de descoberta FAILED, adicione a propriedade GlueVersion à configuração do trabalho. Para obter uma lista das versões com suporte e dos ambientes de runtime, consulte Versões do AWS Glue no Guia do usuário do AWS Glue.
A execução de trabalhos do AWS Glue Spark nas versões atuais do AWS Glue pode otimizar a performance, a segurança e o acesso aos recursos mais recentes do AWS Glue. Isso também pode ajudar na proteção contra vulnerabilidades de segurança. Por exemplo, uma nova versão pode ser lançada para fornecer atualizações de segurança, solucionar problemas ou introduzir novos atributos.
Correção
Para obter informações sobre como migrar um trabalho do Spark para uma versão com suporte do AWS Glue, consulte Migração de trabalhos do AWS Glue para Spark no Guia do usuário do AWS Glue.
