本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 适用于亚马逊 EMR 的 Security Hub CSPM 控件
<a name="emr-controls"></a>

这些 AWS Security Hub CSPM 控制措施评估亚马逊 EMR（以前称为 Amazon Elastic MapReduce）服务和资源。这些控件可能并非全部可用 AWS 区域。有关更多信息，请参阅 [按地区划分的控件可用性](securityhub-regions.md#securityhub-regions-control-support)。

## [EMR.1] Amazon EMR 集群主节点不应有公有 IP 地址
<a name="emr-1"></a>

**相关要求：**PCI DSS v3.2.1/1.2.1、PCI DSS v3.2.1/1.3.1、PCI DSS v3.2.1/1.3.2、PCI DSS v3.2.1/1.3.4、PCI DSS v3.2.1/1.3.6、PCI DSS v4.0.1/1.4.4、1、（7）、（21）、（21）、（16）、（20），(21)、(3)、(4)、(9) NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-4 NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

**类别：**保护 > 安全网络配置

**严重性：**高

**资源类型：**`AWS::EMR::Cluster`

**AWS Config 规则:emr-master-no-public**[-ip](https://docs.aws.amazon.com/config/latest/developerguide/emr-master-no-public-ip.html)

**计划类型：**定期

**参数：**无

此控件检查 Amazon EMR 集群上的主节点是否具有公有 IP 地址。如果公有 IP 地址与任何主节点实例相关联，则控制失败。

公有 IP 地址是在实例的 `NetworkInterfaces` 配置 `PublicIp` 字段中指定的。此控件仅检查处于 `RUNNING` 或 `WAITING` 状态的 Amazon EMR 集群。

### 修复
<a name="emr-1-remediation"></a>

在启动期间，您可以控制是否为默认子网或非默认子网中的实例分配公有 IPv4 地址。默认情况下，默认子网的此属性设置为 `true`。非默认子网的 IPv4 公共寻址属性设置为`false`，除非它是由 Amazon EC2 启动实例向导创建的。在这种情况下，会将属性设置为 `true`。

启动后，您无法手动取消公有 IPv4 地址与您的实例的关联。

要修复失败的发现，您必须在 VPC 中启动一个新集群，该集群的私有子网的 IPv4 公有寻址属性设置为`false`。有关说明，请参阅 *Amazon EMR 管理指南*中的在 [VPC 中启动集群](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-vpc-launching-job-flows.html)。

## [EMR.2] 应启用 Amazon EMR 屏蔽公共访问权限设置
<a name="emr-2"></a>

**相关要求：**PCI DSS v4.0.1/1.4.4、 NIST.800-53.r5 AC-2 1、、 NIST.800-53.r5 AC-3（7） NIST.800-53.r5 AC-3、、（21） NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4（11） NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7（16）、（20）、 NIST.800-53.r5 SC-7（21）、 NIST.800-53.r5 SC-7（21）、 NIST.800-53.r5 SC-7（3）、 NIST.800-53.r5 SC-7（4）、（9） NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

**类别：**保护 > 安全访问管理 > 资源不公开访问

**严重性：**严重

**资源类型：**`AWS::::Account`

**AWS Config 规则：**[emr-block-public-access](https://docs.aws.amazon.com/config/latest/developerguide/emr-block-public-access.html)

**计划类型：**定期

**参数：**无

此控件会检查您的账户是否配置了 Amazon EMR 屏蔽公共访问权限。如果未启用屏蔽公共访问权限设置或允许除端口 22 之外的任何端口，则控制失败。

如果集群的安全配置允许来自公有 IP 地址的入站流量通过某个端口，Amazon EMR 屏蔽公共访问权限会阻止您在公有子网中启动该集群。当来自您的 AWS 账户 的用户启动集群时，Amazon EMR 会检查该集群的安全组中的端口规则，并将其与您的入站流量规则进行比较。如果安全组有向公有 IP 地址 IPv4 0.0.0.0/0 或 IPv6 :: /0 开放端口的入站规则，并且这些端口未被指定为账户的例外情况，则 Amazon EMR 不允许用户创建集群。

**注意**  
默认情况下，阻止公有访问处于启用状态。为了增强账户保护，我们建议您将其保持启用状态。

### 修复
<a name="emr-2-remediation"></a>

要为 Amazon EMR 配置屏蔽公共访问权限，请参阅《亚马逊 EMR 管理指南》**中的[使用 Amazon EMR 阻止公有访问](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-block-public-access.html)。

## [EMR.3] Amazon EMR 安全配置应静态加密
<a name="emr-3"></a>

**相关要求：** NIST.800-53.r5 CA-9(1)、nist.800-53.r5 CP-9 (8)、nist.800-53.r5 SI-12

**类别：**保护 > 数据保护 > 加密 data-at-rest

**严重性：**中

**资源类型：**`AWS::EMR::SecurityConfiguration`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/emr-security-configuration-encryption-rest.html](https://docs.aws.amazon.com/config/latest/developerguide/emr-security-configuration-encryption-rest.html)

**计划类型：**已触发变更

**参数：**无

此控件检查 Amazon EMR 安全配置是否启用了静态加密。如果安全配置未启用静态加密，则此控件会失败。

静态数据是指存储在持久、非易失性存储介质中的数据，无论存储时长如何。对静态数据进行加密可帮助您保护数据的机密性，降低未经授权的用户访问这些数据的风险。

### 修复
<a name="emr-3-remediation"></a>

要在 Amazon EMR 安全配置中启用静态加密，请参阅《Amazon EMR 管理指南》**中的[配置数据加密](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-create-security-configuration.html#emr-security-configuration-encryption.html)。

## [EMR.4] Amazon EMR 安全配置应在传输过程中加密
<a name="emr-4"></a>

**相关要求：** NIST.800-53.r5 AC-4、 NIST.800-53.r5 SC-7 (4) NIST.800-53.r5 SC-8、 NIST.800-53.r5 SC-8 (1)、 NIST.800-53.r5 SC-8 (2)、 NIST.800-53.r5 SC-1 3、 NIST.800-53.r5 SC-2 3、 NIST.800-53.r5 SC-2 3 (3)

**类别：**保护 > 数据保护 > 加密 data-in-transit

**严重性：**中

**资源类型：**`AWS::EMR::SecurityConfiguration`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/emr-security-configuration-encryption-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/emr-security-configuration-encryption-transit.html)

**计划类型：**已触发变更

**参数：**无

此控件检查 Amazon EMR 安全配置是否启用了传输中加密。如果安全配置未启用传输中加密，则此控件会失败。

传输中数据是指从一个位置移动到另一个位置的数据，例如在集群中的节点之间或在集群和应用程序之间。数据可能通过互联网或在私有网络内移动。对传输中数据进行加密可降低未经授权的用户侦听网络流量的风险。

### 修复
<a name="emr-4-remediation"></a>

要在 Amazon EMR 安全配置中启用传输中加密，请参阅《Amazon EMR 管理指南》**中的[配置数据加密](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-create-security-configuration.html#emr-security-configuration-encryption.html)。