Controles de Security Hub para Amazon Athena
Estos controles de AWS Security Hub CSPM evalúan el servicio y los recursos de Amazon Athena. Es posible que estos controles no estén disponibles en todas las Regiones de AWS. Para obtener más información, consulte Disponibilidad de los controles por región.
[Athena.1] Los grupos de trabajo de Athena deben estar cifrados en reposo
importante
Security Hub retiró este control en abril de 2024. Para obtener más información, consulte Registro de cambios de los controles del CSPM de Security Hub.
Categoría: Proteger - Protección de datos - Cifrado de datos en reposo
Requisitos relacionados: NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-13, NIST.800-53.r5 SC-28, NIST.800-53.r5 SC-28(1), NIST.800-53.r5 SC-7(10), NIST.800-53.r5 SI-7(6)
Gravedad: media
Tipo de recurso: AWS::Athena::WorkGroup
AWS Config Regla de: athena-workgroup-encrypted-at-rest
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si un grupo de trabajo de Athena está cifrado en reposo. El control falla si un grupo de trabajo de Athena no está cifrado en reposo.
En Athena, puede crear grupos de trabajo para ejecutar consultas para equipos, aplicaciones o diferentes cargas de trabajo. Cada grupo de trabajo tiene una configuración que permite el cifrado de todas las consultas. Puede utilizar el cifrado del servidor con claves administradas por Amazon Simple Storage Service (Amazon S3), el cifrado del servidor con claves de AWS Key Management Service (AWS KMS) o el cifrado del cliente con claves de KMS administradas por el cliente. Los datos en reposo se refieren a cualquier dato que se almacene en un almacenamiento persistente y no volátil durante cualquier período de tiempo. El cifrado le ayuda a proteger la confidencialidad de dichos datos, reduciendo el riesgo de que un usuario no autorizado pueda acceder a ellos.
Corrección
Para habilitar el cifrado en reposo para los grupos de trabajo de Athena, consulte Editar un grupo de trabajo en la Guía del usuario de Amazon Athena. En la sección Configuración de los resultados de la consulta, seleccione Cifrar los resultados de la consulta.
[Athena.2] Los catálogos de datos de Athena deben estar etiquetados
Categoría: Identificar > Inventario > Etiquetado
Gravedad: baja
Tipo de recurso: AWS::Athena::DataCatalog
Regla de AWS Config: tagged-athena-datacatalog (regla personalizada de Security Hub)
Tipo de horario: provocado por un cambio
Parámetros:
| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiqueta distinguen entre mayúsculas y minúsculas. | StringList: (máximo de 6 elementos) | De 1 a 6 claves de etiquetas que cumplan los requisitos de AWS. |
No default value
|
Este control comprueba si el catálogo de datos de Amazon Athena tiene etiquetas con las claves específicas definidas en el parámetro requiredTagKeys. El control falla si el catálogo de datos no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro requiredTagKeys. Si no se proporciona el parámetro requiredTagKeys, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si el catálogo de datos no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con aws:, se ignoran.
Las etiquetas se pueden asignar a los recursos de AWS y constan de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede asociar etiquetas a entidades de IAM (usuarios o roles) y a recursos de AWS. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte ¿Qué es ABAC para AWS? en la Guía del usuario de IAM.
nota
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Las etiquetas son accesibles para muchos Servicios de AWS, incluido AWS Billing. Para conocer más prácticas recomendadas para el etiquetado, consulte Etiquetado de recursos de AWS en la Referencia general de AWS.
Corrección
Para agregar etiquetas a un catálogo de datos de Athena, consulte Etiquetado de los recursos de Athena en la Guía del usuario de Amazon Athena.
[Athena.3] Los grupos de trabajo de Athena deben estar etiquetados
Categoría: Identificar > Inventario > Etiquetado
Gravedad: baja
Tipo de recurso: AWS::Athena::WorkGroup
Regla de AWS Config: tagged-athena-workgroup (regla personalizada de Security Hub)
Tipo de horario: provocado por un cambio
Parámetros:
| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiqueta distinguen entre mayúsculas y minúsculas. | StringList: (máximo de 6 elementos) | De 1 a 6 claves de etiquetas que cumplan los requisitos de AWS. |
No default value
|
Este control comprueba si el grupo de trabajo de Amazon Athena tiene etiquetas con las claves específicas definidas en el parámetro requiredTagKeys. El control falla si el grupo de trabajo no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro requiredTagKeys. Si no se proporciona el parámetro requiredTagKeys, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si el grupo de trabajo no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con aws:, se ignoran.
Las etiquetas se pueden asignar a los recursos de AWS y constan de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede asociar etiquetas a entidades de IAM (usuarios o roles) y a recursos de AWS. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte ¿Qué es ABAC para AWS? en la Guía del usuario de IAM.
nota
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Las etiquetas son accesibles para muchos Servicios de AWS, incluido AWS Billing. Para conocer más prácticas recomendadas para el etiquetado, consulte Etiquetado de recursos de AWS en la Referencia general de AWS.
Corrección
Para agregar etiquetas a un grupo de trabajo de Athena, consulte Agregar y eliminar etiquetas en un grupo de trabajo individual en la Guía del usuario de Amazon Athena.
[Athena.4] Los grupos de trabajo de Athena deben tener el registro habilitado
Categoría: Identificar - Registro
Gravedad: media
Tipo de recurso: AWS::Athena::WorkGroup
AWS Config Regla de: athena-workgroup-logging-enabled
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si un grupo de trabajo de Amazon Athena tiene el registro habilitado. El control falla si el grupo de trabajo no tiene el registro habilitado.
Los registros de auditoría rastrean y supervisan las actividades del sistema. Proporcionan un registro de los eventos que puede ayudarlo a detectar brechas de seguridad, investigar incidentes y cumplir con las normativas. Los registros de auditoría también mejoran la responsabilidad y la transparencia generales de su organización.
Corrección
Para obtener información sobre cómo habilitar el registro para un grupo de trabajo de Athena, consulte Habilitación de métricas de consultas de CloudWatch en Athena en la Guía del usuario de Amazon Athena.
