Controles de Security Hub para AWS Glue
Estos controles de AWS Security Hub CSPM evalúan el servicio y los recursos de AWS Glue. Es posible que estos controles no estén disponibles en todas las Regiones de AWS. Para obtener más información, consulte Disponibilidad de los controles por región.
[Glue.1] Los trabajos de AWS Glue deben estar etiquetados
Categoría: Identificar > Inventario > Etiquetado
Gravedad: baja
Tipo de recurso: AWS::Glue::Job
Regla de AWS Config: tagged-glue-job (regla personalizada de Security Hub)
Tipo de horario: provocado por un cambio
Parámetros:
| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiqueta distinguen entre mayúsculas y minúsculas. | StringList: (máximo de 6 elementos) | De 1 a 6 claves de etiquetas que cumplan los requisitos de AWS. | Sin valor predeterminado |
Este control comprueba si un trabajo de AWS Glue tiene etiquetas con claves específicas definidas en el parámetro requiredTagKeys. El control falla si el trabajo no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro requiredTagKeys. Si no se proporciona el parámetro requiredTagKeys, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si el trabajo no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con aws:, se ignoran.
Las etiquetas se pueden asignar a los recursos de AWS y constan de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede asociar etiquetas a entidades de IAM (usuarios o roles) y a recursos de AWS. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte ¿Qué es ABAC para AWS? en la Guía del usuario de IAM.
nota
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Las etiquetas son accesibles para muchos Servicios de AWS, incluido AWS Billing. Para conocer más prácticas recomendadas para el etiquetado, consulte Etiquetado de recursos de AWS en la Referencia general de AWS.
Corrección
Para agregar etiquetas a un trabajo de AWS Glue, consulte Etiquetas de AWS en AWS Glue en la Guía del usuario de AWS Glue.
[Glue.3] Las transformaciones de machine learning de AWS Glue deben cifrarse en reposo
Categoría: Proteger > Protección de datos > Cifrado de datos en reposo
Gravedad: media
Tipo de recurso: AWS::Glue::MLTransform
AWS Config Regla de: glue-ml-transform-encrypted-at-rest
Tipo de horario: provocado por un cambio
Parámetros: no
Este control comprueba si una transformación de machine learning de AWS Glue está cifrada en reposo. El control falla si la transformación de machine learning no está cifrada en reposo.
Los datos en reposo hacen referencia a los datos que se almacenan en un almacenamiento persistente y no volátil durante cualquier periodo de tiempo. El cifrado de datos en reposo permite proteger la confidencialidad de los datos, lo que reduce el riesgo de que un usuario no autorizado pueda acceder a ellos.
Corrección
Para configurar el cifrado para las transformaciones de machine learning de AWS Glue, consulte Cómo trabajar con transformaciones de machine learning en la Guía del usuario de AWS Glue.
[Glue.4] Los trabajos de AWS Glue Spark se deben ejecutar en versiones compatibles de AWS Glue
Requisitos relacionados: NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-2, NIST.800-53.r5 SI-2, NIST.800-53.r5 SI-2(2), NIST.800-53.r5 SI-2(4), NIST.800-53.r5 SI-2(5)
Categoría: Identificar > Administración de vulnerabilidades, parches y versiones
Gravedad: media
Tipo de recurso: AWS::Glue::Job
AWS Config Regla de: glue-spark-job-supported-version
Tipo de horario: provocado por un cambio
Parámetros: minimumSupportedGlueVersion: 3.0 (no personalizables)
Este control verifica si un resultado AWS Glue de un trabajo de Spark está configurado para ejecutarse en una versión compatible de AWS Glue. El control falla si el trabajo de Spark está configurado para ejecutarse en una versión de AWS Glue anterior a la versión mínima compatible.
nota
Este control también genera un resultado FAILED para un AWS Glue de un trabajo de Spark si la propiedad de versión AWS Glue (GlueVersion) no existe o es nula en el elemento de configuración (CI) del trabajo. En tales casos, el resultado incluye la anotación siguiente: GlueVersion is null or missing in glueetl job
configuration. Para resolver este tipo de resultado FAILED, agregue la propiedad GlueVersion a la configuración del trabajo. Para obtener una lista de versiones compatibles y entornos de tiempo de ejecución, consulte Versiones de AWS Glue en la Guía del usuario de AWS Glue.
La ejecución de trabajos de AWS Glue Spark en versiones actuales de AWS Glue puede optimizar el rendimiento, la seguridad y el acceso a las características más recientes de AWS Glue. También puede ayudar a proteger contra vulnerabilidades de seguridad. Por ejemplo, se puede publicar una versión nueva para ofrecer actualizaciones de seguridad, corregir problemas o incorporar características nuevas.
Corrección
Para obtener información sobre cómo migrar un trabajo de Spark a una versión compatible de AWS Glue, consulte Migración de AWS Glue para trabajos de Spark en la Guía del usuario de AWS Glue.
