Contrôles Security Hub pour EventBridge - AWS Security Hub

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Contrôles Security Hub pour EventBridge

Ces AWS Security Hub les contrôles évaluent le EventBridge service et les ressources Amazon.

Il se peut que ces commandes ne soient pas disponibles dans tous les cas Régions AWS. Pour plus d'informations, consultezDisponibilité des contrôles par région.

[EventBridge.2] les bus EventBridge d'événements doivent être étiquetés

Catégorie : Identifier > Inventaire > Étiquetage

Gravité : Faible

Type de ressource : AWS::Events::EventBus

AWS Config règle : tagged-events-eventbus (règle Security Hub personnalisée)

Type de calendrier : changement déclenché

Paramètres :

Paramètre Description Type Valeurs personnalisées autorisées Valeur par défaut de Security Hub
requiredTagKeys Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les clés de balises sont sensibles à la casse. StringList Liste des tags qui répondent AWS exigences Aucune valeur par défaut

Ce contrôle vérifie si un bus d' EventBridge événements Amazon possède des balises avec les clés spécifiques définies dans le paramètrerequiredTagKeys. Le contrôle échoue si le bus d'événements ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètrerequiredTagKeys. Si le paramètre requiredTagKeys n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le bus d'événements n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent paraws:, sont ignorées.

Un tag est un label que vous attribuez à un AWS ressource, et elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d'autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises à IAM des entités (utilisateurs ou rôles) et à AWS ressources. Vous pouvez créer une ABAC politique unique ou un ensemble de politiques distinct pour vos IAM mandants. Vous pouvez concevoir ces ABAC politiques pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir À quoi ABAC sert AWS? dans le guide de IAM l'utilisateur.

Note

N'ajoutez pas d'informations personnellement identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, y compris AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section Marquage de votre AWS ressources dans le Références générales AWS.

Correction

Pour ajouter des balises à un bus d' EventBridge événements, consultez les EventBridge balises Amazon dans le guide de EventBridge l'utilisateur Amazon.

[EventBridge.3] les bus d'événements EventBridge personnalisés doivent être associés à une politique basée sur les ressources

Exigences associées : NIST.800-53.r5 AC-2, NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-5, NIST.800-53.r5 AC-6, NIST.800-53.r5 AC-6 (3)

Catégorie : Protéger > Gestion des accès sécurisés > Ressource non accessible au public

Gravité : Faible

Type de ressource : AWS::Events::EventBus

AWS Config règle : custom-eventbus-policy-attached

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si un bus d'événements EventBridge personnalisé Amazon est associé à une politique basée sur les ressources. Ce contrôle échoue si le bus d'événements personnalisé n'a pas de politique basée sur les ressources.

Par défaut, aucune politique basée sur les ressources n'est attachée à un bus d'événements EventBridge personnalisé. Cela permet aux principaux associés au compte d'accéder au bus d'événements. En associant une politique basée sur les ressources au bus d'événements, vous pouvez limiter l'accès au bus d'événements à des comptes spécifiques, ainsi qu'accorder intentionnellement l'accès aux entités d'un autre compte.

Correction

Pour associer une politique basée sur les ressources à un bus d'événements EventBridge personnalisé, consultez la section Utilisation de politiques basées sur les ressources pour Amazon dans EventBridge le guide de l'utilisateur Amazon. EventBridge

[EventBridge.4] la réplication des événements doit être activée sur les points de terminaison EventBridge globaux

Exigences connexes : NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-13 (5)

Catégorie : Restauration > Résilience > Haute disponibilité

Gravité : Moyenne

Type de ressource : AWS::Events::Endpoint

AWS Config règle : global-endpoint-event-replication-enabled

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si la réplication des événements est activée pour un point de terminaison EventBridge mondial Amazon. Le contrôle échoue si la réplication des événements n'est pas activée pour un point de terminaison global.

Les points de terminaison mondiaux contribuent à rendre votre application tolérante aux pannes régionales. Pour commencer, affectez une surveillance d’état Amazon Route 53 au point de terminaison. Lorsque le basculement est lancé, le bilan de santé indique un état « non fonctionnel ». Quelques minutes après le lancement du basculement, tous les événements personnalisés sont routés vers un bus d’événements dans la région secondaire et sont traités par ce bus d’événements. Lorsque vous utilisez des points de terminaison globaux, vous pouvez activer la réplication d’événements. La réplication d’événements envoie tous les événements personnalisés aux bus d’événements des régions principale et secondaire à l’aide de règles gérées. Nous recommandons d'activer la réplication des événements lors de la configuration des points de terminaison globaux. La réplication d’événements vous permet de vérifier que vos points de terminaison globaux sont correctement configurés. La réplication des événements est requise pour effectuer une récupération automatique suite à un événement de basculement. Si la réplication des événements n'est pas activée, vous devrez réinitialiser manuellement le bilan de santé de Route 53 sur « sain » avant que les événements ne soient redirigés vers la région principale.

Note

Si vous utilisez des bus d'événements personnalisés, vous aurez besoin d'un bus pair personnalisé dans chaque région portant le même nom et le même compte pour que le basculement fonctionne correctement. L'activation de la réplication des événements peut augmenter vos coûts mensuels. Pour plus d'informations sur les tarifs, consultez EventBridge les tarifs Amazon.

Correction

Pour activer la réplication d'événements pour les points de terminaison EventBridge globaux, consultez la section Créer un point de terminaison global dans le guide de EventBridge l'utilisateur Amazon. Pour Réplication d'événements, sélectionnez Réplication d'événements activée.