の Security Hub コントロール EventBridge - AWS Security Hub

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

の Security Hub コントロール EventBridge

これらの AWS Security Hub コントロールは、Amazon EventBridge サービスとリソースを評価します。

これらのコントロールは、すべての で利用できるとは限りません AWS リージョン。詳細については、「リージョン別のコントロールの可用性」を参照してください。

〔EventBridge.2] EventBridge イベントバスにはタグを付ける必要があります

カテゴリ: 識別 > インベントリ > タグ付け

重要度:

リソースタイプ : AWS::Events::EventBus

AWS Config ルール:tagged-events-eventbus (カスタム Security Hub ルール)

スケジュールタイプ : 変更がトリガーされた場合

パラメータ :

パラメータ 説明 [Type] (タイプ) 許可されているカスタム値 Security Hub のデフォルト値
requiredTagKeys 評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは、大文字と小文字が区別されます。 StringList AWS 要件を満たすタグのリスト デフォルト値なし

このコントロールは、Amazon EventBridge イベントバスにパラメータ で定義された特定のキーを持つタグがあるかどうかをチェックしますrequiredTagKeys。イベントバスにタグキーがない場合、またはパラメータ で指定されたすべてのキーがない場合、コントロールは失敗しますrequiredTagKeys。パラメータが指定されていない場合、コントロールrequiredTagKeysはタグキーの存在のみをチェックし、イベントバスにキーがタグ付けされていない場合は失敗します。自動的に適用され、 で始まるシステムタグaws:は無視されます。

タグは、 AWS リソースに割り当てるラベルで、キーとオプションの値で構成されます。タグを作成することで、リソースを目的、所有者、環境その他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。また、タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセスコントロール (ABAC) を実装できます。タグは、IAMエンティティ (ユーザーまたはロール) と AWS リソースにアタッチできます。IAM プリンシパルには、1 つのABACポリシーまたは個別のポリシーセットを作成できます。プリンシパルのタグがリソースタグと一致するときにオペレーションを許可するように、これらのABACポリシーを設計できます。詳細については、「 IAMユーザーガイドABAC」の「 とは AWS」を参照してください。

注記

個人を特定できる情報 (PII) やその他の機密情報や機密情報をタグに追加しないでください。タグには AWS サービス、 を含む多くの がアクセスできます AWS Billing。タグ付けのベストプラクティスの詳細については、「」の「 AWS リソースのタグ付け」を参照してくださいAWS 全般のリファレンス

修正

EventBridge イベントバスにタグを追加するには、「Amazon ユーザーガイド」の「Amazon EventBridge タグ」を参照してください。 EventBridge

〔EventBridge.3] EventBridge カスタムイベントバスには、リソースベースのポリシーがアタッチされている必要があります

関連する要件: NIST.800-53.r5 AC-2, NIST.800-53.r5 AC-2(1) NIST.800-53.r5 AC-3、, NIST.800-53.r5 AC-3(15)、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-5、 NIST.800-53.r5 AC-6, NIST.800-53.r5 AC-6(3)

カテゴリ: 保護 > セキュアなアクセス管理 > パブリックアクセスが不可能なリソース

重要度:

リソースタイプ : AWS::Events::EventBus

AWS Config ルール : custom-eventbus-policy-attached

スケジュールタイプ: 変更がトリガーされた場合

パラメータ : なし

このコントロールは、Amazon EventBridge カスタムイベントバスにリソースベースのポリシーがアタッチされているかどうかを確認します。カスタムイベントバスにリソースベースのポリシーがない場合、このコントロールは失敗します。

デフォルトでは、 EventBridge カスタムイベントバスにはリソースベースのポリシーがアタッチされていません。これにより、アカウント内のプリンシパルはイベントバスにアクセスできます。リソースベースのポリシーをイベントバスにアタッチすることで、イベントバスへのアクセスを特定のアカウントに制限したり、別のアカウントのエンティティへのアクセスを意図的に許可したりできます。

修正

リソースベースのポリシーを EventBridge カスタムイベントバスにアタッチするには、「Amazon ユーザーガイド」の「Amazon でのリソースベースのポリシー EventBridgeの使用 EventBridge 」を参照してください。

〔EventBridge.4] EventBridge グローバルエンドポイントでは、イベントレプリケーションを有効にする必要があります

関連する要件: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-36、 NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-13(5)

カテゴリ: リカバリ > 耐障害性 > 高可用性

重要度:

リソースタイプ : AWS::Events::Endpoint

AWS Config ルール : global-endpoint-event-replication-enabled

スケジュールタイプ: 変更がトリガーされた場合

パラメータ : なし

このコントロールは、Amazon EventBridge グローバルエンドポイントでイベントレプリケーションが有効になっているかどうかを確認します。グローバルエンドポイントでイベントレプリケーションが有効になっていない場合、コントロールは失敗します。

グローバルエンドポイントによりアプリケーションをリージョンフォールトトレラントにできます。開始するには、エンドポイントに Amazon Route 53 ヘルスチェックを割り当てます。フェイルオーバーが開始されると、ヘルスチェックは「異常」状態を報告します。フェイルオーバーの開始から数分以内に、すべてのカスタムイベントがセカンダリリージョンのイベントバスにルーティングされ、そのイベントバスによって処理されます。グローバルエンドポイントを使用する場合、イベントレプリケーションを有効にできます。イベントレプリケーションは、マネージドルールを使用して、すべてのカスタムイベントをプライマリリージョンとセカンダリリージョンのイベントバスに送信します。グローバルエンドポイントを設定する場合は、イベントレプリケーションを有効にすることをお勧めします。イベントレプリケーションは、グローバルエンドポイントが正しく設定されていることを確認するのに役立ちます。フェイルオーバーイベントから自動的にリカバリするには、イベントレプリケーションが必要です。イベントレプリケーションを有効にしていない場合は、イベントがプライマリリージョンにルーティングされる前に、Route 53 ヘルスチェックを手動で「正常」にリセットする必要があります。

注記

カスタムイベントバスを使用している場合、フェイルオーバーが正常に機能するためには、各リージョンに同じ名前と同じアカウントを持つカスタムイベントバスが必要です。イベントレプリケーションを有効にすると、月額のコストが増加する可能性があります。料金の詳細については、「Amazon の EventBridge 料金」を参照してください。

修正

EventBridge グローバルエンドポイントのイベントレプリケーションを有効にするには、「Amazon ユーザーガイド」の「グローバルエンドポイントの作成」を参照してください。 EventBridge イベントレプリケーションの場合は、[イベントレプリケーションが有効] を選択します。