本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Security Hub 控制項 EventBridge
這些 AWS Security Hub 控制評估 Amazon 的 EventBridge 服務和資源。
這些控制項可能不適用於所有 AWS 區域。 如需詳細資訊,請參閱各區域控制項的可用性。
[EventBridge.2] EventBridge 活動總線應標記
類別:識別 > 庫存 > 標籤
嚴重性:低
資源類型:AWS::Events::EventBus
AWS Config 規則:tagged-events-eventbus(自訂 Security Hub 規則)
排程類型:已觸發變更
參數:
| 參數 | Description (描述) | Type | 允許的自訂值 | Security Hub 預設值 |
|---|---|---|---|---|
requiredTagKeys
|
評估資源必須包含的非系統標籤鍵清單。標籤鍵會區分大小寫。 | StringList | 符合的標籤列表 AWS 要求 | 無預設值 |
此控制項會檢查 Amazon EventBridge 事件匯流排是否具有標籤,其中包含參數中定義的特定金鑰requiredTagKeys。如果事件匯流排沒有任何標籤鍵,或者沒有在參數中指定的所有索引鍵,控制項就會失敗requiredTagKeys。如果requiredTagKeys未提供參數,控制項只會檢查標籤金鑰是否存在,如果事件匯流排未標記任何索引鍵,則會失敗。系統標籤 (自動套用並以aws:開頭) 會被忽略。
標籤是您指派給標籤 AWS 資源,它由一個鍵和一個可選值。您可建立標籤,依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、整理、搜尋和篩選資源。標記也可協助您追蹤可負責資源擁有者的動作和通知。使用標記時,您可以實作以屬性為基礎的存取控制 (ABAC) 作為授權策略,該策略會根據標籤定義權限。您可以將標籤附加至IAM實體 (使用者或角色),以及 AWS 的費用。您可以為IAM主參與者建立單一ABAC原則或個別的原則集。您可以設計這些ABAC原則,以便在主參與者的標籤符合資源標籤時允許作業。如需詳細資訊,請參閱用ABAC途 AWS? 在《IAM使用者指南》中。
注意
不要在標籤中添加個人身份信息(PII)或其他機密或敏感信息。許多人都可以訪問標籤 AWS 服務,包括 AWS Billing。 如需更多標記最佳做法,請參閱標記 AWS中的資源 AWS 一般參考.
修補
若要將標籤新增至 EventBridge 事件匯流排,請參閱 Amazon EventBridge 使用者指南中的 Amazon EventBridge 標籤。
[EventBridge.3] EventBridge 自定義事件總線應該附加基於資源的策略
相關要求: NIST.800-53.r5 AC-2, NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-5, NIST.800-53.r5 AC-6, NIST.800-53.r5 AC-6 (3)
分類:保護 > 安全存取管理 > 無法公開存取的資源
嚴重性:低
資源類型:AWS::Events::EventBus
AWS Config 規則:custom-eventbus-policy-attached
排程類型:已觸發變更
參數:無
此控制項可檢查 Amazon EventBridge 自訂事件匯流排是否附加了以資源為基礎的政策。如果自訂事件匯流排沒有以資源為基礎的政策,則此控制項會失敗。
根據預設, EventBridge 自訂事件匯流排沒有附加以資源為基礎的政策。這可讓帳戶中的主體存取事件匯流排。藉由將以資源為基礎的政策附加至事件匯流排,您可以將事件匯流排的存取限制為指定帳戶,也可以刻意將存取權授與其他帳戶中的實體。
修補
若要將以資源為基礎的政策附加到 EventBridge 自訂事件匯流排,請參閱 Amazon 使用 EventBridge 者指南 EventBridge中的使用 Amazon 以資源為基礎的政策。
[EventBridge.4] EventBridge 全域端點應啟用事件複寫
相關要求: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-36、 NIST.800-53.r5 SC-5 (2)、NIST SI-13
分類:復原 > 復原能力 > 高可用性
嚴重性:中
資源類型:AWS::Events::Endpoint
AWS Config 規則:global-endpoint-event-replication-enabled
排程類型:已觸發變更
參數:無
此控制項會檢查 Amazon EventBridge 全球端點是否啟用事件複寫。如果未為全域端點啟用事件複寫,則控制項會失敗。
全球端點有助於讓您的應用程式具備區域容錯能力。若要開始,請將 Amazon Route 53 運作狀態檢查指派給端點。啟動容錯移轉時,健全狀況檢查會報告「狀況不良」狀態。在容錯移轉初始化的幾分鐘內,所有自訂事件都會路由至次要區域中的事件匯流排,並由該事件匯流排處理。當您使用全域端點時,您可以啟用事件複寫。事件複寫會使用受管規則,將所有自訂事件傳送至主要和次要區域中的事件匯流排。建議您在設定全域端點時啟用事件複寫。事件複寫可協助您確認已正確設定全域端點。需要事件複寫,才能從容錯移轉事件自動復原。如果您沒有啟用事件複寫,您必須手動將 Route 53 健康狀態檢查重設為「狀況良好」,才能將事件重新路由回主要區域。
注意
如果您使用的是自訂事件匯流排,則需要在每個區域中使用相同名稱且使用相同帳戶的自訂偶數匯流排,以便容錯移轉正常運作。啟用事件複寫可能會增加您的每月成本。如需有關定價的資訊,請參閱 Amazon EventBridge 定價
修補
若要啟用 EventBridge 全球端點的事件複寫,請參閱 Amazon EventBridge 使用者指南中的建立全域端點。對於事件複製,選取已啟用事件複製。
