Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Controlli Security Hub per EventBridge

Questi AWS Security Hub controlli valutano il EventBridge servizio e le risorse Amazon.

Questi controlli potrebbero non essere disponibili tutti Regioni AWS. Per ulteriori informazioni, consulta Disponibilità dei controlli per regione.

[EventBridge.2] i bus EventBridge degli eventi devono essere etichettati

Categoria: Identificazione > Inventario > Etichettatura

Gravità: bassa

Tipo di risorsa: AWS::Events::EventBus

AWS Config regola: tagged-events-eventbus (regola Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri:

Questo controllo verifica se un bus di EventBridge eventi Amazon ha tag con le chiavi specifiche definite nel parametrorequiredTagKeys. Il controllo fallisce se il bus degli eventi non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametrorequiredTagKeys. Se il parametro requiredTagKeys non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il bus di eventi non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano conaws:, vengono ignorati.

Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A cosa serve ABAC? AWS nella Guida per l'utente di IAM.

Correzione

Per aggiungere tag a un bus di EventBridge eventi, consulta i EventBridge tag Amazon nella Amazon EventBridge User Guide.

[EventBridge.3] i bus di eventi EventBridge personalizzati devono avere una politica basata sulle risorse allegata

Requisiti correlati: NIST.800-53.r5 AC-2, NIST.800-53.r5 AC-2 (1), (15) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7),, NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-6 (3) NIST.800-53.r5 AC-5 NIST.800-53.r5 AC-6, PCI DSS v4.0.1/10.3.1

Categoria: Protezione > Gestione sicura degli accessi > Risorsa non accessibile al pubblico

Gravità: bassa

Tipo di risorsa: AWS::Events::EventBus

Regola AWS Config : custom-eventbus-policy-attached

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se a un bus di eventi EventBridge personalizzato Amazon è associata una policy basata sulle risorse. Questo controllo fallisce se il bus di eventi personalizzato non dispone di una politica basata sulle risorse.

Per impostazione predefinita, a un bus di eventi EventBridge personalizzato non è associata una policy basata sulle risorse. Ciò consente ai responsabili dell'account di accedere al bus degli eventi. Allegando una policy basata sulle risorse al bus degli eventi, è possibile limitare l'accesso al bus degli eventi a determinati account, nonché concedere intenzionalmente l'accesso alle entità in un altro account.

Correzione

Per allegare una policy basata sulle risorse a un bus di eventi EventBridge personalizzato, consulta Using resource-based policies for Amazon EventBridge nella Amazon User Guide. EventBridge

[EventBridge.4] EventBridge gli endpoint globali dovrebbero avere la replica degli eventi abilitata

Requisiti correlati: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)

Categoria: Recupero > Resilienza > Alta disponibilità

Gravità: media

Tipo di risorsa: AWS::Events::Endpoint

Regola AWS Config : global-endpoint-event-replication-enabled

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se la replica degli eventi è abilitata per un endpoint EventBridge globale Amazon. Il controllo fallisce se la replica degli eventi non è abilitata per un endpoint globale.

Gli endpoint globali aiutano a rendere l'applicazione tollerante ai guasti regionali. Innanzitutto, devi assegnare un controllo dell'integrità Amazon Route 53 all'endpoint. Quando viene avviato il failover, il controllo dello stato segnala uno stato «non integro». Entro pochi minuti dall'avvio del failover, tutti gli eventi personalizzati vengono instradati a un router di eventi nella Regione secondaria e vengono elaborati da tale router di eventi. Quando utilizzi endpoint globali, puoi abilitare la replica degli eventi. La replica degli eventi invia tutti gli eventi personalizzati ai router di eventi nelle Regioni primarie e secondarie utilizzando regole gestite. Si consiglia di abilitare la replica degli eventi durante la configurazione degli endpoint globali. La replica degli eventi consente di verificare la corretta configurazione degli endpoint globali. La replica degli eventi è necessaria per il ripristino automatico da un evento di failover. Se non hai abilitato la replica degli eventi, dovrai reimpostare manualmente il controllo di integrità della Route 53 su «integro» prima che gli eventi vengano reindirizzati alla regione principale.

Correzione

Per abilitare la replica degli eventi per gli endpoint EventBridge globali, consulta Create a global endpoint nella Amazon EventBridge User Guide. Per la replica degli eventi, seleziona Replica degli eventi abilitata.