As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Controles do Security Hub para EventBridge

Esses AWS Security Hub os controles avaliam o EventBridge serviço e os recursos da Amazon.

Esses controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulteDisponibilidade de controles por região.

[EventBridge.2] ônibus de EventBridge eventos devem ser etiquetados

Categoria: Identificar > Inventário > Marcação

Severidade: baixa

Tipo de recurso: AWS::Events::EventBus

AWS Config regra: tagged-events-eventbus (regra personalizada do Security Hub)

Tipo de programação: acionado por alterações

Parâmetros:

Esse controle verifica se um barramento de EventBridge eventos da Amazon tem tags com as chaves específicas definidas no parâmetrorequiredTagKeys. O controle falhará se o barramento de eventos não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetrorequiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle só verificará a existência de uma chave de tag e falhará se o barramento de eventos não estiver marcado com nenhuma chave. As tags do sistema, que são aplicadas automaticamente e começam comaws:, são ignoradas.

Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. Você pode criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar a marcação, você pode implementar o controle de acesso baseado em atributos (ABAC) como uma estratégia de autorização, que define as permissões com base nas tags. Você pode anexar tags a IAM entidades (usuários ou funções) e a AWS recursos. Você pode criar uma única ABAC política ou um conjunto separado de políticas para seus IAM diretores. Você pode criar essas ABAC políticas para permitir operações quando a tag do diretor corresponder à tag do recurso. Para obter mais informações, consulte ABAC Para que serve AWS? no Guia do IAM usuário.

Correção

Para adicionar tags a um ônibus de EventBridge eventos, consulte as EventBridge tags da Amazon no Guia EventBridge do usuário da Amazon.

[EventBridge.3] os ônibus de eventos EventBridge personalizados devem ter uma política baseada em recursos anexada

Requisitos relacionados: NIST.800-53.r5 AC-2, NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-5, NIST.800-53.r5 AC-6, NIST.800-53.r5 AC-6 (3)

Categoria: Proteger > Gerenciamento de acesso seguro > Recursos não acessíveis ao público

Severidade: baixa

Tipo de recurso: AWS::Events::EventBus

AWS Config regra: custom-eventbus-policy-attached

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se um barramento de eventos EventBridge personalizado da Amazon tem uma política baseada em recursos anexada. Esse controle falhará se o barramento de eventos personalizado não tiver uma política baseada em recursos.

Por padrão, um barramento de eventos EventBridge personalizado não tem uma política baseada em recursos anexada. Isso permite que as entidades principais na conta acessem o barramento de eventos. Ao vincular uma política baseada em recursos ao barramento de eventos, você pode limitar o acesso ao barramento de eventos a contas especificadas, bem como conceder acesso intencional a entidades em outra conta.

Correção

Para anexar uma política baseada em recursos a um barramento de eventos EventBridge personalizado, consulte Usando políticas baseadas em recursos para a Amazon no Guia EventBridge do usuário da Amazon. EventBridge

[EventBridge.4] endpoints EventBridge globais devem ter a replicação de eventos ativada

Requisitos relacionados: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-13 (5)

Categoria: Recuperação > Resiliência > Alta disponibilidade

Severidade: média

Tipo de recurso: AWS::Events::Endpoint

AWS Config regra: global-endpoint-event-replication-enabled

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se a replicação de eventos está habilitada para um endpoint EventBridge global da Amazon. O controle falhará se a replicação de eventos não estiver habilitada para um endpoint global.

Os endpoints globais ajudam a tornar seu aplicativo tolerante a falhas regionais. Para começar, você atribui uma verificação de integridade do Amazon Route 53 ao endpoint. Quando o failover é iniciado, a verificação de integridade relata um estado “não íntegro”. Poucos minutos após o início do failover, todos os eventos personalizados são roteados para um barramento de eventos na região secundária e processados por esse barramento de eventos. Ao usar endpoints globais, você pode ativar a replicação de eventos. A replicação de eventos envia todos os eventos personalizados para os barramentos de eventos nas regiões primária e secundária usando regras gerenciadas. Recomendamos ativar a replicação de eventos ao configurar endpoints globais. A replicação de eventos ajuda você a verificar se seus endpoints globais estão configurados corretamente. A replicação de eventos é necessária para se recuperar automaticamente de um evento de failover. Se você não tiver a replicação de eventos ativada, precisará redefinir manualmente a verificação de integridade do Route 53 para “íntegra” antes que os eventos sejam redirecionados de volta para a região principal.

Correção

Para habilitar a replicação de eventos para endpoints EventBridge globais, consulte Criar um endpoint global no Guia do usuário da Amazon EventBridge . Em Replicação de eventos, selecione Replicação de eventos ativada.