本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Security Hub 控件适用于 EventBridge
这些 AWS Security Hub 控制措施用于评估 Amazon EventBridge 服务和资源。
这些控件可能并非全部可用 AWS 区域。有关更多信息,请参阅 按地区划分的控件可用性。
[EventBridge.2] 应标记 EventBridge 活动总线
类别:识别 > 清单 > 标记
严重性:低
资源类型:AWS::Events::EventBus
AWS Config 规则:tagged-events-eventbus(自定义 Security Hub 规则)
计划类型:已触发变更
参数:
| 参数 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|
requiredTagKeys
|
被评估资源必须包含的非系统标签键列表。标签键区分大小写。 | StringList | 符合 AWS 要求的标签列表 | 无默认值 |
此控件检查 Amazon EventBridge 事件总线是否具有参数中定义的特定密钥的标签requiredTagKeys。如果事件总线没有任何标签键或者未在 requiredTagKeys 参数中指定所有键,则此控件将失败。如果未提供 requiredTagKeys 参数,则此控件仅检查是否存在标签键,如果事件总线未使用任何键进行标记,则此控件将失败。自动应用并以 aws: 为开头的系统标签会被忽略。
标签是您分配给 AWS 资源的标签,它由密钥和可选值组成。您可以创建标签,以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时,可以将基于属性的访问权限控制(ABAC)作为授权策略实施,该策略根据标签来定义权限。您可以向 IAM 实体(用户或角色)和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息,请参阅 ABAC 有什么用 AWS? 在 IAM 用户指南中。
注意
请勿在标签中添加个人身份信息(PII)或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务,包括 AWS Billing。有关更多标记最佳做法,请参阅中的为AWS 资源添加标签。AWS 一般参考
修复
要向 EventBridge 事件总线添加 EventBridge 标签,请参阅亚马逊 EventBridge 用户指南中的亚马逊标签。
[EventBridge.3] EventBridge 自定义事件总线应附加基于资源的策略
相关要求: NIST.800-53.r5 AC-2、 NIST.800-53.r5 AC-2 (1)、、(15) NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3 (7)、、、NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-6 (3) NIST.800-53.r5 AC-5 NIST.800-53.r5 AC-6、PCI DSS v4.0.1/10.3.1
类别:保护 > 安全访问管理 > 资源不公开访问
严重性:低
资源类型:AWS::Events::EventBus
AWS Config 规则:custom-eventbus-policy-attached
计划类型:已触发变更
参数:无
此控件检查 Amazon EventBridge 自定义事件总线是否附加了基于资源的策略。如果自定义事件总线没有基于资源的策略,则此控制失败。
默认情况下, EventBridge 自定义事件总线不附加基于资源的策略。这允许账户中的主体访问事件总线。通过将基于资源的策略附加到事件总线,您可以将对事件总线的访问权限限制为指定账户,也可以有意向另一个账户中的实体授予访问权限。
修复
要将基于资源的策略附加到 EventBridge 自定义事件总线,请参阅《亚马逊 EventBridge 用户指南》 EventBridge中的使用亚马逊基于资源的策略。
[EventBridge.4] EventBridge 全局端点应启用事件复制
相关要求: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-36、 NIST.800-53.r5 SC-5 (2)、nist.800-53.r5 SI-13 (5)
类别:恢复 > 弹性 > 高可用性
严重性:中
资源类型:AWS::Events::Endpoint
AWS Config 规则:global-endpoint-event-replication-enabled
计划类型:已触发变更
参数:无
此控件检查是否为 Amazon EventBridge 全局终端节点启用了事件复制。如果未为全局端点启用事件复制,则控制失败。
全球端点有助于使应用程序具有区域容错能力。首先,您为端点分配一个 Amazon Route 53 运行状况检查。启动失效转移时,运行状况检查会报告“不正常”状态。在失效转移启动后的几分钟内,所有自定义事件都将路由到辅助区域的事件总线,并由该事件总线进行处理。使用全局端点时,可以启用事件复制。事件复制使用托管规则将所有自定义事件发送到主区域和次要区域的事件总线。我们建议在设置全局端点时启用事件复制。事件复制可帮助您验证全局端点配置是否正确。需要事件复制才能从失效转移事件中自动恢复。如果您未启用事件复制,则必须手动将 Route 53 运行状况检查重置为“正常”,然后才能将事件重新路由回主区域。
注意
如果您使用的是自定义事件总线,则需要在每个区域中使用同一个名称和相同账户的自定义偶数总线,这样失效转移才能正常运行。启用事件复制可能会增加月度成本。有关定价的信息,请参阅 Amazon EventBridge 定价
修复
要为 EventBridge 全局终端节点启用事件复制,请参阅 Amazon EventBridge 用户指南中的创建全局终端节点。对于事件复制,请选择启用事件复制。
