本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
的 Security Hub 控制項 EventBridge
這些 AWS Security Hub 控制項會評估 Amazon EventBridge 服務和資源。
這些控制項可能並非全部可用 AWS 區域。如需詳細資訊,請參閱各區域控制項的可用性。
【EventBridge.2】 EventBridge 事件匯流排應加上標籤
類別:識別 > 庫存 > 標記
嚴重性:低
資源類型: AWS::Events::EventBus
AWS Config rule:tagged-events-eventbus(自訂 Security Hub 規則)
排程類型:已觸發變更
參數:
| 參數 | Description (描述) | Type | 允許的自訂值 | Security Hub 預設值 |
|---|---|---|---|---|
requiredTagKeys
|
評估的資源必須包含的非系統標籤索引鍵清單。標籤鍵會區分大小寫。 | StringList | 符合AWS 要求的標籤清單 | 無預設值 |
此控制項會檢查 Amazon EventBridge 事件匯流排是否具有具有參數 中定義之特定金鑰的標籤requiredTagKeys。如果事件匯流排沒有任何標籤索引鍵,或沒有參數 中指定的所有索引鍵,則控制項會失敗requiredTagKeys。如果requiredTagKeys未提供 參數,則控制項只會檢查標籤索引鍵是否存在,如果事件匯流排未使用任何索引鍵標記,則 會失敗。系統標籤會自動套用並以 開頭aws:,因此會遭到忽略。
標籤是您指派給 AWS 資源的標籤,它由索引鍵和選用值組成。您可建立標籤,依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的責任資源擁有者。使用標記時,您可以實作屬性型存取控制 (ABAC) 做為授權策略,以根據標籤定義許可。您可以將標籤連接至IAM實體 (使用者或角色) 和 AWS 資源。您可以為IAM委託人建立單一ABAC政策或個別的政策集。您可以設計這些ABAC政策,以便在主體的標籤符合資源標籤時允許操作。如需詳細資訊,請參閱IAM《 使用者指南》中的ABAC適用於什麼 AWS?。
注意
請勿在標籤中新增個人識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務,包括 AWS Billing。如需更多標記最佳實務,請參閱 中的標記您的 AWS 資源AWS 一般參考。
修補
若要將標籤新增至 EventBridge 事件匯流排,請參閱《Amazon 使用者指南》中的 Amazon EventBridge 標籤。 EventBridge
【EventBridge.3】 EventBridge 自訂事件匯流排應連接以資源為基礎的政策
相關要求: NIST.800-53.r5 AC-2、 NIST.800-53.r5 AC-2(1)、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(15)、NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-5、、 NIST.800-53.r5 AC-6(3) NIST.800-53.r5 AC-6、PCIDSSv4.0.1/10.3.1
類別:保護 > 安全存取管理 > 資源不可公開存取
嚴重性:低
資源類型: AWS::Events::EventBus
AWS Config 規則:custom-eventbus-policy-attached
排程類型:已觸發變更
參數:無
此控制項會檢查 Amazon EventBridge 自訂事件匯流排是否已連接以資源為基礎的政策。如果自訂事件匯流排沒有以資源為基礎的政策,則此控制會失敗。
根據預設, EventBridge 自訂事件匯流排不會連接以資源為基礎的政策。這可讓 帳戶中的主體存取事件匯流排。透過將資源型政策連接至事件匯流排,您可以將事件匯流排的存取權限制在指定的帳戶,以及刻意授予其他帳戶中的實體存取權。
修補
若要將資源型政策連接至 EventBridge 自訂事件匯流排,請參閱《Amazon 使用者指南》中的使用 Amazon 的資源型政策 EventBridge。 EventBridge
【EventBridge.4】 EventBridge 全域端點應該啟用事件複寫
相關要求: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-36、 NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-13(5)
類別:復原 > 彈性 > 高可用性
嚴重性:中
資源類型: AWS::Events::Endpoint
AWS Config 規則:global-endpoint-event-replication-enabled
排程類型:已觸發變更
參數:無
此控制項會檢查 Amazon EventBridge 全域端點是否已啟用事件複寫。如果全域端點未啟用事件複寫,則控制項會失敗。
全域端點有助於讓您的應用程式具有區域容錯能力。若要開始,請將 Amazon Route 53 運作狀態檢查指派給端點。啟動容錯移轉時,運作狀態檢查會報告「運作狀態不良」狀態。在容錯移轉初始化的幾分鐘內,所有自訂事件都會路由至次要區域中的事件匯流排,並由該事件匯流排處理。當您使用全域端點時,您可以啟用事件複寫。事件複寫會使用受管規則,將所有自訂事件傳送至主要和次要區域中的事件匯流排。我們建議您在設定全域端點時啟用事件複寫。事件複寫可協助您確認已正確設定全域端點。需要事件複寫,才能從容錯移轉事件自動復原。如果您未啟用事件複寫,則必須先手動將 Route 53 運作狀態檢查重設為「運作狀態」,事件才會重新路由回主要區域。
注意
如果您使用的是自訂事件匯流排,則每個區域中都需要具有相同名稱和相同帳戶中的自訂甚至匯流排,容錯移轉才能正常運作。啟用事件複寫可能會增加您的每月成本。如需定價的詳細資訊,請參閱 Amazon EventBridge 定價
修補
若要啟用 EventBridge 全域端點的事件複寫,請參閱《Amazon EventBridge 使用者指南》中的建立全域端點。針對事件複寫,選取啟用的事件複寫。
