Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异，请参阅 中国的 Amazon Web Services 服务入门 (PDF)。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

亚马逊 EventBridge 控制

这些控制措施与 EventBridge 资源有关。

这些控件可能并非全部可用 Amazon Web Services 区域。有关更多信息，请参阅 按地区划分的控件可用性。

[EventBridge.3] EventBridge 自定义事件总线应附加基于资源的策略

相关要求：NIST.800-53.r5 AC-2、NIST.800-53.r5 AC-2(1)、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(15)、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-5、NIST.800-53.r5 AC-6、NIST.800-53.r5 AC-6(3)。

类别：保护 > 安全访问管理 > 资源策略配置

严重性：低

资源类型：AWS::Events::EventBus

Amazon Config 规则：custom-schema-registry-policy-attached

计划类型：已触发变更

参数：无

此控件会检查 Amazon EventBridge 自定义事件总线是否附加了基于资源的策略。如果自定义事件总线没有基于资源的策略，则此控制失败。

默认情况下， EventBridge 自定义事件总线不附加基于资源的策略。这允许账户中的主体访问事件总线。通过将基于资源的策略附加到事件总线，您可以将对事件总线的访问权限限制为指定账户，也可以有意向另一个账户中的实体授予访问权限。

修复

要将基于资源的策略附加到 EventBridge 自定义事件总线，请参阅 Amazon EventBridge 用户指南中的管理事件总线权限。

[EventBridge.4] EventBridge 全局端点应启用事件复制

相关要求：NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 SC-36、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-13(5)。

类别：恢复 > 弹性 > 高可用性

严重性：中

资源类型：AWS::Events::Endpoint

Amazon Config 规则：global-endpoint-event-replication-enabled

计划类型：已触发变更

参数：无

此控件检查是否为 Amazon EventBridge 全局终端节点启用了事件复制。如果未为全局端点启用事件复制，则控制失败。

全球端点有助于使应用程序具有区域容错能力。首先，您为端点分配一个 Amazon Route 53 运行状况检查。启动失效转移时，运行状况检查会报告“不正常”状态。在失效转移启动后的几分钟内，所有自定义事件都将路由到辅助区域的事件总线，并由该事件总线进行处理。使用全局端点时，可以启用事件复制。事件复制使用托管规则将所有自定义事件发送到主区域和次要区域的事件总线。我们建议在设置全局端点时启用事件复制。事件复制可帮助您验证全局端点配置是否正确。需要事件复制才能从失效转移事件中自动恢复。如果您未启用事件复制，则必须手动将 Route 53 运行状况检查重置为“正常”，然后才能将事件重新路由回主区域。

修复

要为 EventBridge 全局终端节点启用事件复制，请参阅 Amazon EventBridge 用户指南中的创建全局终端节点。对于事件复制，请选择启用事件复制。