本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
亚马逊 EventBridge 控制
这些控制措施与 EventBridge 资源有关。
这些控件可能并非全部可用 Amazon Web Services 区域。有关更多信息,请参阅 按地区划分的控件可用性。
[EventBridge.2] 应标记 EventBridge 活动总线
类别:识别 > 清单 > 标记
严重性:低
资源类型:Amazon::Events::EventBus
Amazon Config 规则:tagged-events-eventbus(自定义 Security Hub 规则)
计划类型:已触发变更
参数:
| 参数 | 描述 | 类型 | 允许的自定义值 | Security Hub 默认值 |
|---|---|---|---|---|
requiredTagKeys
|
评估的资源必须包含的非系统标签密钥列表。标签键区分大小写。 | StringList | 符合Amazon 要求的标签列表 | 无默认值 |
此控件检查 Amazon EventBridge 事件总线是否具有参数中定义的特定密钥的标签requiredTagKeys。如果事件总线没有任何标签键或者没有参数中指定的所有密钥,则控件将失败requiredTagKeys。如果requiredTagKeys未提供该参数,则控件仅检查标签键是否存在,如果事件总线未使用任何密钥标记,则该控件将失败。系统标签会自动应用并以其开头aws:,但会被忽略。
标签是您分配给 Amazon 资源的标签,它由密钥和可选值组成。您可以创建标签,按用途、所有者、环境或其他标准对资源进行分类。标签可以帮助您识别、组织、搜索和筛选资源。标记还可以帮助您跟踪负责任的资源所有者的操作和通知。使用标记时,可以实现基于属性的访问控制 (ABAC) 作为一种授权策略,该策略根据标签定义权限。您可以向 IAM 实体(用户或角色)和 Amazon 资源附加标签。您可以为您的 IAM 委托人创建单个 ABAC 策略或一组单独的策略。您可以将这些 ABAC 策略设计为允许在委托人的标签与资源标签匹配时进行操作。有关更多信息,请参阅 ABAC 有什么用 Amazon? 在 IAM 用户指南中。
注意
不要在标签中添加个人身份信息 (PII) 或其他机密或敏感信息。许多人都可以访问标签 Amazon Web Services,包括 Amazon Billing。有关更多标记最佳做法,请参阅中的为Amazon 资源添加标签。Amazon Web Services 一般参考
修复
要向 EventBridge 事件总线添加标签,请参阅《亚马逊 EventBridge 用户指南》中的 Amazon EventBridge 标签。
[EventBridge.3] EventBridge 自定义事件总线应附加基于资源的策略
相关要求:NIST.800-53.r5 AC-2、NIST.800-53.r5 AC-2(1)、NIST.800-53.r5 AC-3、NIST.800-53.r5 AC-3(15)、NIST.800-53.r5 AC-3(7)、NIST.800-53.r5 AC-5、NIST.800-53.r5 AC-6、NIST.800-53.r5 AC-6(3)。
类别:保护 > 安全访问管理 > 资源不公开访问
严重性:低
资源类型:AWS::Events::EventBus
Amazon Config 规则:custom-schema-registry-policy-attached
计划类型:已触发变更
参数:无
此控件会检查 Amazon EventBridge 自定义事件总线是否附加了基于资源的策略。如果自定义事件总线没有基于资源的策略,则此控制失败。
默认情况下, EventBridge 自定义事件总线不附加基于资源的策略。这允许账户中的主体访问事件总线。通过将基于资源的策略附加到事件总线,您可以将对事件总线的访问权限限制为指定账户,也可以有意向另一个账户中的实体授予访问权限。
修复
要将基于资源的策略附加到 EventBridge 自定义事件总线,请参阅 Amazon EventBridge 用户指南中的管理事件总线权限。
[EventBridge.4] EventBridge 全局端点应启用事件复制
相关要求:NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 SC-36、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-13(5)。
类别:恢复 > 弹性 > 高可用性
严重性:中
资源类型:AWS::Events::Endpoint
Amazon Config 规则:global-endpoint-event-replication-enabled
计划类型:已触发变更
参数:无
此控件检查是否为 Amazon EventBridge 全局终端节点启用了事件复制。如果未为全局端点启用事件复制,则控制失败。
全球端点有助于使应用程序具有区域容错能力。首先,您为端点分配一个 Amazon Route 53 运行状况检查。启动失效转移时,运行状况检查会报告“不正常”状态。在失效转移启动后的几分钟内,所有自定义事件都将路由到辅助区域的事件总线,并由该事件总线进行处理。使用全局端点时,可以启用事件复制。事件复制使用托管规则将所有自定义事件发送到主区域和次要区域的事件总线。我们建议在设置全局端点时启用事件复制。事件复制可帮助您验证全局端点配置是否正确。需要事件复制才能从失效转移事件中自动恢复。如果您未启用事件复制,则必须手动将 Route 53 运行状况检查重置为“正常”,然后才能将事件重新路由回主区域。
注意
如果您使用的是自定义事件总线,则需要在每个区域中使用同一个名称和相同账户的自定义偶数总线,这样失效转移才能正常运行。启用事件复制可能会增加月度成本。有关定价的信息,请参阅 Amazon EventBridge 定价
修复
要为 EventBridge 全局终端节点启用事件复制,请参阅 Amazon EventBridge 用户指南中的创建全局终端节点。对于事件复制,请选择启用事件复制。