

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# EventBridge에 대한 Security Hub CSPM 제어
<a name="eventbridge-controls"></a>

이러한 AWS Security Hub CSPM 제어는 Amazon EventBridge 서비스 및 리소스를 평가합니다.

이러한 컨트롤을 전혀 사용하지 못할 수 있습니다 AWS 리전. 자세한 내용은 [리전별 제어 기능 사용 가능 여부](securityhub-regions.md#securityhub-regions-control-support) 단원을 참조하십시오.

## [EventBridge.2] EventBridge 이벤트 버스에 태그를 지정해야 합니다.
<a name="eventbridge-2"></a>

**범주:** 식별 > 인벤토리 > 태그 지정

**심각도: ** 낮음

**리소스 유형:** `AWS::Events::EventBus`

**AWS Config 규칙:**`tagged-events-eventbus` (사용자 지정 Security Hub CSPM 규칙)

**스케줄 유형:** 변경이 트리거됨

**파라미터:**


| 파라미터 | 설명 | 형식 | 허용된 사용자 지정 값 | Security Hub CSPM 기본값 | 
| --- | --- | --- | --- | --- | 
|  requiredTagKeys  | 평가된 리소스에 포함되어야 하는 비시스템 태그 키 목록입니다. 태그 키는 대소문자를 구별합니다. | StringList(최대 6개 항목)  | [AWS 요구](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) 사항을 충족하는 1\$16개의 태그 키. | 기본값 없음  | 

이 제어는 Amazon EventBridge 이벤트 버스에 파라미터 `requiredTagKeys`에 정의된 특정 키가 있는 태그가 있는지 확인합니다. 이벤트 버스에 태그 키가 없거나 파라미터 `requiredTagKeys`에 지정된 모든 키가 없는 경우, 제어가 실패합니다. 파라미터 `requiredTagKeys`이 제공되지 않은 경우, 제어는 태그 키의 존재만 확인하고 이벤트 버스에 키로 태그가 지정되지 않은 경우 제어가 실패합니다. 자동으로 적용되고 `aws:`로 시작하는 시스템 태그는 무시됩니다.

태그는 AWS 리소스에 할당하는 레이블이며 키와 선택적 값으로 구성됩니다. 태그를 생성하여 용도, 소유자, 환경 또는 기타 기준으로 리소스를 분류할 수 있습니다. 태그를 사용하면 리소스를 식별, 정리, 검색 및 필터링하는 데 도움을 줍니다. 태깅은 또한 작업 및 알림에 대한 책임 리소스 소유자를 추적하는 데도 도움이 됩니다. 태깅을 사용하는 경우, 속성 기반 액세스 제어(ABAC)를 태그를 기반으로 권한을 정의하는 권한 부여 전략으로 구현할 수 있습니다. IAM 엔터티(사용자 또는 역할) 및 AWS 리소스에 태그를 연결할 수 있습니다. IAM 보안 주체에 대해 단일 ABAC 정책 또는 별도의 정책 세트를 생성할 수 있습니다. 이러한 ABAC 정책은 보안 주체의 태그가 리소스 태그와 일치할 때 작업을 허용하도록 설계할 수 있습니다. 자세한 내용은 *IAM 사용 설명서*의 [ABAC란 무엇입니까 AWS?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)를 참조하세요.

**참고**  
개인 식별 정보(PII)나 기타 기밀 정보 또는 민감한 정보를 태그에 추가하지 않습니다. 태그를 AWS 서비스비롯한 많은 사용자가 태그에 액세스할 수 있습니다 AWS Billing. 태그 지정 모범 사례는의 [AWS 리소스 태그 지정](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)을 참조하세요*AWS 일반 참조*.

### 문제 해결
<a name="eventbridge-2-remediation"></a>

EventBridge 이벤트 버스에 태그를 추가하려면 *Amazon EventBridge 사용 설명서*의 [Amazon EventBridge 태그](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-tagging.html)를 참조하세요.

## [EventBridge.3] EventBridge 사용자 지정 이벤트 버스에는 리소스 기반 정책이 연결되어 있어야 합니다.
<a name="eventbridge-3"></a>

**관련 요구 사항:** NIST.800-53.r5 AC-2, NIST.800-53.r5 AC-2(1), NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3(15), NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-5, NIST.800-53.r5 AC-6, NIST.800-53.r5 AC-6(3), PCI DSS v4.0.1/10.3.1

**범주:** 보호 > 보안 액세스 관리 > 공개적으로 액세스할 수 없는 리소스

**심각도: ** 낮음

**리소스 유형:** `AWS::Events::EventBus`

**AWS Config 규칙:** [https://docs.aws.amazon.com/config/latest/developerguide/custom-eventbus-policy-attached.html](https://docs.aws.amazon.com/config/latest/developerguide/custom-eventbus-policy-attached.html) 

**스케줄 유형:** 변경이 트리거됨

**파라미터:** 없음

이 제어는 Amazon EventBridge 사용자 지정 이벤트 버스에 리소스 기반 정책이 연결되어 있는지 확인합니다. 사용자 지정 이벤트 버스에 리소스 기반 정책이 없는 경우, 이 제어가 실패합니다.

기본적으로 EventBridge 사용자 지정 이벤트 버스에는 리소스 기반 정책이 연결되어 있지 않습니다. 이렇게 하면 계정의 보안 주체가 이벤트 버스에 액세스할 수 있습니다. 이벤트 버스에 리소스 기반 정책을 연결하면 이벤트 버스에 대한 액세스를 지정된 계정으로 제한할 수 있을 뿐만 아니라 의도적으로 다른 계정의 엔터티에 대한 액세스 권한을 부여할 수도 있습니다.

### 문제 해결
<a name="eventbridge-3-remediation"></a>

EventBridge 사용자 지정 이벤트 버스에 리소스 기반 정책을 연결하려면 *Amazon EventBridge 사용 설명서*의 [이벤트 버스 권한 관리](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-use-resource-based.html)를 참조하세요.

## [EventBridge.4] EventBridge 글로벌 엔드포인트에는 이벤트 복제가 활성화되어 있어야 합니다.
<a name="eventbridge-4"></a>

**관련 요구 사항:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-36, NIST.800-53.r5 SC-5(2), NIST.800-53.r5 SI-13(5)

**범주:** 복구 > 복원력 > 고가용성

**심각도:** 중간

**리소스 유형:** `AWS::Events::Endpoint`

**AWS Config 규칙:** [https://docs.aws.amazon.com/config/latest/developerguide/global-endpoint-event-replication-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/global-endpoint-event-replication-enabled.html) 

**스케줄 유형:** 변경이 트리거됨

**파라미터:** 없음

이 제어는 Amazon EventBridge 글로벌 엔드포인트에 대해 이벤트 복제가 활성화되어 있는지 확인합니다. 글로벌 엔드포인트에서 이벤트 복제가 활성화되지 않은 경우, 제어가 실패합니다.

글로벌 엔드포인트는 애플리케이션의 리전별 내결함성을 높이는 데 도움이 됩니다. 시작하려면 Amazon Route 53 상태 확인을 엔드포인트에 할당합니다. 장애 조치가 시작되면 상태 확인에서 "비정상" 상태를 보고합니다. 장애 조치가 시작된 후 몇 분 이내에 모든 사용자 지정 이벤트는 보조 리전의 이벤트 버스로 라우팅되고 해당 이벤트 버스에 의해 처리됩니다. 글로벌 엔드포인트를 사용하면 이벤트 복제를 활성화할 수 있습니다. 이벤트 복제는 관리형 규칙을 사용하여 모든 사용자 지정 이벤트를 기본 및 보조 리전의 이벤트 버스로 전송합니다. 글로벌 엔드포인트를 설정할 때는 이벤트 복제를 활성화하는 것이 좋습니다. 이벤트 복제를 통해 글로벌 엔드포인트가 올바르게 구성되었는지 확인할 수 있습니다. 장애 조치 이벤트에서 자동으로 복구하려면 이벤트 복제가 필요합니다. 이벤트 복제를 활성화하지 않은 경우, 이벤트가 기본 리전으로 다시 라우팅되기 전에 Route 53 상태 확인을 "정상"으로 수동으로 재설정해야 합니다.

**참고**  
사용자 지정 이벤트 버스를 사용하는 경우, 장애 조치가 제대로 작동하려면 각 리전에 동일한 이름과 동일한 계정을 가진 사용자 정의 짝수 버스가 필요합니다. 이벤트 복제를 활성화하면 월별 비용이 증가할 수 있습니다. 요금에 대한 자세한 내용은 [Amazon EventBridge 요금](https://aws.amazon.com/eventbridge/pricing/)을 참조하세요.

### 문제 해결
<a name="eventbridge-4-remediation"></a>

EventBridge 글로벌 엔드포인트에 대한 이벤트 복제를 활성화하려면 *Amazon EventBridge 사용 설명서*의 [글로벌 엔드포인트 생성](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-global-endpoints.html#eb-ge-create-endpoint)을 참조하세요. **이벤트 복제**의 경우, **이벤트 복제 활성화**를 선택합니다.