Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Verschlüsselung von EventBridge Event-Bussen mit AWS KMS Schlüsseln
Sie können angeben, dass EventBridge Sie Ihre AWS KMS auf einem Event-Bus gespeicherten Daten mit einem verschlüsseln, anstatt einen AWS-eigener Schlüssel AS als Standard zu verwenden. Sie können einen vom Kunden verwalteten Schlüssel angeben, wenn Sie einen Event-Bus erstellen oder aktualisieren. Sie können den Standard-Event-Bus auch so aktualisieren, dass er einen vom Kunden verwalteten Schlüssel für die Verschlüsselung verwendet. Weitere Informationen finden Sie unter KMS-Schlüsseloptionen.
Wenn Sie einen vom Kunden verwalteten Schlüssel für einen Event-Bus angeben, EventBridge verwendet dieser Schlüssel, um Folgendes zu verschlüsseln:
Benutzerdefinierte Ereignisse und Partnerereignisse, die auf dem Event-Bus gespeichert sind.
Ereignisse vom AWS Service werden mit einem verschlüsselt AWS-eigener Schlüssel.
EventBridge verschlüsselt keine Event-Metadaten. Weitere Informationen zu Ereignismetadaten finden Sie unter Metadaten für AWS Dienstereignisse in der Ereignisreferenz.
-
Gehen Sie für jede Regel auf dem Bus wie folgt vor:
Das Regelereignismuster.
Zielinformationen, einschließlich Zieleingang, Eingangstransformatoren und Konfigurationsparameter.
Wenn die Ereignisbus-Protokollierung aktiviert ist, werden die
errorAbschnittedetailund die Protokolldatensätze aufgezeichnet.
Wenn Sie einen vom Kunden verwalteten Schlüssel für einen Event-Bus angeben, haben Sie die Möglichkeit, eine Dead-Letter-Queue (DLQ) für den Event-Bus anzugeben. EventBridge übermittelt dann alle benutzerdefinierten Ereignisse oder Partnerereignisse, die zu Verschlüsselungs- oder Entschlüsselungsfehlern führen, an diesen DLQ. Weitere Informationen finden Sie unter DLQs für verschlüsselte Ereignisse.
Anmerkung
Es wird dringend empfohlen, einen DLQ für Event-Busse anzugeben, um sicherzustellen, dass Ereignisse auch bei Verschlüsselungs- oder Entschlüsselungsfehlern erhalten bleiben.
Sie können auch angeben, dass für die Verschlüsselung von Event-Bus-Archiven vom Kunden verwaltete Schlüssel verwendet werden. Weitere Informationen finden Sie unter Archive verschlüsseln.
Anmerkung
Die Schemaerkennung wird für Event-Busse, die mit einem vom Kunden verwalteten Schlüssel verschlüsselt wurden, nicht unterstützt. Um die Schemaerkennung auf einem Event-Bus zu aktivieren, wählen Sie die Verwendung von AWS-eigener Schlüssel. Weitere Informationen finden Sie unter KMS-Schlüsseloptionen.
Kontext der Ereignisbus-Verschlüsselung
Ein Verschlüsselungskontext ist eine Gruppe von Schlüssel/Wert-Paaren mit willkürlichen, nicht geheimen Daten. Wenn Sie einen Verschlüsselungskontext in eine Anforderung zur Verschlüsselung von Daten aufnehmen, bindet AWS KMS den Verschlüsselungskontext kryptografisch an die verschlüsselten Daten. Zur Entschlüsselung der Daten müssen Sie denselben Verschlüsselungskontext übergeben.
Sie können den Verschlüsselungskontext auch als Bedingung für die Autorisierung in Richtlinien und Zuschüssen verwenden.
Wenn Sie zum Schutz Ihrer EventBridge Ressourcen einen vom Kunden verwalteten Schlüssel verwenden, können Sie anhand des Verschlüsselungskontextes die Verwendung dieses Schlüssels KMS key in Prüfaufzeichnungen und Protokollen identifizieren. Er wird auch im Klartext in Protokollen wie AWS CloudTrail und Amazon CloudWatch Logs angezeigt.
EventBridge Verwendet für Event-Busse bei allen AWS KMS kryptografischen Vorgängen denselben Verschlüsselungskontext. Der Kontext umfasst ein einzelnes Schlüssel-Wert-Paar, das den Event-Bus-ARN enthält.
"encryptionContext": { "kms:EncryptionContext:aws:events:event-bus:arn": "event-bus-arn" }
AWS KMS wichtige Richtlinie für den Eventbus
Die folgende Beispiel-Schlüsselrichtlinie stellt die erforderlichen Berechtigungen für einen Event-Bus bereit:
kms:DescribeKeykms:GenerateDataKeykms:Decrypt
Aus Sicherheitsgründen empfehlen wir, Bedingungsschlüssel in die Schlüsselrichtlinie aufzunehmen, um sicherzustellen, dass der KMS-Schlüssel nur für die angegebene Ressource oder das angegebene Konto EventBridge verwendet wird. Weitere Informationen finden Sie unter Sicherheitsüberlegungen.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowEventBridgeToValidateKeyPermission", "Effect": "Allow", "Principal": { "Service": "events.amazonaws.com" }, "Action": [ "kms:DescribeKey" ], "Resource": "*" }, { "Sid": "AllowEventBridgeToEncryptEvents", "Effect": "Allow", "Principal": { "Service": "events.amazonaws.com" }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "*", "Condition": { "StringEquals": { "kms:EncryptionContext:aws:events:event-bus:arn": "arn:aws:events:us-east-1:123456789012:event-bus/event-bus-arn", "aws:SourceArn": "arn:aws:events:us-east-1:123456789012:event-bus/event-bus-name" } } } ] }
AWS KMS wichtige Berechtigungen für Event-Bus-Aktionen
Um einen mit einem vom Kunden verwalteten Schlüssel verschlüsselten Event-Bus zu erstellen oder zu aktualisieren, benötigen Sie die folgenden Berechtigungen für den angegebenen kundenverwalteten Schlüssel:
kms:GenerateDataKeyWithoutPlaintextkms:Decryptkms:Encryptkms:ReEncryptFromkms:ReEncryptTokms:DescribeKey
Um bestimmte Event-Bus-Aktionen auf einem Event-Bus durchzuführen, der mit einem vom Kunden verwalteten Schlüssel verschlüsselt wurde, benötigen Sie außerdem die entsprechenden kms:Decrypt Berechtigungen für den angegebenen, vom Kunden verwalteten Schlüssel. Zu diesen Aktionen gehören:
