Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Verschlüsselung von EventBridge Event-Bussen mit AWS KMS Schlüsseln
Sie können angeben, dass EventBridge Sie Ihre AWS KMS auf einem Event-Bus gespeicherten Daten mit einem verschlüsseln, anstatt einen AWS-eigener Schlüssel AS als Standard zu verwenden. Sie können einen vom Kunden verwalteten Schlüssel angeben, wenn Sie einen Event-Bus erstellen oder aktualisieren. Sie können den Standard-Event-Bus auch so aktualisieren, dass er einen vom Kunden verwalteten Schlüssel für die Verschlüsselung verwendet. Weitere Informationen finden Sie unter [KMS-Schlüsseloptionen](eb-encryption-at-rest-key-options.md).
Wenn Sie einen vom Kunden verwalteten Schlüssel für einen Event-Bus angeben, EventBridge verwendet dieser Schlüssel, um Folgendes zu verschlüsseln:
+ [Benutzerdefinierte](eb-putevents.md) Ereignisse und [Partnerereignisse](eb-saas.md), die auf dem Event-Bus gespeichert sind.
Ereignisse vom AWS Service werden mit einem verschlüsselt AWS-eigener Schlüssel.
EventBridge verschlüsselt keine Ereignismetadaten. Weitere Informationen zu Ereignismetadaten finden Sie unter Metadaten für [AWS Dienstereignisse](https://docs.aws.amazon.com/eventbridge/latest/ref/events-structure.html) in der *Ereignisreferenz.*
+ Gehen Sie für jede [Regel](eb-rules.md) auf dem Bus wie folgt vor:
+ Das [Regelereignismuster](eb-event-patterns.md).
+ [Zielinformationen](eb-targets.md), einschließlich Zieleingang, [Eingangstransformatoren](eb-transform-target-input.md) und [Konfigurationsparameter](eb-create-rule-wizard.md#eb-create-rule-target).
+ Wenn die [Ereignisbus-Protokollierung](eb-event-bus-logs.md) aktiviert ist, werden die `error` Abschnitte `detail` und die Protokolldatensätze aufgezeichnet.
Wenn Sie einen vom Kunden verwalteten Schlüssel für einen Event-Bus angeben, haben Sie die Möglichkeit, eine Dead-Letter-Queue (DLQ) für den Event-Bus anzugeben. EventBridge übermittelt dann alle benutzerdefinierten Ereignisse oder Partnerereignisse, die zu Verschlüsselungs- oder Entschlüsselungsfehlern führen, an diesen DLQ. Weitere Informationen finden Sie unter [DLQs für verschlüsselte Ereignisse](eb-encryption-event-bus-dlq.md).
**Anmerkung**
Es wird dringend empfohlen, einen DLQ für Event-Busse anzugeben, um sicherzustellen, dass Ereignisse auch bei Verschlüsselungs- oder Entschlüsselungsfehlern erhalten bleiben.
Sie können auch angeben, dass für die Verschlüsselung von Event-Bus-Archiven vom Kunden verwaltete Schlüssel verwendet werden. Weitere Informationen finden Sie unter [Verschlüsseln von Archiven](encryption-archives.md).
**Anmerkung**
Die Schemaerkennung wird für Event-Busse, die mit einem vom Kunden verwalteten Schlüssel verschlüsselt wurden, nicht unterstützt. Um die Schemaerkennung auf einem Event-Bus zu aktivieren, wählen Sie die Verwendung von AWS-eigener Schlüssel. Weitere Informationen finden Sie unter [KMS-Schlüsseloptionen](eb-encryption-at-rest-key-options.md).
## Kontext der Ereignisbus-Verschlüsselung
Ein [Verschlüsselungskontext](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#encrypt_context) ist eine Gruppe von Schlüssel/Wert-Paaren mit willkürlichen, nicht geheimen Daten. Wenn Sie einen Verschlüsselungskontext in eine Anforderung zur Verschlüsselung von Daten aufnehmen, bindet AWS KMS den Verschlüsselungskontext kryptografisch an die verschlüsselten Daten. Zur Entschlüsselung der Daten müssen Sie denselben Verschlüsselungskontext übergeben.
Sie können den Verschlüsselungskontext auch als Bedingung für die Autorisierung in Richtlinien und Zuschüssen verwenden.
Wenn Sie zum Schutz Ihrer EventBridge Ressourcen einen vom Kunden verwalteten Schlüssel verwenden, können Sie anhand des Verschlüsselungskontextes die Verwendung dieses Schlüssels KMS key in Prüfaufzeichnungen und Protokollen identifizieren. Er wird auch im Klartext in Protokollen wie [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) und [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) angezeigt.
EventBridge Verwendet für Event-Busse bei allen AWS KMS kryptografischen Vorgängen denselben Verschlüsselungskontext. Der Kontext umfasst ein einzelnes Schlüssel-Wert-Paar, das den Event-Bus-ARN enthält.
```
"encryptionContext": {
"kms:EncryptionContext:aws:events:event-bus:arn": "event-bus-arn"
}
```
## AWS KMS wichtige Richtlinie für den Eventbus
Die folgende Beispiel-Schlüsselrichtlinie stellt die erforderlichen Berechtigungen für einen Event-Bus bereit:
+ `kms:DescribeKey`
+ `kms:GenerateDataKey`
+ `kms:Decrypt`
Aus Sicherheitsgründen empfehlen wir, Bedingungsschlüssel in die Schlüsselrichtlinie aufzunehmen, um sicherzustellen, dass der KMS-Schlüssel nur für die angegebene Ressource oder das angegebene Konto EventBridge verwendet wird. Weitere Informationen finden Sie unter [Sicherheitsüberlegungen](eb-encryption-key-policy.md#eb-encryption-event-bus-confused-deputy).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowEventBridgeToValidateKeyPermission",
"Effect": "Allow",
"Principal": {
"Service": "events.amazonaws.com"
},
"Action": [
"kms:DescribeKey"
],
"Resource": "*"
},
{
"Sid": "AllowEventBridgeToEncryptEvents",
"Effect": "Allow",
"Principal": {
"Service": "events.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:aws:events:event-bus:arn": "arn:aws:events:us-east-1:123456789012:event-bus/event-bus-arn",
"aws:SourceArn": "arn:aws:events:us-east-1:123456789012:event-bus/event-bus-name"
}
}
}
] }
```
------
## AWS KMS wichtige Berechtigungen für Event-Bus-Aktionen
Um einen mit einem vom Kunden verwalteten Schlüssel verschlüsselten Event-Bus zu erstellen oder zu aktualisieren, benötigen Sie die folgenden Berechtigungen für den angegebenen kundenverwalteten Schlüssel:
+ `kms:GenerateDataKeyWithoutPlaintext`
+ `kms:Decrypt`
+ `kms:Encrypt`
+ `kms:ReEncryptFrom`
+ `kms:ReEncryptTo`
+ `kms:DescribeKey`
Um bestimmte Event-Bus-Aktionen auf einem Event-Bus durchzuführen, der mit einem vom Kunden verwalteten Schlüssel verschlüsselt wurde, benötigen Sie außerdem die entsprechenden `kms:Decrypt` Berechtigungen für den angegebenen, vom Kunden verwalteten Schlüssel. Zu diesen Aktionen gehören:
+ `[DescribeRule](https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_DescribeRule.html)`
+ `[DisableRule](https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_DisableRule.html)`
+ `[EnableRule](https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_EnableRule.html)`
+ `[ListRules](https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_ListRules.html)`
+ `[ListTargetsByRule](https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_ListTargetsByRule.html)`
+ `[PutRule](https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutRule.html)`
+ `[ListRuleNamesByTarget](https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_ListRuleNamesByTarget.html)`
+ `[PutTargets](https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutTargets.html)`
# Konfiguration der Verschlüsselung auf EventBridge Event-Bussen
Sie können den KMS-Schlüssel angeben, der verwendet werden EventBridge soll, wenn Sie einen Event-Bus erstellen oder aktualisieren. Sie können den Standard-Event-Bus auch so aktualisieren, dass er auch einen vom Kunden verwalteten Schlüssel verwendet.
## Angabe des AWS KMS Schlüssels, der für die Verschlüsselung verwendet wird, wenn ein Event-Bus erstellt wird
Die Auswahl des für die Verschlüsselung verwendeten AWS KMS Schlüssels ist Teil der Erstellung eines Event-Busses. Standardmäßig wird der von AWS-eigener Schlüssel bereitgestellte Wert verwendet EventBridge.
**Um bei der Erstellung eines Event-Busses (Konsole) einen vom Kunden verwalteten Schlüssel für die Verschlüsselung anzugeben**
+ Folgen Sie diesen Anweisungen:
[Erstellen eines Event Bus](eb-create-event-bus.md).
**So geben Sie einen vom Kunden verwalteten Schlüssel für die Verschlüsselung bei der Erstellung eines Event Bus (CLI) an**
+ Verwenden Sie beim Aufrufen die `kms-key-identifier` Option`[create-event-bus](https://docs.aws.amazon.com/cli/latest/reference/events/create-event-bus.html)`, um den vom Kunden verwalteten Schlüssel anzugeben EventBridge , der für die Verschlüsselung auf dem Event-Bus verwendet werden soll.
Verwenden Sie diese Option optional, `dead-letter-config` um eine Warteschlange mit unerlaubten Briefen (DLQ) anzugeben.
## Aktualisierung des AWS KMS Schlüssels, der für die Verschlüsselung auf einem Event-Bus verwendet wird
Sie können den AWS KMS Schlüssel, der für die Verschlüsselung im Ruhezustand verwendet wird, auf einem vorhandenen Event-Bus aktualisieren. Dies umfasst:
+ Wechsel vom Standardschlüssel AWS-eigener Schlüssel zu einem vom Kunden verwalteten Schlüssel.
+ Wechsel von einem vom Kunden verwalteten Schlüssel zum Standardschlüssel AWS-eigener Schlüssel.
+ Wechsel von einem vom Kunden verwalteten Schlüssel zu einem anderen.
Wenn Sie einen Event-Bus so aktualisieren, dass er einen anderen AWS KMS Schlüssel verwendet, werden alle auf dem Event-Bus gespeicherten Daten EventBridge entschlüsselt und anschließend mit dem neuen Schlüssel verschlüsselt.
**Um den KMS-Schlüssel zu aktualisieren, der für die Verschlüsselung auf einem Event-Bus (Konsole) verwendet wird**
1. Öffnen Sie die EventBridge Amazon-Konsole unter [https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/).
1. Wählen Sie im Navigationsbereich die Option **Event Buses** aus.
1. Wählen Sie den Event-Bus aus, den Sie aktualisieren möchten.
1. Wählen Sie auf der Detailseite des Event-Busses die Registerkarte **Verschlüsselung** aus.
1. Wählen Sie den KMS-Schlüssel aus EventBridge , der bei der Verschlüsselung der auf dem Event-Bus gespeicherten Ereignisdaten verwendet werden soll:
+ Wählen Sie **Verwenden AWS-eigener Schlüssel** für EventBridge , um die Daten mit einem zu verschlüsseln. AWS-eigener Schlüssel
Dies AWS-eigener Schlüssel ist ein KMS-Schlüssel, der mehrere Konten EventBridge besitzt und für die Verwendung in mehreren AWS Konten verwaltet wird. Im Allgemeinen gilt: Sofern Sie nicht verpflichtet sind, den Verschlüsselungsschlüssel, der Ihre Ressourcen schützt, zu überprüfen oder zu kontrollieren, AWS-eigener Schlüssel ist an eine gute Wahl.
Dies ist die Standardeinstellung.
+ Wählen Sie **Kundenverwalteten Schlüssel verwenden** für EventBridge , um die Daten mit dem vom Kunden verwalteten Schlüssel zu verschlüsseln, den Sie angeben oder erstellen.
Kundenverwaltete Schlüssel sind KMS-Schlüssel in Ihrem AWS , die Sie erstellen, besitzen und verwalten. Sie haben die volle Kontrolle über diese KMS-Schlüssel.
1. Geben Sie einen vorhandenen, vom Kunden verwalteten Schlüssel an, oder wählen Sie **Neuen KMS-Schlüssel erstellen**.
EventBridge zeigt den Schlüsselstatus und alle Schlüsselaliase an, die dem angegebenen vom Kunden verwalteten Schlüssel zugeordnet wurden.
1. Wählen Sie die Amazon SQS SQS-Warteschlange, die als Dead-Letter-Warteschlange (DLQ) für diesen Event-Bus verwendet werden soll, falls vorhanden.
EventBridge sendet Ereignisse, die nicht erfolgreich verschlüsselt wurden, an den DLQ, sofern konfiguriert, sodass Sie sie später verarbeiten können.
**So aktualisieren Sie den KMS-Schlüssel, der für die Verschlüsselung auf einem Event Bus (CLI) verwendet wird**
+ Verwenden Sie beim Anrufen die `kms-key-identifier` Option`[update-event-bus](https://docs.aws.amazon.com/cli/latest/reference/events/create-event-bus.html)`, um den vom Kunden verwalteten Schlüssel anzugeben EventBridge , der für die Verschlüsselung auf dem Event-Bus verwendet werden soll.
Verwenden Sie diese Option optional, `dead-letter-config` um eine Warteschlange mit unerlaubten Briefen (DLQ) anzugeben.
**Um den KMS-Schlüssel, der für die Verschlüsselung auf dem Standardereignisbus verwendet wird, zu aktualisieren, verwenden Sie CloudFormation**
Da EventBridge der Standardereignisbus Ihrem Konto automatisch zugewiesen wird, können Sie ihn nicht mithilfe einer CloudFormation Vorlage erstellen, wie Sie es normalerweise für jede Ressource tun würden, die Sie in einen CloudFormation Stapel aufnehmen möchten. Um den Standard-Event-Bus in einen CloudFormation Stack aufzunehmen, müssen Sie ihn zuerst in einen Stack *importieren*. Nachdem Sie den Standard-Event-Bus in einen Stack importiert haben, können Sie die Eigenschaften des Event-Busses nach Bedarf aktualisieren.
+ Folgen Sie diesen Anweisungen:
[Aktualisieren eines Standard-Busses mit CloudFormation](event-bus-update-default-cfn.md).
# Verschlüsselung EventBridge , wenn ein Event-Bus das Regelziel ist
Wenn ein benutzerdefiniertes Ereignis oder ein Partnerereignis an einen Event-Bus gesendet wird, wird dieses Ereignis entsprechend der KMS-Schlüsselkonfiguration für Verschlüsselung im Ruhezustand für diesen Eventbus EventBridge verschlüsselt — entweder der Standard AWS-eigener Schlüssel - oder ein vom Kunden verwalteter Schlüssel, falls einer angegeben wurde. Wenn ein Ereignis mit einer Regel übereinstimmt, wird das Ereignis mit der KMS-Schlüsselkonfiguration für diesen Ereignisbus EventBridge verschlüsselt, bis das Ereignis an das Regelziel gesendet wird, *sofern es sich bei dem Regelziel nicht um einen anderen Ereignisbus handelt*.
+ Wenn das Ziel einer Regel ein anderer Event-Bus in derselben AWS Region ist:
Wenn der Ziel-Event-Bus über einen vom Kunden verwalteten Schlüssel verfügt, wird das Ereignis stattdessen mit dem vom Kunden verwalteten Schlüssel des Ziel-Event-Busses für die Zustellung EventBridge verschlüsselt.
![\[Ein Ereignis, das von einem Event-Bus an einen anderen gesendet und mit dem Schlüssel des Ziel-Event-Busses verschlüsselt wird.\]](http://docs.aws.amazon.com/de_de/eventbridge/latest/userguide/images/cmkms-bus-same-region_eventbridge_conceptual.svg)
+ Wenn das Ziel einer Regel ein anderer Event-Bus in einer anderen AWS Region ist:
EventBridge verschlüsselt das Ereignis im Ruhezustand gemäß der KMS-Schlüsselkonfiguration auf dem ersten Ereignisbus. EventBridge verwendet TLS, um das Ereignis an den zweiten Event-Bus in der anderen Region zu senden, wo es dann entsprechend der für den Ziel-Event-Bus angegebenen KMS-Schlüsselkonfiguration verschlüsselt wird.
![\[Ein Ereignis, das mithilfe von TLS während der Übertragung an einen Ziel-Event-Bus in einer anderen Region gesendet wird.\]](http://docs.aws.amazon.com/de_de/eventbridge/latest/userguide/images/cmkms-bus-cross-region_eventbridge_conceptual.svg)
# Ereignisverschlüsselung für verwaltete Regeln in EventBridge
AWS Dienste können in Ihrem AWS Konto Event-Bus-Regeln erstellen und verwalten, die für bestimmte Funktionen in diesen Diensten benötigt werden. Im Rahmen einer verwalteten Regel kann der AWS Dienst angeben, dass der vom Kunden verwaltete Schlüssel EventBridge verwendet wird, der für das Regelziel angegeben ist. Auf diese Weise können Sie je nach Regelziel flexibel angeben, welcher vom Kunden verwaltete Schlüssel verwendet werden soll.
In diesen Fällen wird, sobald ein benutzerdefiniertes Ereignis oder ein Partnerereignis mit der verwalteten Regel übereinstimmt, der vom Kunden verwaltete Zielschlüssel EventBridge verwendet, der in der verwalteten Regel angegeben ist, um das Ereignis zu verschlüsseln, bis es an das Regelziel gesendet wird. Dies gilt unabhängig davon, ob der Event-Bus so konfiguriert wurde, dass er seinen eigenen, vom Kunden verwalteten Schlüssel für die Verschlüsselung verwendet. Dies ist auch dann der Fall, wenn das Ziel der verwalteten Regel ein anderer Event-Bus ist und für diesen Event-Bus ein eigener, vom Kunden verwalteter Schlüssel für die Verschlüsselung spezifiziert wurde. EventBridge verwendet weiterhin den vom Zielkunden verwalteten Schlüssel, der in der verwalteten Regel angegeben ist, bis das Ereignis an ein Ziel gesendet wird, bei dem es sich nicht um einen Event-Bus handelt.
![\[Ein Ereignis, das einer verwalteten Regel entspricht und mit dem Schlüssel des Regelziels verschlüsselt wurde.\]](http://docs.aws.amazon.com/de_de/eventbridge/latest/userguide/images/cmkms-bus-managed-rule_eventbridge_conceptual.svg)
In Fällen, in denen das Regelziel ein Event-Bus in einer anderen Region ist, müssen Sie einen [Schlüssel für mehrere Regionen](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html) angeben. Der Event-Bus in der ersten Region verschlüsselt das Ereignis mithilfe des vom Kunden verwalteten Schlüssels, der in der verwalteten Regel angegeben ist. Anschließend sendet er das Ereignis an den Ziel-Event-Bus in der zweiten Region. Dieser Eventbus muss in der Lage sein, den vom Kunden verwalteten Schlüssel weiter zu verwenden, bis er das Ereignis an sein Ziel sendet.
# Verschlüsselung von Event-Bus-Logs mit AWS KMS in EventBridge
EventBridge Verschlüsselt beim Senden von Protokollen die `error` Abschnitte `detail` und jedes Protokolldatensatzes mit dem für den Event-Bus angegebenen KMS-Schlüssel. Wenn Sie einen vom Kunden verwalteten Schlüssel für den Event-Bus angegeben haben, EventBridge verwendet dieser Schlüssel für die Verschlüsselung bei der Übertragung. Nach der Übermittlung wird der Datensatz entschlüsselt und anschließend mit dem für das Protokollziel angegebenen KMS-Schlüssel erneut verschlüsselt.
## Der Ereignisbus protokolliert den Verschlüsselungskontext
Ein [Verschlüsselungskontext](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#encrypt_context) ist eine Gruppe von Schlüssel/Wert-Paaren mit willkürlichen, nicht geheimen Daten. Wenn Sie einen Verschlüsselungskontext in eine Anforderung zur Verschlüsselung von Daten aufnehmen, bindet AWS KMS den Verschlüsselungskontext kryptografisch an die verschlüsselten Daten. Zur Entschlüsselung der Daten müssen Sie denselben Verschlüsselungskontext übergeben.
Sie können den Verschlüsselungskontext auch als Bedingung für die Autorisierung in Richtlinien und Zuschüssen verwenden.
Wenn Sie zum Schutz Ihrer EventBridge Ressourcen einen vom Kunden verwalteten Schlüssel verwenden, können Sie anhand des Verschlüsselungskontextes die Verwendung dieses Schlüssels KMS key in Prüfaufzeichnungen und Protokollen identifizieren. Er wird auch im Klartext in Protokollen wie [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) und [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) angezeigt.
EventBridge Verwendet für Event-Bus-Logs bei allen AWS KMS kryptografischen Vorgängen denselben Verschlüsselungskontext.
```
"encryptionContext": {
"kms:EncryptionContext:SourceArn": "arn:partition:logs:region:account:*"
}
```
## AWS KMS wichtige Richtlinienberechtigungen für die Ereignisbus-Protokollierung
Für Eventbusse, die einen vom Kunden verwalteten Schlüssel verwenden, müssen Sie der Schlüsselrichtlinie die folgenden Berechtigungen hinzufügen.
+ Erlauben EventBridge Sie die Verschlüsselung von Protokollen mit dem vom Kunden verwalteten Schlüssel.
```
{
"Sid": "Enable log service encryption",
"Effect": "Allow",
"Principal": {
"Service": "events.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:EncryptionContext:SourceArn": "arn:partition:logs:region:account:*"
}
}
}
```
+ Erlauben Sie dem Protokollierungsdienst, die von gesendeten Protokolle zu entschlüsseln. EventBridge
```
{
"Sid": "Enable log delivery decryption",
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:EncryptionContext:SourceArn": "arn:partition:logs:region:account:*"
}
}
}
```
# Verwendung von Warteschlangen mit unverschlüsselten Buchstaben zur Erfassung verschlüsselter Ereignisfehler in EventBridge
Wenn Sie die vom Kunden verwaltete Schlüsselverschlüsselung auf einem Event-Bus konfigurieren, empfehlen wir, eine Dead-Letter-Queue (DLQ) für diesen Eventbus anzugeben. EventBridge sendet benutzerdefinierte Ereignisse und Partnerereignisse an diesen DLQ, wenn bei der Verarbeitung des Ereignisses auf dem Event-Bus ein Fehler auftritt, der nicht behoben werden kann. Ein nicht behebbarer Fehler ist ein Fehler, bei dem ein Benutzereingriff erforderlich ist, um das zugrundeliegende Problem zu lösen, z. B. wenn der angegebene vom Kunden verwaltete Schlüssel deaktiviert ist oder fehlt.
+ Wenn während EventBridge der Verarbeitung des Ereignisses auf dem Event-Bus ein nicht wiederherstellbarer Verschlüsselungs- oder Entschlüsselungsfehler auftritt, wird das Ereignis an den DLQ für den *Event-Bus* gesendet, sofern einer angegeben wurde.
+ *Tritt beim EventBridge Versuch, das Ereignis an ein Ziel zu senden, ein nicht wiederherstellbarer Verschlüsselungs- oder Entschlüsselungsfehler auf, einschließlich Eingabetransformationen und zielspezifischer Einstellungen, wird das Ereignis an den DLQ für das Ziel gesendet, sofern eines angegeben wurde.*
![\[Ein nicht behebbarer Fehler bei der Verarbeitung des Event-Busses, der an den Event-Bus DLQ gesendet wurde.\]](http://docs.aws.amazon.com/de_de/eventbridge/latest/userguide/images/cmkms-bus-dlq_eventbridge_conceptual.svg)
Weitere Informationen, einschließlich Überlegungen zur Verwendung und Anweisungen zum Einstellen von Berechtigungen DLQs, finden Sie unter. [Verwenden von Warteschlangen für unzustellbare Nachrichten](eb-rule-dlq.md)
# Ereignisse in Warteschlangen mit unzustellbaren EventBridge Nachrichten entschlüsseln
Sobald Sie das zugrundeliegende Problem behoben haben, das zu einem nicht wiederherstellbaren Fehler führt, können Sie die an den Event-Bus oder das Ziel gesendeten Ereignisse verarbeiten. DLQs Bei verschlüsselten Ereignissen müssen Sie das Ereignis zuerst entschlüsseln, um es verarbeiten zu können.
Das folgende Beispiel zeigt, wie ein Ereignis entschlüsselt wird, das an einen Ereignisbus oder eine Ziel-DLQ gesendet EventBridge wurde.
```
// You will receive an encrypted event in the following json format.
// ```
// {
// "version": "0",
// "id": "053afa53-cdd7-285b-e754-b0dfd0ac0bfb", // New event id not the same as the original one
// "account": "123456789012",
// "time": "2020-02-10T10:22:00Z",
// "resources": [ ],
// "region": "us-east-1",
// "source": "aws.events",
// "detail-type": "Encrypted Events",
// "detail": {
// "event-bus-arn": "arn:aws:events:region:account:event-bus/bus-name",
// "rule-arn": "arn:aws:events:region:account:event-bus/bus-name/rule-name",
// "kms-key-arn": "arn:aws:kms:region:account:key/key-arn",
// "encrypted-payload": "AgR4qiru/XNwTUyCgRHqP7rbbHn/xpmVeVeRIAd12TDYYVwAawABABRhd3M6ZXZlbnRzOmV2ZW50LWJ1cwB
// RYXJuOmF3czpldmVudHM6dXMtZWFzdC0xOjE0NjY4NjkwNDY3MzpldmVudC1idXMvY21rbXMtZ2EtY3Jvc3
// MtYWNjb3VudC1zb3VyY2UtYnVzAAEAB2F3cy1rbXMAS2Fybjphd3M6a21zOnVzLWVhc3QtMToxNDY2ODY5"
// }
// }
// ```
// Construct an AwsCrypto object with the encryption algorithm `ALG_AES_256_GCM_HKDF_SHA512_COMMIT_KEY` which
// is used by EventBridge for encryption operation. This object is an entry point for decryption operation.
// It can later use decryptData(MasterKeyProvider, byte[]) method to decrypt data.
final AwsCrypto crypto = AwsCrypto.builder()
.withEncryptionAlgorithm(CryptoAlgorithm.ALG_AES_256_GCM_HKDF_SHA512_COMMIT_KEY)
.build();
// Construct AWS KMS master key provider with AWS KMS Client Supplier and AWS KMS Key ARN. The KMS Client Supplier can
// implement a RegionalClientSupplier interface. The AWS KMS Key ARN can be fetched from kms-key-arn property in
// encrypted event json detail.
final KmsMasterKeyProvider kmsMasterKeyProvider = KmsMasterKeyProvider.builder()
.customRegionalClientSupplier(...)
.buildStrict(KMS_KEY_ARN);
// The string of encrypted-payload is base64 encoded. Decode it into byte array, so it can be furthur
// decrypted. The encrypted payload can be fetched from encrypted-payload field in encrypted event json detail.
byte[] encryptedByteArray = Base64.getDecoder().decode(ENCRYPTED_PAYLOAD);
// The decryption operation. It retrieves the encryption context and encrypted data key from the cipher
// text headers, which is parsed from byte array encrypted data. Then it decrypts the data key, and
// uses it to finally decrypt event payload. This encryption/decryption strategy is called envelope
// encryption, https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#enveloping
final CryptoResult decryptResult = crypto.decryptData(kmsMasterKeyProvider, encryptedByteArray);
final byte[] decryptedByteArray = decryptResult.getResult();
// Decode the event json plaintext from byte array into string with UTF_8 standard.
String eventJson = new String(decryptedByteArray, StandardCharsets.UTF_8);
```