Autorisierung EventBridge zur Verwendung eines vom Kunden verwalteten Schlüssels - Amazon EventBridge
Sicherheitsüberlegungen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Autorisierung EventBridge zur Verwendung eines vom Kunden verwalteten Schlüssels

Wenn Sie in Ihrem Konto einen vom Kunden verwalteten Schlüssel verwenden, um Ihre EventBridge Ressourcen zu schützen, müssen die Richtlinien für diesen KMS-Schlüssel die EventBridge Erlaubnis enthalten, ihn in Ihrem Namen zu verwenden. Sie stellen diese Berechtigungen in einer wichtigen Richtlinie bereit.

EventBridge benötigt keine zusätzliche Autorisierung, um die Standardeinstellung AWS-eigener Schlüssel zum Schutz der EventBridge Ressourcen in Ihrem AWS Konto zu verwenden.

EventBridge erfordert die folgenden Berechtigungen, um vom Kunden verwaltete Schlüssel zu verwenden:

  • kms:DescribeKey

    EventBridge benötigt diese Berechtigung, um den KMS-Schlüssel-ARN für die angegebene Schlüssel-ID abzurufen und zu überprüfen, ob der Schlüssel symmetrisch ist.

  • kms:GenerateDataKey

    EventBridge benötigt diese Berechtigung, um einen Datenschlüssel als Verschlüsselungsschlüssel für die Daten zu generieren.

  • kms:Decrypt

    EventBridge benötigt diese Berechtigung, um den Datenschlüssel zu entschlüsseln, der verschlüsselt und zusammen mit den verschlüsselten Daten gespeichert ist.

    EventBridge verwendet dies für den Abgleich von Ereignismustern; Benutzer haben nie Zugriff auf die Daten.

Sicherheit bei der Verwendung von vom Kunden verwalteten Schlüsseln zur EventBridge Verschlüsselung

Als bewährte Sicherheitsmethode sollten Sie der Schlüsselrichtlinie einen aws:SourceArnaws:sourceAccount,, oder kms:EncryptionContext:aws:events:event-bus:arn AWS KMS Bedingungsschlüssel hinzufügen. Mit dem globalen IAM-Bedingungsschlüssel wird sichergestellt, dass der KMS-Schlüssel nur für den angegebenen Bus oder das angegebene Konto EventBridge verwendet wird.

Das folgende Beispiel zeigt, wie Sie diese bewährte Methode in Ihrer IAM-Richtlinie für einen Event-Bus anwenden können:

{
      "Sid": "Allow the use of key",
      "Effect": "Allow",
      "Principal": {
        "Service": "events.amazonaws.com"
      },
      "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt"
      ],
      "Resource": "*",
      "Condition" : {
        "StringEquals": {
          "aws:SourceAccount": "arn:aws:events:region:account-id",
          "aws:SourceArn": "arn:aws:events:region:account-id:event-bus/event-bus-name",
          "kms:EncryptionContext:aws:events:event-bus:arn": "arn:aws:events:region:account-id:event-bus/event-bus-arn"
        }
      }