Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# EventBridge Archive mit AWS KMS Schlüsseln verschlüsseln
Sie können angeben, dass EventBridge Kundenverwalteter Schlüssel zum Verschlüsseln von Ereignissen, die in einem Archiv gespeichert sind, ein verwendet wird, anstatt ein AWS-eigener Schlüssel AS als Standard zu verwenden. Sie können a angeben Kundenverwalteter Schlüssel , wenn Sie ein Archiv erstellen oder aktualisieren. Weitere Informationen zu Schlüsseltypen finden Sie unter[KMS-Schlüsseloptionen](eb-encryption-at-rest-key-options.md).
Dies umfasst:
+ Im Archiv gespeicherte Ereignisse
+ Das Ereignismuster, falls vorhanden, das zum Filtern der an das Archiv gesendeten Ereignisse angegeben wurde
Dies schließt keine Archivmetadaten ein, wie z. B. die Größe des Archivs oder die Anzahl der darin enthaltenen Ereignisse.
Wenn Sie einen vom Kunden verwalteten Schlüssel für ein Archiv angeben, EventBridge verschlüsselt Ereignisse, bevor sie an das Archiv gesendet werden, und gewährleistet so die Verschlüsselung bei der Übertragung und im Ruhezustand.
## Verschlüsselungskontext für das Archiv
Ein [Verschlüsselungskontext](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#encrypt_context) ist eine Gruppe von Schlüssel/Wert-Paaren mit willkürlichen, nicht geheimen Daten. Wenn Sie einen Verschlüsselungskontext in eine Anforderung zur Verschlüsselung von Daten aufnehmen, bindet AWS KMS den Verschlüsselungskontext kryptografisch an die verschlüsselten Daten. Zur Entschlüsselung der Daten müssen Sie denselben Verschlüsselungskontext übergeben.
Sie können den Verschlüsselungskontext auch als Bedingung für die Autorisierung in Richtlinien und Zuschüssen verwenden.
Wenn Sie zum Schutz Ihrer EventBridge Ressourcen einen vom Kunden verwalteten Schlüssel verwenden, können Sie anhand des Verschlüsselungskontextes die Verwendung dieses Schlüssels KMS key in Prüfaufzeichnungen und Protokollen identifizieren. Er wird auch im Klartext in Protokollen wie [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) und [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) angezeigt.
EventBridge Verwendet bei Ereignisarchiven bei allen AWS KMS kryptografischen Vorgängen denselben Verschlüsselungskontext. Der Kontext umfasst ein einzelnes Schlüssel-Wert-Paar, das den Event-Bus-ARN enthält.
```
"encryptionContext": {
"kms:EncryptionContext:aws:events:event-bus:arn": "event-bus-arn"
}
```
## AWS KMS wichtige Richtlinie für Archive
Das folgende Beispiel für eine Schlüsselrichtlinie stellt die erforderlichen Berechtigungen für ein Ereignisarchiv bereit:
+ `kms:DescribeKey`
+ `kms:GenerateDataKey`
+ `kms:Decrypt`
+ `kms:ReEncrypt`
Aus Sicherheitsgründen empfehlen wir, Bedingungsschlüssel in die Schlüsselrichtlinie aufzunehmen, um sicherzustellen, dass der KMS-Schlüssel nur für die angegebene Ressource oder das angegebene Konto EventBridge verwendet wird. Weitere Informationen finden Sie unter [Sicherheitsüberlegungen](eb-encryption-key-policy.md#eb-encryption-event-bus-confused-deputy).
------
#### [ JSON ]
****
```
{
"Id": "CMKKeyPolicy",
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "events.amazonaws.com"
},
"Action": [
"kms:DescribeKey"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Principal": {
"Service": "events.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt",
"kms:ReEncrypt*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:aws:events:event-bus:arn": "arn:aws:events:us-east-1:123456789012:event-bus/event-bus-arn"
}
}
}
]
}
```
------
# Verschlüsselung für Archive konfigurieren
Sie können den KMS-Schlüssel angeben, der verwendet werden EventBridge soll, wenn Sie ein Archiv erstellen oder aktualisieren.
## Beim Erstellen eines Archivs die Verschlüsselung angeben
Die Auswahl des für die Verschlüsselung verwendeten AWS KMS Schlüssels ist eine Option zum Erstellen eines Archivs. Standardmäßig wird der von AWS-eigener Schlüssel bereitgestellte Wert verwendet EventBridge.
**Um beim Erstellen eines Archivs eine Kundenverwalteter Schlüssel für die Verschlüsselung anzugeben (Konsole)**
+ Folgen Sie diesen Anweisungen:
[Archive erstellen](eb-archive-event.md).
**So geben Sie beim Erstellen eines Archivs eine Kundenverwalteter Schlüssel für die Verschlüsselung an (CLI)**
+ Verwenden Sie beim Aufrufen die `kms-key-identifier` Option`[create-archive](https://docs.aws.amazon.com/cli/latest/reference/events/create-archive.html)`, um den vom Kunden verwalteten Schlüssel anzugeben EventBridge , der für die Verschlüsselung der im Archiv gespeicherten Ereignisse verwendet werden soll.
## Die Verschlüsselung in Archiven wird aktualisiert
Sie können den AWS KMS Schlüssel aktualisieren, der für die Verschlüsselung im Ruhezustand in einem vorhandenen Archiv verwendet wird. Dies umfasst:
+ Wechsel von der Standardeinstellung AWS-eigener Schlüssel zu einem Kundenverwalteter Schlüssel.
+ Wechsel von a Kundenverwalteter Schlüssel zur Standardeinstellung AWS-eigener Schlüssel.
+ Von einem Kundenverwalteter Schlüssel zum anderen wechseln.
**Um die für die Verschlüsselung KMS key verwendeten Ereignisse in einem Archiv (Konsole) zu aktualisieren**
1. Öffnen Sie die EventBridge Amazon-Konsole unter [https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/).
1. Navigieren Sie direkt oder über den Quell-Event-Bus zum Archiv:
+ Wählen Sie im Navigationsbereich die Option **Event Buses** aus.
Wählen Sie auf der Detailseite des Event-Busses die Registerkarte **Archive** aus.
+ Wählen Sie im Navigationsbereich die Option **Archive** aus.
1. Wählen Sie das Archiv aus, das Sie aktualisieren möchten.
1. Wählen Sie auf der Seite mit den Archivdetails die Registerkarte **Verschlüsselung** aus.
1. Wählen Sie KMS key die Form aus EventBridge , die beim Verschlüsseln der im Archiv gespeicherten Ereignisse verwendet werden soll.
**Wichtig**
Wenn Sie angegeben haben, dass ein vom Kunden verwalteter Schlüssel für die Verschlüsselung des Quell-Event-Busses EventBridge verwendet wird, empfehlen wir Ihnen dringend, auch einen vom Kunden verwalteten Schlüssel für alle Archive für den Event-Bus anzugeben.
+ Wählen Sie **Verwenden AWS-eigener Schlüssel** für EventBridge , um die Daten mit einem zu verschlüsseln. AWS-eigener Schlüssel
Dies AWS-eigener Schlüssel ist eine KMS key , die mehrere Konten EventBridge besitzt und für die Verwendung in mehreren AWS Konten verwaltet wird. Generell gilt: Sofern Sie nicht verpflichtet sind, den Verschlüsselungsschlüssel, der Ihre Ressourcen schützt, zu überprüfen oder zu kontrollieren, AWS-eigener Schlüssel ist an eine gute Wahl.
Dies ist die Standardeinstellung.
+ Wählen Sie **Verwenden Kundenverwalteter Schlüssel** für EventBridge , um die Daten mit dem zu verschlüsseln Kundenverwalteter Schlüssel , das Sie angeben oder erstellen.
Kundenverwaltete Schlüssel befinden sich KMS keys in Ihrem AWS Konto, das Sie erstellen, besitzen und verwalten. Sie haben die volle Kontrolle über diese KMS keys.
1. Geben Sie ein vorhandenes an Kundenverwalteter Schlüssel, oder wählen Sie **Neues erstellen KMS key**.
EventBridge zeigt den Schlüsselstatus und alle Schlüsselaliase an, die dem angegebenen Kundenverwalteter Schlüssel Schlüssel zugeordnet wurden.
**Um die für die Verschlüsselung KMS key verwendeten Ereignisse zu aktualisieren, die in einem Archiv gespeichert sind (CLI)**
+ Verwenden Sie beim Aufrufen die `kms-key-identifier` Option`[update-archive](https://docs.aws.amazon.com/cli/latest/reference/events/update-archive.html)`, um das Kundenverwalteter Schlüssel für die Verschlüsselung der im Archiv gespeicherten Ereignisse EventBridge zu verwenden.