Verschlüsselung von Event-Bus-Logs mit AWS KMS in EventBridge - Amazon EventBridge
Protokolliert den VerschlüsselungskontextBerechtigungen für die Protokollierung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verschlüsselung von Event-Bus-Logs mit AWS KMS in EventBridge

EventBridge Verschlüsselt beim Senden von Protokollen die error Abschnitte detail und jedes Protokolldatensatzes mit dem für den Event-Bus angegebenen KMS-Schlüssel. Wenn Sie einen vom Kunden verwalteten Schlüssel für den Event-Bus angegeben haben, EventBridge verwendet dieser Schlüssel für die Verschlüsselung bei der Übertragung. Nach der Übermittlung wird der Datensatz entschlüsselt und anschließend mit dem für das Protokollziel angegebenen KMS-Schlüssel erneut verschlüsselt.

Der Ereignisbus protokolliert den Verschlüsselungskontext

Ein Verschlüsselungskontext ist eine Gruppe von Schlüssel/Wert-Paaren mit willkürlichen, nicht geheimen Daten. Wenn Sie einen Verschlüsselungskontext in eine Anforderung zur Verschlüsselung von Daten aufnehmen, bindet AWS KMS den Verschlüsselungskontext kryptografisch an die verschlüsselten Daten. Zur Entschlüsselung der Daten müssen Sie denselben Verschlüsselungskontext übergeben.

Sie können den Verschlüsselungskontext auch als Bedingung für die Autorisierung in Richtlinien und Zuschüssen verwenden.

Wenn Sie zum Schutz Ihrer EventBridge Ressourcen einen vom Kunden verwalteten Schlüssel verwenden, können Sie anhand des Verschlüsselungskontextes die Verwendung dieses Schlüssels KMS key in Prüfaufzeichnungen und Protokollen identifizieren. Er wird auch im Klartext in Protokollen wie AWS CloudTrail und Amazon CloudWatch Logs angezeigt.

EventBridge Verwendet für Event-Bus-Logs bei allen AWS KMS kryptografischen Vorgängen denselben Verschlüsselungskontext.

"encryptionContext": {
    "kms:EncryptionContext:SourceArn": "arn:partition:logs:region:account:*"
}

AWS KMS wichtige Richtlinienberechtigungen für die Ereignisbus-Protokollierung

Für Eventbusse, die einen vom Kunden verwalteten Schlüssel verwenden, müssen Sie der Schlüsselrichtlinie die folgenden Berechtigungen hinzufügen.

  • Erlauben EventBridge Sie die Verschlüsselung von Protokollen mit dem vom Kunden verwalteten Schlüssel.

    {
  "Sid": "Enable log service encryption",
  "Effect": "Allow",
  "Principal": {
    "Service": "events.amazonaws.com"  
  },
  "Action": [
    "kms:GenerateDataKey"
  ],
  "Resource": "*",
  "Condition": {
    "StringLike": {
      "kms:EncryptionContext:SourceArn": "arn:partition:logs:region:account:*"
    }
  }
}

  • Erlauben Sie dem Protokollierungsdienst, die von gesendeten Protokolle zu entschlüsseln. EventBridge

    {
  "Sid": "Enable log delivery decryption",
  "Effect": "Allow",
  "Principal": {
    "Service": "delivery.logs.amazonaws.com"
  },
  "Action": [
    "kms:Decrypt",
    "kms:GenerateDataKey"
  ],
  "Resource": "*",
  "Condition": {
    "StringLike": {
      "kms:EncryptionContext:SourceArn": "arn:partition:logs:region:account:*"
    }
  }
}