View a markdown version of this page

Verschlüsselung im Ruhezustand mit vom Kunden verwalteten Schlüsseln - AWS Resilience Hub
So verwendet Resilience Hub der nächsten Generation Zuschüsse in AWS KMSErstellen eines kundenseitig verwalteten SchlüsselsAngabe eines vom Kunden verwalteten Schlüssels für Resilience Hub der nächsten GenerationSchlüsselrichtlinieResilience Hub-Verschlüsselungskontext der nächsten GenerationÜberwachung Ihrer Verschlüsselungsschlüssel für Resilience Hub der nächsten GenerationWeitere Informationen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verschlüsselung im Ruhezustand mit vom Kunden verwalteten Schlüsseln

Resilience Hub der nächsten Generation bietet standardmäßig Verschlüsselung, um sensible Kundendaten im Speicher zu schützen. AWS-eigene Schlüssel

  • Resilience Hub der nächsten Generation verwendet diese Schlüssel standardmäßig, um sensible Daten automatisch zu verschlüsseln. Sie können ihre Verwendung nicht einsehen, verwalten AWS-eigene Schlüssel, verwenden oder überwachen. Sie müssen jedoch keine Maßnahmen ergreifen oder Programme ändern, um die Schlüssel zu schützen, die zur Verschlüsselung Ihrer Daten verwendet werden. Weitere Informationen finden Sie unter https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk im AWS Key Management Service -Entwicklerhandbuch.

Sie können diese Verschlüsselungsebene zwar nicht deaktivieren oder einen anderen Verschlüsselungstyp auswählen, aber Sie können eine zweite Verschlüsselungsebene hinzufügen, indem Sie beim Erstellen einer Serviceressource einen vom Kunden verwalteten Schlüssel angeben:

  • Vom Kunden verwaltete Schlüssel Der Resilience Hub der nächsten Generation unterstützt die Verwendung eines vom Kunden verwalteten symmetrischen Verschlüsselungsschlüssels, den Sie selbst erstellen, besitzen und verwalten. Da Sie die volle Kontrolle über diese Verschlüsselungsebene haben, können Sie beispielsweise folgende Aufgaben ausführen:

    • Festlegung und Pflege wichtiger Richtlinien

    • Festlegung und Aufrechterhaltung von IAM-Richtlinien und -Zuschüssen

    • Aktivieren und Deaktivieren wichtiger Richtlinien

    • Kryptographisches Material mit rotierendem Schlüssel

    • Hinzufügen von -Tags

    • Erstellen von Schlüsselaliasen

    • Schlüssel für das Löschen von Schlüsseln planen

    Weitere Informationen finden Sie unter Kundenverwaltete Schlüssel im AWS Key Management Service Entwicklerhandbuch.

In der folgenden Tabelle wird zusammengefasst, wie Resilience Hub der nächsten Generation sensible Daten verschlüsselt.

Verschlüsselung von Datentypen im Resilience Hub der nächsten Generation
Datentyp AWS Verschlüsselung mit eigenem Schlüssel Vom Kunden verwaltete Schlüsselverschlüsselung (optional)

description

Beschreibungen für Dienste, Systeme und Resilienzrichtlinien.

 Aktiviert Aktiviert

finding

Die Bewertung ergab Namen, Beschreibungen, Argumentation und Kommentare.

 Aktiviert Aktiviert

recommendation

Beschreibungen der Empfehlungen und Änderungsvorschläge im Zusammenhang mit den Ergebnissen.

 Aktiviert Aktiviert

serviceFunction

Namen und Beschreibungen der Servicefunktionen.

 Aktiviert Aktiviert

assumption

Annahmetext im Zusammenhang mit Servicefunktionen.

 Aktiviert Aktiviert

userJourney

Beschreibungen der Benutzerreise.

 Aktiviert Aktiviert

event

Beschreibungen der Serviceereignisprotokolle.

 Aktiviert Aktiviert

assessmentData

Zwischendaten, die durch behördliche Bewertungsworkflows generiert wurden, einschließlich Topologie, Ressourcenkonfiguration und in Amazon S3 gespeicherte Arbeitsdaten.

 Aktiviert Aktiviert

Identifikatoren für Ressourcen

Ressourcennamen, ARNs, Ressourcentypen und Regionen. Ressourcennamen werden in Identifikatoren und im Verschlüsselungskontext verwendet und dürfen keine sensiblen Daten enthalten.

 Aktiviert Nicht unterstützt
Anmerkung

Resilience Hub der nächsten Generation ermöglicht automatisch und kostenlos die Verschlüsselung AWS-eigene Schlüssel im Ruhezustand. Für die Verwendung eines vom Kunden verwalteten Schlüssels fallen jedoch AWS KMS Gebühren an. Weitere Informationen zur Preisgestaltung finden Sie unter AWS Key Management Service  – Preise.

Wichtig

Resilience Hub der nächsten Generation unterstützt nur KMS-Schlüssel mit symmetrischer Verschlüsselung. Sie können keinen anderen KMS-Schlüsseltyp verwenden, um Ihre Resilience Hub-Ressourcen der nächsten Generation zu verschlüsseln. Hilfe bei der Bestimmung, ob es sich bei einem KMS-Schlüssel um einen symmetrischen Verschlüsselungsschlüssel handelt, finden Sie unter Identifizieren symmetrischer und asymmetrischer KMS-Schlüssel im Entwicklerhandbuch.AWS Key Management Service

So verwendet Resilience Hub der nächsten Generation Zuschüsse in AWS KMS

Resilience Hub der nächsten Generation benötigt einen Zuschuss für die Nutzung Ihres vom Kunden verwalteten Schlüssels bei asynchronen Bewertungsabläufen.

Wenn Sie einen Service mit einem vom Kunden verwalteten Schlüssel erstellen, erstellt Resilience Hub der nächsten Generation in Ihrem Namen einen Zuschuss, indem er eine CreateGrantAnfrage an AWS KMS sendet. Der Zuschuss ist auf den Verschlüsselungskontext Ihres Dienstes beschränkt und erlaubt nur die folgenden Operationen:

  • Encrypt— Verschlüsseln Sie sensible Felder wie Ergebnisse, Empfehlungen und Annahmen, die während der Bewertungsabläufe generiert wurden.

  • Decrypt— Entschlüsseln Sie zuvor verschlüsselte Daten während der Bewertungsverarbeitung.

  • GenerateDataKey— Generieren Sie Datenschlüssel für die Verschlüsselung von Zwischenbeurteilungsdaten, die in Amazon S3 gespeichert sind.

Der Zuschuss wird zurückgezogen, wenn Sie den Service löschen. Sie können auch jederzeit den Zugriff auf den Zuschuss widerrufen oder dem Service den Zugriff auf den vom Kunden verwalteten Schlüssel entziehen. Wenn Sie dies tun, kann Resilience Hub der nächsten Generation nicht auf die mit dem vom Kunden verwalteten Schlüssel verschlüsselten Daten zugreifen, was sich auf API-Operationen und Bewertungsworkflows auswirkt, die von diesen Daten abhängen.

Für synchrone API-Operationen (wie das Erstellen oder Aktualisieren eines Dienstes) verwendet Resilience Hub der nächsten Generation die Berechtigungen des Aufrufers für den KMS-Schlüssel direkt, ohne dass eine Genehmigung erforderlich ist.

Erstellen eines kundenseitig verwalteten Schlüssels

Sie können mithilfe der APIs AWS-Managementkonsole oder der APIs einen vom Kunden verwalteten symmetrischen Verschlüsselungsschlüssel erstellen. AWS KMS

Um einen vom Kunden verwalteten Schlüssel für symmetrische Verschlüsselung zu erstellen

Befolgen Sie die Schritte zur Erstellung von KMS-Schlüsseln mit symmetrischer Verschlüsselung im AWS Key Management Service -Entwicklerhandbuch.

Angabe eines vom Kunden verwalteten Schlüssels für Resilience Hub der nächsten Generation

Sie können einen vom Kunden verwalteten Schlüssel angeben, wenn Sie eine Service-, System- oder Resilienzrichtlinie erstellen. Wenn Sie eine KMS-Schlüssel-ID angeben, verwendet Resilience Hub der nächsten Generation diesen Schlüssel, um alle vertraulichen Daten zu verschlüsseln, die mit der Ressource verknüpft sind.

Sie können den Schlüssel mit einer der folgenden Schlüsselkennungen angeben:

  • Schlüssel-ID (zum Beispiel1234abcd-12ab-34cd-56ef-1234567890ab)

  • Schlüssel-ARN (zum Beispielarn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab)

  • Aliasname (zum Beispielalias/my-key)

  • Alias ARN (zum Beispielarn:aws:kms:us-west-2:111122223333:alias/my-key)

Um einen vom Kunden verwalteten Schlüssel anzugeben, verwenden Sie den kmsKeyId Parameter beim Aufrufen der CreatePolicy API-Operationen CreateServiceCreateSystem, oder.

Schlüsselrichtlinie

Schlüsselrichtlinien steuern den Zugriff auf den vom Kunden verwalteten Schlüssel. Jeder vom Kunden verwaltete Schlüssel muss über genau eine Schlüsselrichtlinie verfügen, die aussagt, wer den Schlüssel wie verwenden kann. Wenn Sie Ihren kundenseitig verwalteten Schlüssel erstellen, können Sie eine Schlüsselrichtlinie angeben. Weitere Informationen finden Sie unter Verwalten des Zugriffs auf kundenverwaltete Schlüssel im Entwicklerhandbuch zum AWS Key Management Service .

Die folgende wichtige Richtlinie ermöglicht es Resilience Hub der nächsten Generation, Ihren Schlüssel zu verwenden. Sie beschränkt jede Berechtigung nur auf die Vorgänge, die Resilience Hub der nächsten Generation benötigt, und verwendet Verschlüsselungskontextbedingungen, um sicherzustellen, dass Ihr Schlüssel nur für Ihre spezifischen Ressourcen verwendet werden kann. Ersetzen Sie CUSTOMER-ACCOUNT-IDCUSTOMER-ROLE, und REGION durch Ihre Werte.

{
    "Version": "2012-10-17", 
    "Statement": [
        {
            "Sid": "AllowResilienceHubDescribeKey",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::CUSTOMER-ACCOUNT-ID:role/CUSTOMER-ROLE"
            },
            "Action": "kms:DescribeKey",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "resiliencehub.REGION.amazonaws.com"
                }
            }
        },
        {
            "Sid": "AllowResilienceHubEncryptDecryptForServices",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::CUSTOMER-ACCOUNT-ID:role/CUSTOMER-ROLE"
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "resiliencehub.REGION.amazonaws.com"
                },
                "StringLike": {
                    "kms:EncryptionContext:aws:resiliencehub:service-arn": "arn:aws:resiliencehub:*:CUSTOMER-ACCOUNT-ID:service/*"
                }
            }
        },
        {
            "Sid": "AllowResilienceHubEncryptDecryptForSystems",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::CUSTOMER-ACCOUNT-ID:role/CUSTOMER-ROLE"
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "resiliencehub.REGION.amazonaws.com"
                },
                "StringLike": {
                    "kms:EncryptionContext:aws:resiliencehub:system-arn": "arn:aws:resiliencehub:*:CUSTOMER-ACCOUNT-ID:system/*"
                }
            }
        },
        {
            "Sid": "AllowResilienceHubEncryptDecryptForPolicies",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::CUSTOMER-ACCOUNT-ID:role/CUSTOMER-ROLE"
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "resiliencehub.REGION.amazonaws.com"
                },
                "StringLike": {
                    "kms:EncryptionContext:aws:resiliencehub:policy-arn": "arn:aws:resiliencehub:*:CUSTOMER-ACCOUNT-ID:policy/*"
                }
            }
        },
        {
            "Sid": "AllowResilienceHubCreateGrantForAsyncWorkflows",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::CUSTOMER-ACCOUNT-ID:role/CUSTOMER-ROLE"
            },
            "Action": "kms:CreateGrant",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "resiliencehub.REGION.amazonaws.com",
                    "kms:GrantConstraintType": "EncryptionContextSubset"
                },
                "StringLike": {
                    "kms:EncryptionContext:aws:resiliencehub:service-arn": "arn:aws:resiliencehub:*:CUSTOMER-ACCOUNT-ID:service/*"
                },
                "ForAllValues:StringEquals": {
                    "kms:GrantOperations": [
                        "Encrypt",
                        "Decrypt",
                        "GenerateDataKey"
                    ]
                }
            }
        }
    ]
}

Die Richtlinienerklärungen bieten die folgenden Berechtigungen:

  • AllowResilienceHubDescribeKey— Ermöglicht Resilience Hub der nächsten Generation, zu überprüfen, ob Ihr Schlüssel existiert und ob es sich um einen symmetrischen Verschlüsselungsschlüssel handelt, wenn Sie ihn bei der Diensterstellung angeben.

  • AllowResilienceHubEncryptDecryptForServices— Ermöglicht Resilience Hub der nächsten Generation, Daten auf Service-Ebene (Ergebnisse, Empfehlungen, Annahmen, Servicefunktionen, Ereignisse und Bewertungsdaten) bei synchronen API-Aufrufen zu verschlüsseln und zu entschlüsseln. Je nach Verschlüsselungskontext auf Ihre Serviceressourcen beschränkt.

  • AllowResilienceHubEncryptDecryptForSystems— Ermöglicht Resilience Hub der nächsten Generation, Daten auf Systemebene (Systembeschreibungen und Beschreibungen der Benutzerführung) bei synchronen API-Aufrufen zu verschlüsseln und zu entschlüsseln. Je nach Verschlüsselungskontext auf Ihre Systemressourcen beschränkt.

  • AllowResilienceHubEncryptDecryptForPolicies— Ermöglicht Resilience Hub der nächsten Generation, Daten auf Richtlinienebene (Beschreibungen der Resilienzrichtlinien) bei synchronen API-Aufrufen zu verschlüsseln und zu entschlüsseln. Je nach Verschlüsselungskontext auf Ihre Richtlinienressourcen beschränkt.

  • AllowResilienceHubCreateGrantForAsyncWorkflows— Ermöglicht Resilience Hub der nächsten Generation, einen Zuschuss für asynchrone Bewertungsworkflows zu gewähren. Die Gewährung ist nur auf die benötigten Operationen (Verschlüsseln, Entschlüsseln GenerateDataKey) beschränkt und muss eine Teilmengenbeschränkung für den Verschlüsselungskontext enthalten, die an Ihren Dienst-ARN gebunden ist.

Weitere Informationen zum Festlegen von Berechtigungen in einer Richtlinie finden Sie im AWS Key Management Service -Entwicklerhandbuch.

Weitere Informationen zur Fehlerbehebung beim Schlüsselzugriff finden Sie im AWS Key Management Service -Entwicklerhandbuch.

Resilience Hub-Verschlüsselungskontext der nächsten Generation

Ein Verschlüsselungskontext ist ein optionaler Satz von Schlüssel-Wert-Paaren, die zusätzliche kontextbezogene Informationen zu den Daten enthalten.

AWS KMS verwendet den Verschlüsselungskontext als zusätzliche authentifizierte Daten, um die authentifizierte Verschlüsselung zu unterstützen. Wenn Sie einen Verschlüsselungskontext in eine Anforderung zum Verschlüsseln von Daten einbeziehen, wird der Verschlüsselungskontext AWS KMS an die verschlüsselten Daten gebunden. Um Daten zu entschlüsseln, müssen Sie denselben Verschlüsselungskontext in die Anforderung aufnehmen.

Resilience Hub-Verschlüsselungskontext der nächsten Generation

Resilience Hub der nächsten Generation verwendet je nach Ressourcentyp die folgenden Verschlüsselungskontextschlüssel:

Schlüssel für den Verschlüsselungskontext
Schlüssel für den Verschlüsselungskontext Scope Wird verwendet für
aws:resiliencehub:service-arn Service Ergebnisse, Empfehlungen, Annahmen, Servicefunktionen, Abhängigkeiten, Ereignisse und Bewertungsdaten
aws:resiliencehub:system-arn System (System) Systembeschreibungen und Beschreibungen der Benutzererfahrung
aws:resiliencehub:policy-arn Richtlinie Beschreibungen der Resilienzrichtlinien

Beispiel für einen Verschlüsselungskontext für einen Vorgang auf Service-Ebene:

"encryptionContext": {
    "aws:resiliencehub:service-arn": "arn:aws:resiliencehub:us-west-2:111122223333:service/my-service:abc123"
}

Verwenden des Verschlüsselungskontexts für die Überwachung

Wenn Sie einen vom Kunden verwalteten symmetrischen Verschlüsselungsschlüssel zur Verschlüsselung Ihrer Daten verwenden, können Sie den Verschlüsselungskontext in Prüfaufzeichnungen und Protokollen verwenden, um zu ermitteln, wie der vom Kunden verwaltete Schlüssel verwendet wird. Der Verschlüsselungskontext erscheint in Protokollen, die von generiert wurden. AWS CloudTrail

Verwendung des Verschlüsselungskontextes zur Zugriffskontrolle

Sie können den Verschlüsselungskontext in Schlüsselrichtlinien und IAM-Richtlinien verwenden, conditions um den Zugriff auf Ihren vom Kunden verwalteten symmetrischen Verschlüsselungsschlüssel zu kontrollieren. Sie können Verschlüsselungskontext-Einschränkungen auch in einer Genehmigung verwenden.

Resilience Hub der nächsten Generation verwendet bei Zuschüssen eine Einschränkung der Teilmenge des Verschlüsselungskontextes, um sicherzustellen, dass asynchrone Workflows nur Daten verschlüsseln und entschlüsseln können, die zu dem spezifischen Dienst gehören, für den der Zuschuss erstellt wurde.

Überwachung Ihrer Verschlüsselungsschlüssel für Resilience Hub der nächsten Generation

Wenn Sie einen vom Kunden verwalteten Schlüssel mit Ihren Resilience Hub-Ressourcen der nächsten Generation verwenden, können Sie AWS CloudTraildamit Anfragen verfolgen, an die Resilience Hub der nächsten Generation sendet AWS KMS.

CreateGrant

Wenn Sie einen Service mit einem vom Kunden verwalteten Schlüssel erstellen, sendet Resilience Hub der nächsten Generation in Ihrem Namen eine CreateGrant Anfrage, um asynchrone Bewertungsworkflows für die Verwendung Ihres Schlüssels zu aktivieren. Die Gewährung ist dienstspezifisch und durch den Verschlüsselungskontext begrenzt. Resilience Hub der nächsten Generation verwendetRetireGrant, um den Zuschuss zu entfernen, wenn Sie den Dienst löschen.

Das folgende Beispielereignis zeichnet den Vorgang CreateGrant auf:

{
    "eventVersion": "1.11",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AROAEXAMPLE:session-name",
        "arn": "arn:aws:sts::111122223333:assumed-role/YourRole/session-name",
        "accountId": "111122223333",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AROAEXAMPLE",
                "arn": "arn:aws:iam::111122223333:role/YourRole",
                "accountId": "111122223333",
                "userName": "YourRole"
            }
        },
        "invokedBy": "resiliencehub.amazonaws.com"
    },
    "eventTime": "2026-01-15T10:07:22Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "CreateGrant",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "resiliencehub.amazonaws.com",
    "userAgent": "resiliencehub.amazonaws.com",
    "requestParameters": {
        "granteePrincipal": "resiliencehub.amazonaws.com",
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
        "retiringPrincipal": "resiliencehub.amazonaws.com",
        "operations": [
            "Decrypt",
            "GenerateDataKey",
            "Encrypt"
        ],
        "constraints": {
            "encryptionContextSubset": {
                "aws:resiliencehub:service-arn": "arn:aws:resiliencehub:us-west-2:111122223333:service/my-service:abc123"
            }
        }
    },
    "responseElements": {
        "grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE",
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
    },
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "56d4e434-abb6-4dd7-8558-ad38560d03b1",
    "readOnly": false,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management"
}
GenerateDataKey

Wenn Resilience Hub der nächsten Generation Daten mit Ihrem vom Kunden verwalteten Schlüssel verschlüsselt, sendet er eine GenerateDataKey Anfrage zur Generierung eines Datenschlüssels. Dies geschieht sowohl bei synchronen API-Aufrufen (z. B. beim Erstellen eines Dienstes mit einer Beschreibung) als auch bei asynchronen Bewertungsworkflows.

Das folgende Beispielereignis zeichnet den Vorgang GenerateDataKey auf:

{
    "eventVersion": "1.11",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "resiliencehub.amazonaws.com"
    },
    "eventTime": "2026-01-15T11:18:36Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "GenerateDataKey",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "resiliencehub.amazonaws.com",
    "userAgent": "resiliencehub.amazonaws.com",
    "requestParameters": {
        "numberOfBytes": 32,
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
        "encryptionContext": {
            "aws:resiliencehub:service-arn": "arn:aws:resiliencehub:us-west-2:111122223333:service/my-service:abc123",
            "aws-crypto-public-key": "AwAnnorjRE+DFQYIuDKjGEvlXwro5Rdiegk8flmq7m0N..."
        }
    },
    "responseElements": null,
    "requestID": "c5bedc9b-e6d6-45f8-b121-c9851a3d718a",
    "eventID": "e839a7ed-e4a9-32a3-b92a-2c7237a40c82",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management"
}
Decrypt

Wenn Sie Ressourcen über API-Operationen abrufen oder wenn Bewertungs-Workflows zuvor gespeicherte Daten verarbeiten, sendet Resilience Hub der nächsten Generation Decrypt Anfragen zur Entschlüsselung der Daten.

Das folgende Beispielereignis zeichnet den Vorgang Decrypt auf:

{
    "eventVersion": "1.11",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AROAEXAMPLE:session-name",
        "arn": "arn:aws:sts::111122223333:assumed-role/YourRole/session-name",
        "accountId": "111122223333",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AROAEXAMPLE",
                "arn": "arn:aws:iam::111122223333:role/YourRole",
                "accountId": "111122223333",
                "userName": "YourRole"
            }
        },
        "invokedBy": "resiliencehub.amazonaws.com"
    },
    "eventTime": "2026-01-15T11:27:49Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "Decrypt",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "resiliencehub.amazonaws.com",
    "userAgent": "resiliencehub.amazonaws.com",
    "requestParameters": {
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
        "encryptionAlgorithm": "SYMMETRIC_DEFAULT",
        "encryptionContext": {
            "aws:resiliencehub:service-arn": "arn:aws:resiliencehub:us-west-2:111122223333:service/my-service:abc123",
            "aws-crypto-public-key": "A/9P3BC05WjeQONZR1fBiEqWKEse/Yk1lMxd2VIh2ED5..."
        }
    },
    "responseElements": null,
    "requestID": "30f8e9bc-4e0a-4359-8bc3-8278ef42c206",
    "eventID": "195ef070-c952-4c28-9883-29bca297a08c",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management"
}
DescribeKey

Resilience Hub der nächsten Generation sendet DescribeKey Anfragen, um zu überprüfen, ob der mit Ihrem Service verknüpfte, vom Kunden verwaltete Schlüssel im Konto und in der Region existiert und dass es sich um einen gültigen symmetrischen Verschlüsselungsschlüssel handelt.

Das folgende Beispielereignis zeichnet den Vorgang DescribeKey auf:

{
    "eventVersion": "1.11",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AROAEXAMPLE:session-name",
        "arn": "arn:aws:sts::111122223333:assumed-role/YourRole/session-name",
        "accountId": "111122223333",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AROAEXAMPLE",
                "arn": "arn:aws:iam::111122223333:role/YourRole",
                "accountId": "111122223333",
                "userName": "YourRole"
            }
        },
        "invokedBy": "resiliencehub.amazonaws.com"
    },
    "eventTime": "2026-01-15T10:07:13Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "DescribeKey",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "resiliencehub.amazonaws.com",
    "userAgent": "resiliencehub.amazonaws.com",
    "requestParameters": {
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
    },
    "responseElements": null,
    "requestID": "e427932c-448b-49aa-88e1-b311c27ba753",
    "eventID": "48c596a5-83c7-4603-b0cf-be0ff2548623",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management"
}

Weitere Informationen

Die folgenden Ressourcen enthalten weitere Informationen zur Datenverschlüsselung im Ruhezustand: