Contexto de cifrado del bus de eventos Política de claves de bus de eventos AWS KMS permisos clave para las acciones del bus de eventos

Cifrado de buses de EventBridge eventos con claves AWS KMS

Puede especificar que EventBridge utilice un AWS KMS para cifrar los datos almacenados en un bus de eventos, en lugar de utilizar un Clave propiedad de AWS tal como es el predeterminado. Puede especificar una clave gestionada por el cliente al crear o actualizar un bus de eventos. También puede actualizar el bus de eventos predeterminado para usar también una clave administrada por el cliente para el cifrado. Para obtener más información, consulte Opciones de clave KMS.

Al especificar una clave gestionada por el cliente para un bus de eventos, EventBridge utiliza esa clave para cifrar lo siguiente:

Eventos personalizados y asociados almacenados en el bus de eventos.

Los eventos del AWS servicio se cifran mediante un Clave propiedad de AWS.

EventBridge no cifra los metadatos de los eventos. Para obtener más información sobre los metadatos de los eventos, consulte los metadatos de los eventos de AWS servicio en la Referencia de eventos.
Para cada regla del autobús:
- El patrón de eventos de la regla.
- Información del objetivo, incluida la entrada del objetivo, los transformadores de entrada y los parámetros de configuración.
Si el registro del bus de eventos está activado, se registran error las secciones detail y del registro.

Si especifica una clave gestionada por el cliente para un bus de eventos, tiene la opción de especificar una cola de espera (DLQ) para el bus de eventos. EventBridge a continuación, envía a ese DLQ cualquier evento personalizado o asociado que genere errores de cifrado o descifrado. Para obtener más información, consulte DLQs para eventos cifrados.

nota

Recomendamos encarecidamente especificar un DLQ para los buses de eventos, a fin de garantizar que los eventos se conserven en caso de que se produzcan errores de cifrado o descifrado.

También puede especificar el uso de claves administradas por el cliente para cifrar los archivos del bus de eventos. Para obtener más información, consulte Cifrar archivos.

nota

La detección de esquemas no es compatible con los buses de eventos cifrados con una clave administrada por el cliente. Para habilitar la detección de esquemas en un bus de eventos, elija usar un Clave propiedad de AWS. Para obtener más información, consulte Opciones de clave KMS.

Contexto de cifrado del bus de eventos

Un contexto de cifrado es un conjunto de pares de clave-valor que contienen datos no secretos arbitrarios. Cuando se incluye un contexto de cifrado en una solicitud para cifrar datos, AWS KMS vincula criptográficamente el contexto de cifrado a los datos cifrados. Para descifrar los datos, es necesario pasar el mismo contexto de cifrado.

También puede utilizar el contexto de cifrado como condición para la autorización en políticas y concesiones.

Si utiliza una clave gestionada por el cliente para proteger sus EventBridge recursos, puede utilizar el contexto de cifrado para identificar su uso KMS key en los registros y registros de auditoría. También aparece en texto sin formato en registros, como AWS CloudTrail y Amazon CloudWatch Logs.

En el caso de los buses de eventos, EventBridge utiliza el mismo contexto de cifrado en todas las operaciones AWS KMS criptográficas. El contexto incluye un único par clave-valor, que contiene el ARN del bus de eventos.


"encryptionContext": {
    "kms:EncryptionContext:aws:events:event-bus:arn": "event-bus-arn"
}

AWS KMS política clave para el bus de eventos

La política de claves de ejemplo siguiente proporciona solo los permisos necesarios para un bus de eventos:

kms:DescribeKey
kms:GenerateDataKey
kms:Decrypt

Como práctica recomendada de seguridad, le recomendamos que incluya claves de condición en la política de claves para garantizar que solo se EventBridge utilice la clave de KMS para el recurso o la cuenta especificados. Para obtener más información, consulte Consideraciones de seguridad.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowEventBridgeToValidateKeyPermission",
      "Effect": "Allow",
      "Principal": {
      "Service": "events.amazonaws.com"
       },
      "Action": [
        "kms:DescribeKey"
        ],
      "Resource": "*"
    },
  {
    "Sid": "AllowEventBridgeToEncryptEvents",
    "Effect": "Allow",
    "Principal": {
      "Service": "events.amazonaws.com"
    },
    "Action": [
      "kms:GenerateDataKey",
      "kms:Decrypt"
    ],
    "Resource": "*",
    "Condition": {
      "StringEquals": {
          "kms:EncryptionContext:aws:events:event-bus:arn": "arn:aws:events:us-east-1:123456789012:event-bus/event-bus-arn",
          "aws:SourceArn": "arn:aws:events:us-east-1:123456789012:event-bus/event-bus-name"
        }
      } 
    }
  ] }

AWS KMS permisos clave para las acciones del bus de eventos

Para crear o actualizar un bus de eventos cifrado con una clave administrada por el cliente, debe tener los siguientes permisos para acceder a la clave administrada por el cliente especificada:

kms:GenerateDataKeyWithoutPlaintext
kms:Decrypt
kms:Encrypt
kms:ReEncryptFrom
kms:ReEncryptTo
kms:DescribeKey

Además, para realizar determinadas acciones del bus de eventos en un bus de eventos cifrado con una clave gestionada por el cliente, debe tener kms:Decrypt permiso para utilizar la clave gestionada por el cliente especificada. Estas acciones incluyen:

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Mantenimiento del acceso a las claves

Configuración del cifrado del bus de eventos