Autorización por parte de EventBridge del uso de una clave administrada por el cliente

Si utiliza una clave administrada por el cliente en su cuenta para proteger sus recursos de EventBridge, las políticas de esa clave de KMS deben conceder a EventBridge permiso para utilizarla en su nombre. Proporcione estos permisos en una política de claves.

EventBridge no necesita autorización adicional para utilizar la Clave propiedad de AWS predeterminada para proteger los recursos de EventBridge de su cuenta de AWS.

EventBridge requiere los siguientes permisos para utilizar las claves administradas por el cliente:

Seguridad al utilizar claves administradas por el cliente para el cifrado de EventBridge

Como práctica recomendada de seguridad, agregue una clave de condición aws:SourceArn, aws:sourceAccount o kms:EncryptionContext:aws:events:event-bus:arn a la política de claves de AWS KMS. La clave de condición global de IAM ayuda a garantizar que EventBridge utilice la clave de KMS solo para el bus o la cuenta específicos.

En el siguiente ejemplo, se muestra cómo seguir esta práctica recomendada en su política de IAM para un bus de eventos:

{
      "Sid": "Allow the use of key",
      "Effect": "Allow",
      "Principal": {
        "Service": "events.amazonaws.com"
      },
      "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt"
      ],
      "Resource": "*",
      "Condition" : {
        "StringEquals": {
          "aws:SourceAccount": "arn:aws:events:region:account-id",
          "aws:SourceArn": "arn:aws:events:region:account-id:event-bus/event-bus-name",
          "kms:EncryptionContext:aws:events:event-bus:arn": "arn:aws:events:region:account-id:event-bus/event-bus-arn"
        }
      }