Cifrado de archivos de EventBridge con claves de AWS KMS - Amazon EventBridge
Contexto de cifradoPolítica de claves de archivo

Cifrado de archivos de EventBridge con claves de AWS KMS

Puede especificar que EventBridge utilice una clave administrada por el cliente para cifrar los eventos almacenados en un archivo, en lugar de utilizar un Clave propiedad de AWS, que es lo predeterminado. Puede especificar una clave administrada por el cliente al crear o actualizar un archivo. Para obtener más información sobre los tipos de claves, consulte Opciones de claves de KMS.

Esto incluye:

  • Eventos almacenados en el archivo

  • El patrón de eventos, si lo hay, especificado para filtrar los eventos enviados al archivo

Aquí no se incluyen los metadatos del archivo, como el tamaño del archivo o el número de eventos que contiene.

Si especifica una clave administrada por el cliente para un archivo, EventBridge cifra los eventos antes de enviarlos al archivo, lo que garantiza el cifrado tanto en tránsito como en reposo.

Contexto de cifrado de archivos

Un contexto de cifrado es un conjunto de pares de clave-valor que contienen datos no secretos arbitrarios. Cuando se incluye un contexto de cifrado en una solicitud para cifrar datos, AWS KMS vincula criptográficamente el contexto de cifrado a los datos cifrados. Para descifrar los datos, es necesario pasar el mismo contexto de cifrado.

También puede utilizar el contexto de cifrado como condición para la autorización en políticas y concesiones.

Si utiliza una clave administrada por el cliente para proteger sus recursos de EventBridge, puede utilizar el contexto de cifrado para identificar el uso de la KMS key en los registros de auditoría y en los registros. También aparece en texto sin formato en registros, como AWS CloudTrail y Amazon CloudWatch Logs.

En el caso de los archivos de eventos, EventBridge utiliza el mismo contexto de cifrado en todas las operaciones criptográficas de AWS KMS. El contexto incluye un único par clave-valor, que contiene el ARN del archivo. 

"encryptionContext": {
    "kms:EncryptionContext:aws:events:event-bus:arn": "event-bus-arn"
}

Política de claves de AWS KMS para los archivos

La política de claves de ejemplo siguiente proporciona los permisos necesarios para un archivo de eventos:

  • kms:DescribeKey

  • kms:GenerateDataKey

  • kms:Decrypt

  • kms:ReEncrypt

La práctica recomendada de seguridad es incluir claves de condición en la política de claves para garantizar que EventBridge utilice la clave de KMS solo para el recurso o la cuenta específicos. Para obtener más información, consulte Consideraciones de seguridad.

JSON
{
  "Id": "CMKKeyPolicy",
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "events.amazonaws.com"
      },
      "Action": [
        "kms:DescribeKey"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "events.amazonaws.com"
      },
      "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt",
        "kms:ReEncrypt*"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
         "kms:EncryptionContext:aws:events:event-bus:arn": "arn:aws:events:region:account-id:event-bus/event-bus-arn"
        }
      }
    }
  ]
}