Cifrado de registros de bus de eventos con AWS KMS en EventBridge

Al enviar registros, EventBridge cifra las secciones detail y error de cada registro con la clave de KMS especificada para el bus de eventos. Al especificar una clave administrada por el cliente para el bus de eventos, EventBridge utiliza esa clave para cifrar en tránsito. Una vez entregado, el registro se descifra y, a continuación, se vuelve a cifrar con la clave de KMS especificada para el destino del registro.

Contexto de cifrado de los registros del bus de eventos

Un contexto de cifrado es un conjunto de pares de clave-valor que contienen datos no secretos arbitrarios. Cuando se incluye un contexto de cifrado en una solicitud para cifrar datos, AWS KMS vincula criptográficamente el contexto de cifrado a los datos cifrados. Para descifrar los datos, es necesario pasar el mismo contexto de cifrado.

También puede utilizar el contexto de cifrado como condición para la autorización en políticas y concesiones.

Si utiliza una clave administrada por el cliente para proteger sus recursos de EventBridge, puede utilizar el contexto de cifrado para identificar el uso de la KMS key en los registros de auditoría y en los registros. También aparece en texto sin formato en registros, como AWS CloudTrail y Amazon CloudWatch Logs.

En el caso de los registros del bus de eventos, EventBridge utiliza el mismo contexto de cifrado en todas las operaciones criptográficas de AWS KMS.

"encryptionContext": {
    "kms:EncryptionContext:SourceArn": "arn:partition:logs:region:account:*"
}

Permisos de la política de claves de AWS KMS para el registro de buses de eventos

En el caso de los buses de eventos que utilicen una clave administrada por el cliente, debe añadir los siguientes permisos a la política de claves.