Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Chiffrer les bus d' EventBridge événements à l'aide de clés AWS KMS
Vous pouvez spécifier d' EventBridge utiliser un AWS KMS pour chiffrer vos données stockées sur un bus d'événements, plutôt que d'utiliser un Clé détenue par AWS as par défaut. Vous pouvez spécifier une clé gérée par le client lorsque vous créez ou mettez à jour un bus d'événements. Vous pouvez également mettre à jour le bus d'événements par défaut afin d'utiliser également une clé gérée par le client pour le chiffrement. Pour de plus amples informations, veuillez consulter Options clés de KMS.
Lorsque vous spécifiez une clé gérée par le client pour un bus d'événements EventBridge , utilisez cette clé pour chiffrer les éléments suivants :
Les événements personnalisés et ceux des partenaires sont enregistrés dans le bus d'événements.
Les événements du AWS service sont chiffrés à l'aide d'un Clé détenue par AWS.
EventBridge ne chiffre pas les métadonnées des événements. Pour plus d'informations sur les métadonnées des événements, voir les métadonnées des événements de AWS service dans la référence des événements.
-
Pour chaque règle dans le bus :
Le modèle d'événement de la règle.
Informations cibles, y compris l'entrée cible, les transformateurs d'entrée et les paramètres de configuration.
Si la journalisation par bus d'événements est activée, les
errorsectionsdetailet du journal sont enregistrées.
Si vous spécifiez une clé gérée par le client pour un bus d'événements, vous avez la possibilité de spécifier une file d'attente de lettres mortes (DLQ) pour le bus d'événements. EventBridge transmet ensuite à ce DLQ tout événement personnalisé ou lié à un partenaire qui génère des erreurs de chiffrement ou de déchiffrement. Pour de plus amples informations, veuillez consulter DLQs pour les événements chiffrés.
Note
Nous recommandons vivement de spécifier une DLQ pour les bus d'événements, afin de garantir la préservation des événements en cas d'erreurs de chiffrement ou de déchiffrement.
Vous pouvez également spécifier l'utilisation de clés gérées par le client pour chiffrer les archives du bus d'événements. Pour de plus amples informations, veuillez consulter Chiffrer les archives.
Note
La découverte de schémas n'est pas prise en charge pour les bus d'événements chiffrés à l'aide d'une clé gérée par le client. Pour activer la découverte de schémas sur un bus d'événements, choisissez d'utiliser un Clé détenue par AWS. Pour de plus amples informations, veuillez consulter Options clés de KMS.
Contexte de chiffrement du bus d'événements
Un contexte de chiffrement est un ensemble de paires clé-valeur qui contiennent des données non secrètes arbitraires. Lorsque vous incluez un contexte de chiffrement dans une demande de chiffrement de données, AWS KMS lie de manière chiffrée le contexte de chiffrement aux données chiffrées. Pour déchiffrer les données, vous devez transmettre le même contexte de chiffrement.
Vous pouvez également utiliser le contexte de chiffrement comme condition d'autorisation dans les politiques et les autorisations.
Si vous utilisez une clé gérée par le client pour protéger vos EventBridge ressources, vous pouvez utiliser le contexte de chiffrement pour identifier l'utilisation de cette clé KMS key dans les enregistrements et les journaux d'audit. Il apparaît également en texte brut dans les journaux, tels que AWS CloudTrail et Amazon CloudWatch Logs.
Pour les bus d'événements, EventBridge utilise le même contexte de chiffrement dans toutes les opérations AWS KMS cryptographiques. Le contexte inclut une seule paire clé-valeur, qui contient l'ARN du bus d'événements.
"encryptionContext": { "kms:EncryptionContext:aws:events:event-bus:arn": "event-bus-arn" }
AWS KMS politique clé pour le bus événementiel
L'exemple de politique clé suivant fournit les autorisations requises pour un bus d'événements :
kms:DescribeKeykms:GenerateDataKeykms:Decrypt
À titre de bonne pratique en matière de sécurité, nous vous recommandons d'inclure des clés de condition dans la politique des clés afin de garantir que la clé KMS est EventBridge utilisée uniquement pour la ressource ou le compte spécifié. Pour de plus amples informations, veuillez consulter Considérations sur la sécurité.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowEventBridgeToValidateKeyPermission", "Effect": "Allow", "Principal": { "Service": "events.amazonaws.com" }, "Action": [ "kms:DescribeKey" ], "Resource": "*" }, { "Sid": "AllowEventBridgeToEncryptEvents", "Effect": "Allow", "Principal": { "Service": "events.amazonaws.com" }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "*", "Condition": { "StringEquals": { "kms:EncryptionContext:aws:events:event-bus:arn": "arn:aws:events:us-east-1:123456789012:event-bus/event-bus-arn", "aws:SourceArn": "arn:aws:events:us-east-1:123456789012:event-bus/event-bus-name" } } } ] }
AWS KMS autorisations clés pour les actions du bus d'événements
Pour créer ou mettre à jour un bus d'événements chiffré à l'aide d'une clé gérée par le client, vous devez disposer des autorisations suivantes sur la clé gérée par le client spécifiée :
kms:GenerateDataKeyWithoutPlaintextkms:Decryptkms:Encryptkms:ReEncryptFromkms:ReEncryptTokms:DescribeKey
En outre, pour effectuer certaines actions du bus d'événements sur un bus d'événements chiffré à l'aide d'une clé gérée par le client, vous devez avoir l'kms:Decryptautorisation d'utiliser la clé gérée par le client spécifiée. Ces actions sont notamment les suivantes :
