Autorisation d'utilisation EventBridge d'une clé gérée par le client - Amazon EventBridge
Considérations sur la sécurité

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Autorisation d'utilisation EventBridge d'une clé gérée par le client

Si vous utilisez une clé gérée par le client dans votre compte pour protéger vos EventBridge ressources, les politiques relatives à cette clé KMS doivent EventBridge autoriser son utilisation en votre nom. Vous fournissez ces autorisations dans une politique clé.

EventBridge n'a pas besoin d'autorisation supplémentaire pour utiliser la valeur par défaut Clé détenue par AWS afin de protéger les EventBridge ressources de votre AWS compte.

EventBridge nécessite les autorisations suivantes pour utiliser les clés gérées par le client :

  • kms:DescribeKey

    EventBridge nécessite cette autorisation pour récupérer l'ARN de la clé KMS pour l'ID de clé fourni et pour vérifier que la clé est symétrique.

  • kms:GenerateDataKey

    EventBridge nécessite cette autorisation pour générer une clé de données en tant que clé de chiffrement des données.

  • kms:Decrypt

    EventBridge nécessite cette autorisation pour déchiffrer la clé de données chiffrée et stockée avec les données chiffrées.

    EventBridge l'utilise pour faire correspondre les modèles d'événements ; les utilisateurs n'ont jamais accès aux données.

Sécurité lors de l'utilisation de clés gérées par le client pour EventBridge le chiffrement

La meilleure pratique en matière de sécurité consiste à ajouter une clé aws:SourceArnaws:sourceAccount, ou une clé de kms:EncryptionContext:aws:events:event-bus:arn condition à la politique AWS KMS clé. La clé de condition globale IAM permet de garantir que la clé KMS est EventBridge utilisée uniquement pour le bus ou le compte spécifié.

L'exemple suivant montre comment appliquer cette bonne pratique dans votre politique IAM pour un bus d'événements :

{
      "Sid": "Allow the use of key",
      "Effect": "Allow",
      "Principal": {
        "Service": "events.amazonaws.com"
      },
      "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt"
      ],
      "Resource": "*",
      "Condition" : {
        "StringEquals": {
          "aws:SourceAccount": "arn:aws:events:region:account-id",
          "aws:SourceArn": "arn:aws:events:region:account-id:event-bus/event-bus-name",
          "kms:EncryptionContext:aws:events:event-bus:arn": "arn:aws:events:region:account-id:event-bus/event-bus-arn"
        }
      }