Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Chiffrer les données de EventBridge Pipes avec des clés AWS KMS
Vous pouvez spécifier d' EventBridge utiliser une clé gérée par le client pour chiffrer les données de canal stockées au repos, plutôt que d'utiliser un Clé détenue par AWS tel par défaut. Vous pouvez spécifier une clé gérée par le client lorsque vous créez ou mettez à jour un canal. Pour plus d'informations sur les types de clés, consultezOptions clés de KMS.
Les données du canal EventBridge chiffrées au repos incluent :
Les événements circulant dans un canal ne sont jamais stockés au repos.
EventBridge Contexte de chiffrement des canaux
Un contexte de chiffrement est un ensemble de paires clé-valeur qui contiennent des données non secrètes arbitraires. Lorsque vous incluez un contexte de chiffrement dans une demande de chiffrement de données, AWS KMS lie de manière chiffrée le contexte de chiffrement aux données chiffrées. Pour déchiffrer les données, vous devez transmettre le même contexte de chiffrement.
Vous pouvez également utiliser le contexte de chiffrement comme condition d'autorisation dans les politiques et les autorisations.
Si vous utilisez une clé gérée par le client pour protéger vos EventBridge ressources, vous pouvez utiliser le contexte de chiffrement pour identifier l'utilisation de cette clé KMS key dans les enregistrements et les journaux d'audit. Il apparaît également en texte brut dans les journaux, tels que AWS CloudTrail et Amazon CloudWatch Logs.
Pour EventBridge Pipes, EventBridge utilise le même contexte de chiffrement dans toutes les opérations AWS KMS cryptographiques. Le contexte inclut une seule paire clé-valeur, qui contient l'ARN du canal.
"encryptionContext": { "kms:EncryptionContext:aws:pipes:arn": "pipe-arn" }
Pour les journaux vendus, EventBridge utilise le contexte de chiffrement suivant.
"encryptionContext": { "kms:EncryptionContext:SourceArn": "arn:partition:logs:region:account:*" }
AWS KMS politique clé pour EventBridge Pipes
L'exemple de politique clé suivant fournit les autorisations requises pour un canal :
kms:DescribeKeykms:GenerateDataKeykms:Decrypt
À titre de bonne pratique en matière de sécurité, nous vous recommandons d'inclure des clés de condition dans la politique des clés afin de garantir que la AWS KMS clé n'est EventBridge utilisée que pour la ressource ou le compte spécifié. Pour de plus amples informations, veuillez consulter Considérations sur la sécurité.
Autorisations pour les journaux de canaux contenant des données d'exécution
Si vous avez configuré la journalisation des canaux pour inclure les données d'exécution, la politique clé doit inclure les autorisations suivantes pour le service de journalisation :
kms:Decryptkms:GenerateDataKey
Pour de plus amples informations, veuillez consulter Inclure les données d'exécution dans les logs de EventBridge Pipes.
L'exemple de politique clé suivant fournit les autorisations requises pour la journalisation des canaux :
{ "Sid": "Enable log service encryption", "Effect": "Allow", "Principal": { "Service": "delivery.logs.amazonaws.com" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "*", "Condition": { "StringLike": { "kms:EncryptionContext:SourceArn": "arn:partition:logs:region:account:*" } } }
En outre, le rôle d'exécution du canal nécessite l'kms:GenerateDataKeyautorisation.
{ "Sid": "Enable log service encryption", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::account:role/pipe-execution-role" }, "Action": [ "kms:GenerateDataKey" ], "Resource": "*", "Condition": { "StringLike": { "kms:EncryptionContext:SourceArn": "arn:partition:logs:region:account:*" } } }
Le rôle d'exécution du tube doit également inclure :
"Action": [ "kms:GenerateDataKey" ], "Resource": "key-arn", "Condition": { "StringLike": { "kms:EncryptionContext:SourceArn": "arn:partition:logs:region:account:*" } }
