Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Chiffrer les données de EventBridge Pipes avec des clés AWS KMS
<a name="eb-encryption-pipes-cmkey"></a>

Vous pouvez spécifier d' EventBridge utiliser une clé gérée par le client pour chiffrer les données de canal stockées au repos, plutôt que d'utiliser un Clé détenue par AWS tel par défaut. Vous pouvez spécifier une clé gérée par le client lorsque vous créez ou mettez à jour un canal. Pour plus d'informations sur les types de clés, consultez[Options clés de KMS](eb-encryption-at-rest-key-options.md).

Les données du canal EventBridge chiffrées au repos incluent :
+ [Modèles d'événements](eb-event-patterns.md)
+ [Transformateurs d'entrée](eb-pipes-input-transformation.md)

Les événements circulant dans un canal ne sont jamais stockés au repos.

## EventBridge Contexte de chiffrement des canaux
<a name="eb-encryption-at-rest-context-pipes"></a>

Un [contexte de chiffrement](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#encrypt_context) est un ensemble de paires clé-valeur qui contiennent des données non secrètes arbitraires. Lorsque vous incluez un contexte de chiffrement dans une demande de chiffrement de données, AWS KMS lie de manière chiffrée le contexte de chiffrement aux données chiffrées. Pour déchiffrer les données, vous devez transmettre le même contexte de chiffrement.

Vous pouvez également utiliser le contexte de chiffrement comme condition d'autorisation dans les politiques et les autorisations.

Si vous utilisez une clé gérée par le client pour protéger vos EventBridge ressources, vous pouvez utiliser le contexte de chiffrement pour identifier l'utilisation de cette clé KMS key dans les enregistrements et les journaux d'audit. Il apparaît également en texte brut dans les journaux, tels que [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) et [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html).

Pour EventBridge Pipes, EventBridge utilise le même contexte de chiffrement dans toutes les opérations AWS KMS cryptographiques. Le contexte inclut une seule paire clé-valeur, qui contient l'ARN du canal. 

```
"encryptionContext": {
    "kms:EncryptionContext:aws:pipes:arn": "pipe-arn"
}
```

Pour les journaux vendus, EventBridge utilise le contexte de chiffrement suivant.

```
"encryptionContext": {
    "kms:EncryptionContext:SourceArn": "arn:partition:logs:region:account:*"
}
```

## AWS KMS politique clé pour EventBridge Pipes
<a name="eb-encryption-key-policy-pipe"></a>

L'exemple de politique clé suivant fournit les autorisations requises pour un canal :
+ `kms:DescribeKey`
+ `kms:GenerateDataKey`
+ `kms:Decrypt`

À titre de bonne pratique en matière de sécurité, nous vous recommandons d'inclure des clés de condition dans la politique des clés afin de garantir que la AWS KMS clé n'est EventBridge utilisée que pour la ressource ou le compte spécifié. Pour de plus amples informations, veuillez consulter [Considérations sur la sécurité](eb-encryption-key-policy.md#eb-encryption-event-bus-confused-deputy).

------
#### [ JSON ]

****  

```
{
  "Id": "CMKKeyPolicy",
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
      "AWS": "arn:aws:iam::123456789012:role/pipe-execution-role"
      },
      "Action": [
        "kms:DescribeKey"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Principal": {
      "AWS": "arn:aws:iam::123456789012:role/pipe-execution-rolee"
      },
      "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt"
      ],
      "Resource": "*",
      "Condition": {
        "ArnLike": {
        "kms:EncryptionContext:aws:pipe:arn": "arn:aws:pipes:us-east-1:123456789012:pipe/pipe-name"
        },
        "ForAnyValue:StringEquals": {
          "kms:EncryptionContextKeys": [
            "aws:pipe:arn"
          ]
        }
      }
    }
  ]
}
```

------

### Autorisations pour les journaux de canaux contenant des données d'exécution
<a name="eb-encryption-key-policy-pipe-logs"></a>

Si vous avez configuré la journalisation des canaux pour inclure les données d'exécution, la politique clé doit inclure les autorisations suivantes pour le service de journalisation :
+ `kms:Decrypt`
+ `kms:GenerateDataKey`

Pour de plus amples informations, veuillez consulter [Inclure les données d'exécution dans les logs de EventBridge Pipes](eb-pipes-logs.md#eb-pipes-logs-execution-data).

L'exemple de politique clé suivant fournit les autorisations requises pour la journalisation des canaux :

```
{
  "Sid": "Enable log service encryption",
  "Effect": "Allow",
  "Principal": {
    "Service": "delivery.logs.amazonaws.com"
  },
  "Action": [
    "kms:Decrypt",
    "kms:GenerateDataKey"
  ],
  "Resource": "*",
  "Condition": {
    "StringLike": {
      "kms:EncryptionContext:SourceArn": "arn:partition:logs:region:account:*"
    }
  }
}
```

En outre, le rôle d'exécution du canal nécessite l'`kms:GenerateDataKey`autorisation.

```
{
  "Sid": "Enable log service encryption",
  "Effect": "Allow",
  "Principal": {
    "AWS": "arn:aws:iam::account:role/pipe-execution-role"
  },
  "Action": [
    "kms:GenerateDataKey"
  ],
  "Resource": "*",
  "Condition": {
    "StringLike": {
      "kms:EncryptionContext:SourceArn": "arn:partition:logs:region:account:*"
    }
  }
}
```

Le rôle d'exécution du tube doit également inclure :

```
"Action": [
    "kms:GenerateDataKey"
  ],
  "Resource": "key-arn",
  "Condition": {
    "StringLike": {
      "kms:EncryptionContext:SourceArn": "arn:partition:logs:region:account:*"
    }
  }
```

# Configuration du chiffrement dans EventBridge Pipes
<a name="eb-encryption-pipe-cmkey-configure"></a>

Vous pouvez spécifier la clé KMS EventBridge à utiliser lors de la création ou de la mise à jour d'un canal.

## Spécification de la AWS KMS clé utilisée pour le chiffrement lors de la création d'un canal
<a name="eb-encryption-pipe-cmkey-create"></a>

Le choix de la AWS KMS clé utilisée pour le chiffrement est une option permettant de créer un canal. La valeur par défaut est d'utiliser le Clé détenue par AWS paramètre fourni par EventBridge. 

**Pour spécifier une clé de chiffrement gérée par le client lors de la création d'un canal (console)**
+ Suivez les instructions ci-dessous :

  [Création d’un canal](eb-pipes-create.md).

**Pour spécifier une clé gérée par le client pour le chiffrement lors de la création d'un canal (CLI)**
+ Lorsque vous appelez`[create-pipe](https://docs.aws.amazon.com/cli/latest/reference/pipes/create-pipe.html)`, utilisez l'`kms-key-identifier`option pour spécifier la clé gérée par le client EventBridge à utiliser pour le chiffrement sur le bus d'événements.

## Mise à jour de la AWS KMS clé utilisée pour le chiffrement sur EventBridge Pipes
<a name="eb-encryption-pipe-cmkey-update"></a>

Vous pouvez mettre à jour la AWS KMS clé utilisée pour le chiffrement au repos sur un canal existant. Cela inclut notamment les éléments suivants :
+ Passage de la clé par défaut Clé détenue par AWS à une clé gérée par le client.
+ Passage d'une clé gérée par le client à la clé par défaut Clé détenue par AWS.
+ Passer d'une clé gérée par le client à une autre.

Lorsque vous mettez à jour un canal pour utiliser une autre AWS KMS clé, EventBridge déchiffre toutes les données stockées sur le canal, puis les chiffre à l'aide de la nouvelle clé.

**Pour mettre à jour la clé KMS utilisée pour le chiffrement sur un canal (console)**

1. Ouvrez la EventBridge console Amazon à l'adresse [https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/).

1. Dans le volet de navigation, choisissez **Pipelines**.

1. Choisissez le canal que vous souhaitez mettre à jour.

1. Sur la page des détails du bus de tuyauterie, choisissez l'onglet **Chiffrement**.

1. Choisissez la clé KMS EventBridge à utiliser lors du chiffrement des données stockées sur le canal :
   + Choisissez **Utiliser Clé détenue par AWS** pour chiffrer EventBridge les données à l'aide d'un Clé détenue par AWS.

     Il s' Clé détenue par AWS agit d'une clé KMS qui EventBridge possède et gère pour être utilisée dans plusieurs AWS comptes. En général, à moins que vous ne soyez obligé d'auditer ou de contrôler la clé de chiffrement qui protège vos ressources, une Clé détenue par AWS est un bon choix. 

     Il s’agit de l’option par défaut.
   + Choisissez **Utiliser la clé gérée par le client** EventBridge pour chiffrer les données à l'aide de la clé gérée par le client que vous spécifiez ou créez.

     Les clés gérées par le client sont des clés KMS de votre AWS compte que vous créez, détenez et gérez. Vous avez un contrôle total sur ces clés KMS.

     1. Spécifiez une clé gérée par le client existante ou choisissez **Créer une nouvelle clé KMS**.

       EventBridge affiche le statut de la clé et tous les alias de clé associés à la clé gérée par le client spécifiée.

**Pour mettre à jour la clé KMS utilisée pour le chiffrement sur un canal (CLI)**
+ Lorsque vous appelez`[update-pipe](https://docs.aws.amazon.com/cli/latest/reference/pipes/update-pipe.html)`, utilisez l'`kms-key-identifier`option pour spécifier la clé gérée par le client EventBridge à utiliser pour chiffrer les données du canal.