Contexte de chiffrement des journaux Autorisations de journalisation

Chiffrer les journaux des bus d'événements avec in AWS KMS EventBridge

Lors de l'envoi de journaux, EventBridge chiffre les error sections detail et de chaque enregistrement de journal avec la clé KMS spécifiée pour le bus d'événements. Si vous avez spécifié une clé gérée par le client pour le bus d'événements, EventBridge utilise cette clé pour le chiffrement en transit. Une fois livré, l'enregistrement est déchiffré puis rechiffré avec la clé KMS spécifiée pour la destination du journal.

Contexte de chiffrement des journaux du bus d'événements

Un contexte de chiffrement est un ensemble de paires clé-valeur qui contiennent des données non secrètes arbitraires. Lorsque vous incluez un contexte de chiffrement dans une demande de chiffrement de données, AWS KMS lie de manière chiffrée le contexte de chiffrement aux données chiffrées. Pour déchiffrer les données, vous devez transmettre le même contexte de chiffrement.

Vous pouvez également utiliser le contexte de chiffrement comme condition d'autorisation dans les politiques et les autorisations.

Si vous utilisez une clé gérée par le client pour protéger vos EventBridge ressources, vous pouvez utiliser le contexte de chiffrement pour identifier l'utilisation de cette clé KMS key dans les enregistrements et les journaux d'audit. Il apparaît également en texte brut dans les journaux, tels que AWS CloudTrail et Amazon CloudWatch Logs.

Pour les journaux du bus d'événements, EventBridge utilise le même contexte de chiffrement dans toutes les opérations AWS KMS cryptographiques.


"encryptionContext": {
    "kms:EncryptionContext:SourceArn": "arn:partition:logs:region:account:*"
}

AWS KMS autorisations politiques clés pour la journalisation des bus d'événements

Pour les bus d'événements utilisant une clé gérée par le client, vous devez ajouter les autorisations suivantes à la politique des clés.

EventBridge Autoriser le chiffrement des journaux à l'aide de la clé gérée par le client.


{
  "Sid": "Enable log service encryption",
  "Effect": "Allow",
  "Principal": {
    "Service": "events.amazonaws.com"  
  },
  "Action": [
    "kms:GenerateDataKey"
  ],
  "Resource": "*",
  "Condition": {
    "StringLike": {
      "kms:EncryptionContext:SourceArn": "arn:partition:logs:region:account:*"
    }
  }
}

Autoriser le service de journalisation à déchiffrer les journaux envoyés par EventBridge.


{
  "Sid": "Enable log delivery decryption",
  "Effect": "Allow",
  "Principal": {
    "Service": "delivery.logs.amazonaws.com"
  },
  "Action": [
    "kms:Decrypt",
    "kms:GenerateDataKey"
  ],
  "Resource": "*",
  "Condition": {
    "StringLike": {
      "kms:EncryptionContext:SourceArn": "arn:partition:logs:region:account:*"
    }
  }
}

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Chiffrement pour les règles gérées

DLQs pour les événements chiffrés