Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengenkripsi bus EventBridge acara dengan kunci AWS KMS

Anda dapat menentukan bahwa EventBridge menggunakan AWS KMS untuk mengenkripsi data Anda yang disimpan di bus acara, daripada menggunakan Kunci milik AWS as is default. Anda dapat menentukan kunci yang dikelola pelanggan saat membuat atau memperbarui bus acara. Anda juga dapat memperbarui bus acara default untuk menggunakan kunci yang dikelola pelanggan untuk enkripsi juga. Untuk informasi selengkapnya, lihat Opsi kunci KMS.

Saat Anda menentukan kunci terkelola pelanggan untuk bus acara, EventBridge gunakan kunci tersebut untuk mengenkripsi yang berikut:

Jika Anda menentukan kunci yang dikelola pelanggan untuk bus acara, Anda memiliki opsi untuk menentukan antrian huruf mati (DLQ) untuk bus acara. EventBridge kemudian mengirimkan peristiwa kustom atau mitra yang menghasilkan kesalahan enkripsi atau dekripsi ke DLQ tersebut. Untuk informasi selengkapnya, lihat DLQs untuk acara terenkripsi.

Anda juga dapat menentukan menggunakan kunci yang dikelola pelanggan untuk mengenkripsi arsip bus acara. Untuk informasi selengkapnya, lihat Mengenkripsi arsip.

Konteks enkripsi bus acara

Konteks enkripsi adalah seperangkat pasangan kunci-nilai yang berisi data non-rahasia yang arbitrer. Ketika Anda menyertakan konteks enkripsi dalam permintaan untuk mengenkripsi data, AWS KMS secara kriptografi mengikat konteks enkripsi untuk data terenkripsi tersebut. Untuk mendekripsi data, Anda harus meneruskan konteks enkripsi yang sama.

Anda juga dapat menggunakan konteks enkripsi sebagai syarat untuk otorisasi dalam kebijakan dan hibah.

Jika Anda menggunakan kunci yang dikelola pelanggan untuk melindungi EventBridge sumber daya Anda, Anda dapat menggunakan konteks enkripsi untuk mengidentifikasi penggunaan catatan dan log audit KMS key dalam. Itu juga muncul dalam plaintext di log, seperti AWS CloudTraildan. Amazon CloudWatch Logs

Untuk bus acara, EventBridge gunakan konteks enkripsi yang sama di semua operasi AWS KMS kriptografi. Konteksnya mencakup pasangan kunci-nilai tunggal, yang berisi bus acara ARN.

"encryptionContext": {
    "kms:EncryptionContext:aws:events:event-bus:arn": "event-bus-arn"
}

AWS KMS kebijakan kunci untuk bus acara

Contoh kebijakan kunci berikut memberikan izin yang diperlukan untuk bus acara:

Sebagai praktik keamanan terbaik, kami sarankan Anda menyertakan kunci kondisi dalam kebijakan kunci untuk membantu memastikan bahwa EventBridge menggunakan kunci KMS hanya untuk sumber daya atau akun yang ditentukan. Untuk informasi selengkapnya, lihat Pertimbangan keamanan.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowEventBridgeToValidateKeyPermission",
      "Effect": "Allow",
      "Principal": {
      "Service": "events.amazonaws.com"
       },
      "Action": [
        "kms:DescribeKey"
        ],
      "Resource": "*"
    },
  {
    "Sid": "AllowEventBridgeToEncryptEvents",
    "Effect": "Allow",
    "Principal": {
      "Service": "events.amazonaws.com"
    },
    "Action": [
      "kms:GenerateDataKey",
      "kms:Decrypt"
    ],
    "Resource": "*",
    "Condition": {
      "StringEquals": {
          "kms:EncryptionContext:aws:events:event-bus:arn": "arn:aws:events:us-east-1:123456789012:event-bus/event-bus-arn",
          "aws:SourceArn": "arn:aws:events:us-east-1:123456789012:event-bus/event-bus-name"
        }
      } 
    }
  ] }

AWS KMS izin kunci untuk tindakan bus acara

Untuk membuat atau memperbarui bus acara yang dienkripsi menggunakan kunci yang dikelola pelanggan, Anda harus memiliki izin berikut ke kunci terkelola pelanggan yang ditentukan:

Selain itu, untuk melakukan tindakan bus peristiwa tertentu pada bus acara yang dienkripsi menggunakan kunci yang dikelola pelanggan, Anda harus memiliki kms:Decrypt izin untuk kunci terkelola pelanggan yang ditentukan. Tindakan ini meliputi: