Mengenkripsi data EventBridge Pipa dengan kunci AWS KMS - Amazon EventBridge
Konteks enkripsiKebijakan kunci pipa

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengenkripsi data EventBridge Pipa dengan kunci AWS KMS

Anda dapat menentukan bahwa EventBridge menggunakan a kunci yang dikelola pelanggan untuk mengenkripsi data pipa yang disimpan saat istirahat, daripada menggunakan Kunci milik AWS as is default. Anda dapat menentukan kunci yang dikelola pelanggan kapan Anda membuat atau memperbarui pipa. Untuk informasi selengkapnya tentang tipe kunci, lihatKMS key pilihan.

Data pipa yang EventBridge dienkripsi saat istirahat meliputi:

EventBridge Konteks enkripsi pipa

Konteks enkripsi adalah seperangkat pasangan kunci-nilai yang berisi data non-rahasia yang arbitrer. Ketika Anda menyertakan konteks enkripsi dalam permintaan untuk mengenkripsi data, AWS KMS secara kriptografi mengikat konteks enkripsi untuk data terenkripsi tersebut. Untuk mendekripsi data, Anda harus meneruskan konteks enkripsi yang sama.

Anda juga dapat menggunakan konteks enkripsi sebagai syarat untuk otorisasi dalam kebijakan dan hibah.

Jika Anda menggunakan kunci yang dikelola pelanggan untuk melindungi EventBridge sumber daya Anda, Anda dapat menggunakan konteks enkripsi untuk mengidentifikasi penggunaan catatan dan log audit KMS key dalam. Itu juga muncul dalam plaintext di log, seperti AWS CloudTraildan. Amazon CloudWatch Logs

Untuk EventBridge Pipes, EventBridge menggunakan konteks enkripsi yang sama di semua operasi AWS KMS kriptografi. Konteksnya mencakup pasangan kunci-nilai tunggal, yang berisi pipa ARN. 

"encryptionContext": {
    "kms:EncryptionContext:aws:pipes:arn": "pipe-arn"
}

Untuk log vended, EventBridge gunakan konteks enkripsi berikut.

"encryptionContext": {
    "kms:EncryptionContext:SourceArn": "arn:partition:logs:region:account:*"
}

AWS KMS kebijakan utama untuk EventBridge Pipa

Contoh kebijakan kunci berikut memberikan izin yang diperlukan untuk pipa:

  • kms:DescribeKey

  • kms:GenerateDataKey

  • kms:Decrypt

Sebagai praktik keamanan terbaik, kami sarankan Anda menyertakan kunci kondisi dalam kebijakan kunci untuk membantu memastikan bahwa EventBridge menggunakan kunci KMS hanya untuk sumber daya atau akun yang ditentukan. Untuk informasi selengkapnya, lihat Pertimbangan keamanan.

{
  "Id": "CMKKeyPolicy",
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::account-id:role/pipe-execution-role"
      },
      "Action": [
        "kms:DescribeKey"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::account-id:role/pipe-execution-role"
      },
      "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt"
      ],
      "Resource": "*",
      "Condition": {
        "ArnLike": {
          "kms:EncryptionContext:aws:pipe:arn": "arn:aws:pipes:region:account-id:pipe/pipe-name"
        },
        "ForAnyValues:StringEquals": { // Requires that only PipeArn is passed in the encryption context
          "kms:EncryptionContextKeys": [
            "aws:pipe:arn"
          ]
        }
      }
    }
  ]
}

Izin untuk log pipa yang menyertakan data eksekusi

Jika Anda telah mengonfigurasi pencatatan pipa untuk menyertakan data eksekusi, kebijakan utama harus menyertakan izin berikut untuk layanan logging:

  • kms:Decrypt

  • kms:GenerateDataKey

Untuk informasi selengkapnya, lihat Termasuk data eksekusi di log EventBridge Pipes.

Contoh kebijakan kunci berikut memberikan izin yang diperlukan untuk logging pipa:

{
  "Sid": "Enable log service encryption",
  "Effect": "Allow",
  "Principal": {
    "Service": "delivery.logs.amazonaws.com"
  },
  "Action": [
    "kms:Decrypt",
    "kms:GenerateDataKey"
  ],
  "Resource": "*",
  "Condition": {
    "StringLike": {
      "kms:EncryptionContext:SourceArn": "arn:partition:logs:region:account:*"
    }
  }
}

Selain itu, peran eksekusi pipa membutuhkan kms:GenerateDataKey permisson.

{
  "Sid": "Enable log service encryption",
  "Effect": "Allow",
  "Principal": {
    "AWS": "arn:aws:iam::account:role/pipe-execution-role"
  },
  "Action": [
    "kms:GenerateDataKey"
  ],
  "Resource": "*",
  "Condition": {
    "StringLike": {
      "kms:EncryptionContext:SourceArn": "arn:partition:logs:region:account:*"
    }
  }
}

Peran eksekusi pipa juga harus mencakup:

"Action": [
    "kms:GenerateDataKey"
  ],
  "Resource": "key-arn",
  "Condition": {
    "StringLike": {
      "kms:EncryptionContext:SourceArn": "arn:partition:logs:region:account:*"
    }
  }