Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Enkripsi saat istirahat dengan kunci yang dikelola pelanggan
Resilience Hub generasi berikutnya menyediakan enkripsi secara default untuk melindungi data pelanggan sensitif saat istirahat menggunakan. Kunci milik AWS
+ ****Resilience Hub generasi berikutnya menggunakan kunci ini secara default untuk mengenkripsi data sensitif secara otomatis. Anda tidak dapat melihat, mengelola, atau menggunakan Kunci milik AWS, atau mengaudit penggunaannya. Namun, Anda tidak perlu mengambil tindakan apa pun atau mengubah program apa pun untuk melindungi kunci yang mengenkripsi data Anda. Untuk informasi lebih lanjut, lihat [https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk) dalam *Panduan Pengembang AWS Key Management Service *.
Meskipun Anda tidak dapat menonaktifkan lapisan enkripsi ini atau memilih jenis enkripsi alternatif, Anda dapat menambahkan lapisan enkripsi kedua dengan menentukan kunci yang dikelola pelanggan saat Anda membuat sumber daya layanan:
+ **Kunci terkelola pelanggan** Hub Ketahanan generasi berikutnya mendukung penggunaan kunci terkelola pelanggan enkripsi simetris yang Anda buat, miliki, dan kelola. Karena Anda memiliki kontrol penuh atas lapisan enkripsi ini, Anda dapat melakukan tugas-tugas seperti:
+ Menetapkan dan memelihara kebijakan utama
+ Menetapkan dan memelihara kebijakan dan hibah IAM
+ Mengaktifkan dan menonaktifkan kebijakan utama
+ Memutar bahan kriptografi kunci
+ Menambahkan tanda
+ Membuat alias kunci
+ Kunci penjadwalan untuk penghapusan
Untuk informasi selengkapnya, lihat [Kunci terkelola pelanggan](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) di *Panduan AWS Key Management Service Pengembang*.
Tabel berikut merangkum cara Next generation Resilience Hub mengenkripsi data sensitif.
**Enkripsi tipe data di Hub Ketahanan Generasi Berikutnya**
| Jenis data | AWS enkripsi kunci yang dimiliki | Enkripsi kunci yang dikelola pelanggan (opsional) |
| --- | --- | --- |
| `description`
Deskripsi untuk layanan, sistem, dan kebijakan ketahanan. | Diaktifkan | Diaktifkan |
| `finding`
Penilaian menemukan nama, deskripsi, penalaran, dan komentar. | Diaktifkan | Diaktifkan |
| `recommendation`
Deskripsi rekomendasi dan perubahan yang disarankan terkait dengan temuan. | Diaktifkan | Diaktifkan |
| `serviceFunction`
Nama dan deskripsi fungsi layanan. | Diaktifkan | Diaktifkan |
| `assumption`
Teks asumsi yang terkait dengan fungsi layanan. | Diaktifkan | Diaktifkan |
| `userJourney`
Deskripsi perjalanan pengguna. | Diaktifkan | Diaktifkan |
| `event`
Deskripsi log peristiwa layanan. | Diaktifkan | Diaktifkan |
| `assessmentData`
Data perantara yang dihasilkan oleh alur kerja penilaian agen, termasuk topologi, konfigurasi sumber daya, dan data kerja yang disimpan di Amazon S3. | Diaktifkan | Diaktifkan |
| Pengidentifikasi sumber daya
Nama sumber daya, ARN, jenis sumber daya, dan wilayah. Nama sumber daya digunakan dalam pengidentifikasi dan konteks enkripsi dan tidak boleh berisi data sensitif. | Diaktifkan | Tidak didukung |
**catatan**
Resilience Hub generasi berikutnya secara otomatis mengaktifkan enkripsi saat istirahat menggunakan tanpa Kunci milik AWS biaya. Namun, AWS KMS biaya berlaku untuk menggunakan kunci yang dikelola pelanggan. Untuk informasi selengkapnya tentang harga, silakan lihat [harga AWS Key Management Service](https://aws.amazon.com/kms/pricing/).
**penting**
Resilience Hub generasi berikutnya hanya mendukung kunci KMS enkripsi simetris. Anda tidak dapat menggunakan jenis kunci KMS lainnya untuk mengenkripsi sumber daya Hub Ketahanan Generasi Berikutnya Anda. *Untuk bantuan menentukan apakah kunci KMS adalah kunci enkripsi simetris, lihat [Mengidentifikasi kunci KMS simetris dan asimetris dalam Panduan Pengembang](https://docs.aws.amazon.com/kms/latest/developerguide/find-symm-asymm.html).AWS Key Management Service *
## Bagaimana Hub Ketahanan Generasi Berikutnya menggunakan hibah di AWS KMS
Hub Ketahanan generasi berikutnya memerlukan [hibah](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) untuk menggunakan kunci terkelola pelanggan Anda selama alur kerja penilaian asinkron.
Saat Anda membuat layanan dengan kunci yang dikelola pelanggan, Next generation Resilience Hub akan membuat hibah atas nama Anda dengan mengirimkan [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)permintaan ke. AWS KMS Hibah dibatasi pada konteks enkripsi layanan Anda dan hanya mengizinkan operasi berikut:
+ `Encrypt`— Enkripsi bidang sensitif seperti temuan, rekomendasi, dan asumsi yang dihasilkan selama alur kerja penilaian.
+ `Decrypt`— Dekripsi data yang sebelumnya dienkripsi selama pemrosesan penilaian.
+ `GenerateDataKey`— Hasilkan kunci data untuk mengenkripsi data penilaian menengah yang disimpan di Amazon S3.
Hibah dihentikan saat Anda menghapus layanan. Anda juga dapat mencabut akses ke hibah, atau menghapus akses layanan ke kunci yang dikelola pelanggan kapan saja. Jika ya, Next generation Resilience Hub tidak dapat mengakses data apa pun yang dienkripsi oleh kunci terkelola pelanggan, yang memengaruhi operasi API dan alur kerja penilaian yang bergantung pada data tersebut.
Untuk operasi API sinkron (seperti membuat atau memperbarui layanan), Next generation Resilience Hub menggunakan izin pemanggil pada kunci KMS secara langsung, tanpa memerlukan hibah.
## Buat kunci terkelola pelanggan
Anda dapat membuat kunci yang dikelola pelanggan enkripsi simetris dengan menggunakan Konsol Manajemen AWS atau AWS KMS API.
**Untuk membuat kunci terkelola enkripsi simetris yang dikelola pelanggan**
Ikuti langkah-langkah untuk [Membuat kunci KMS enkripsi simetris](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html#create-symmetric-cmk) di Panduan *AWS Key Management Service Pengembang*.
## Menentukan kunci yang dikelola pelanggan untuk Hub Ketahanan Generasi Berikutnya
Anda dapat menentukan kunci terkelola pelanggan saat membuat kebijakan layanan, sistem, atau ketahanan. Saat Anda memberikan ID kunci KMS, Next generation Resilience Hub menggunakan kunci tersebut untuk mengenkripsi semua data sensitif yang terkait dengan sumber daya.
Anda dapat menentukan kunci menggunakan salah satu [pengidentifikasi kunci](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#key-id) berikut:
+ ID kunci (misalnya,`1234abcd-12ab-34cd-56ef-1234567890ab`)
+ Kunci ARN (misalnya,) `arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab`
+ Nama alias (misalnya,`alias/my-key`)
+ Alias ARN (misalnya,) `arn:aws:kms:us-west-2:111122223333:alias/my-key`
Untuk menentukan kunci yang dikelola pelanggan, gunakan `kmsKeyId` parameter saat memanggil operasi `CreateService``CreateSystem`,, atau `CreatePolicy` API.
## Kebijakan kunci
Kebijakan utama mengontrol akses ke kunci yang dikelola pelanggan Anda. Setiap kunci yang dikelola pelanggan harus memiliki persis satu kebijakan utama, yang berisi pernyataan yang menentukan siapa yang dapat menggunakan kunci dan bagaimana mereka dapat menggunakannya. Saat membuat kunci terkelola pelanggan, Anda dapat menentukan kebijakan kunci. Untuk informasi selengkapnya, lihat [Mengelola akses ke kunci terkelola pelanggan](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) di *Panduan AWS Key Management Service Pengembang*.
Kebijakan utama berikut memungkinkan Next generation Resilience Hub untuk menggunakan kunci Anda. Ini mencakup setiap izin hanya untuk operasi yang diperlukan oleh Hub Ketahanan generasi berikutnya, menggunakan kondisi konteks enkripsi untuk memastikan kunci Anda hanya dapat digunakan untuk sumber daya spesifik Anda. Ganti {{CUSTOMER-ACCOUNT-ID}}{{CUSTOMER-ROLE}},, dan {{REGION}} dengan nilai-nilai Anda.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowResilienceHubDescribeKey",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::{{CUSTOMER-ACCOUNT-ID}}:role/{{CUSTOMER-ROLE}}"
},
"Action": "kms:DescribeKey",
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": "resiliencehub.{{REGION}}.amazonaws.com"
}
}
},
{
"Sid": "AllowResilienceHubEncryptDecryptForServices",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::{{CUSTOMER-ACCOUNT-ID}}:role/{{CUSTOMER-ROLE}}"
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": "resiliencehub.{{REGION}}.amazonaws.com"
},
"StringLike": {
"kms:EncryptionContext:aws:resiliencehub:service-arn": "arn:aws:resiliencehub:*:{{CUSTOMER-ACCOUNT-ID}}:service/*"
}
}
},
{
"Sid": "AllowResilienceHubEncryptDecryptForSystems",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::{{CUSTOMER-ACCOUNT-ID}}:role/{{CUSTOMER-ROLE}}"
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": "resiliencehub.{{REGION}}.amazonaws.com"
},
"StringLike": {
"kms:EncryptionContext:aws:resiliencehub:system-arn": "arn:aws:resiliencehub:*:{{CUSTOMER-ACCOUNT-ID}}:system/*"
}
}
},
{
"Sid": "AllowResilienceHubEncryptDecryptForPolicies",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::{{CUSTOMER-ACCOUNT-ID}}:role/{{CUSTOMER-ROLE}}"
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": "resiliencehub.{{REGION}}.amazonaws.com"
},
"StringLike": {
"kms:EncryptionContext:aws:resiliencehub:policy-arn": "arn:aws:resiliencehub:*:{{CUSTOMER-ACCOUNT-ID}}:policy/*"
}
}
},
{
"Sid": "AllowResilienceHubCreateGrantForAsyncWorkflows",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::{{CUSTOMER-ACCOUNT-ID}}:role/{{CUSTOMER-ROLE}}"
},
"Action": "kms:CreateGrant",
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": "resiliencehub.{{REGION}}.amazonaws.com",
"kms:GrantConstraintType": "EncryptionContextSubset"
},
"StringLike": {
"kms:EncryptionContext:aws:resiliencehub:service-arn": "arn:aws:resiliencehub:*:{{CUSTOMER-ACCOUNT-ID}}:service/*"
},
"ForAllValues:StringEquals": {
"kms:GrantOperations": [
"Encrypt",
"Decrypt",
"GenerateDataKey"
]
}
}
}
]
}
```
Pernyataan kebijakan memberikan izin berikut:
+ **AllowResilienceHubDescribeKey**— Memungkinkan Hub Ketahanan Generasi Berikutnya untuk memvalidasi bahwa kunci Anda ada dan merupakan kunci enkripsi simetris saat Anda menentukannya selama pembuatan layanan.
+ **AllowResilienceHubEncryptDecryptForServices**— Memungkinkan Next generation Resilience Hub untuk mengenkripsi dan mendekripsi data tingkat layanan (temuan, rekomendasi, asumsi, fungsi layanan, peristiwa, dan data penilaian) selama panggilan API sinkron. Tercakup ke sumber daya layanan Anda dengan konteks enkripsi.
+ **AllowResilienceHubEncryptDecryptForSystems**— Memungkinkan Next generation Resilience Hub untuk mengenkripsi dan mendekripsi data tingkat sistem (deskripsi sistem dan deskripsi perjalanan pengguna) selama panggilan API sinkron. Tercakup ke sumber daya sistem Anda dengan konteks enkripsi.
+ **AllowResilienceHubEncryptDecryptForPolicies**— Memungkinkan Next generation Resilience Hub untuk mengenkripsi dan mendekripsi data tingkat kebijakan (deskripsi kebijakan ketahanan) selama panggilan API sinkron. Tercakup ke sumber daya kebijakan Anda berdasarkan konteks enkripsi.
+ **AllowResilienceHubCreateGrantForAsyncWorkflows**— Memungkinkan Next generation Resilience Hub untuk membuat hibah untuk alur kerja penilaian asinkron. Hibah dibatasi hanya untuk operasi yang diperlukan (Enkripsi, Dekripsi, GenerateDataKey) dan harus menyertakan batasan subset konteks enkripsi yang terikat pada ARN layanan Anda.
Untuk informasi selengkapnya tentang [menentukan izin dalam kebijakan](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html), lihat Panduan *AWS Key Management Service Pengembang*.
Untuk informasi selengkapnya tentang [akses kunci pemecahan](https://docs.aws.amazon.com/kms/latest/developerguide/policy-evaluation.html#example-no-iam) masalah, lihat Panduan *AWS Key Management Service Pengembang*.
## Konteks enkripsi Resilience Hub generasi berikutnya
[Konteks enkripsi](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#encrypt_context) adalah kumpulan opsional pasangan kunci-nilai yang berisi informasi kontekstual tambahan tentang data.
AWS KMS menggunakan konteks enkripsi sebagai [data otentikasi tambahan](https://docs.aws.amazon.com/kms/latest/cryptographic-details/crypto-primitives.html) untuk mendukung enkripsi yang diautentikasi. Bila Anda menyertakan konteks enkripsi dalam permintaan untuk mengenkripsi data, AWS KMS mengikat konteks enkripsi ke data terenkripsi. Untuk mendekripsi data, Anda harus menyertakan konteks enkripsi yang sama dalam permintaan.
**Konteks enkripsi Resilience Hub generasi berikutnya**
Resilience Hub generasi berikutnya menggunakan kunci konteks enkripsi berikut tergantung pada jenis sumber daya:
**Kunci konteks enkripsi**
| Kunci konteks enkripsi | Lingkup | Digunakan untuk |
| --- | --- | --- |
| aws:resiliencehub:service-arn | Layanan | Temuan, rekomendasi, asumsi, fungsi layanan, dependensi, peristiwa, dan data penilaian |
| aws:resiliencehub:system-arn | Sistem | Deskripsi sistem dan deskripsi perjalanan pengguna |
| aws:resiliencehub:policy-arn | Kebijakan | Deskripsi kebijakan ketahanan |
Contoh konteks enkripsi untuk operasi tingkat layanan:
```
"encryptionContext": {
"aws:resiliencehub:service-arn": "arn:aws:resiliencehub:us-west-2:{{111122223333}}:service/{{my-service}}:{{abc123}}"
}
```
**Menggunakan konteks enkripsi untuk pemantauan**
Saat Anda menggunakan kunci terkelola pelanggan enkripsi simetris untuk mengenkripsi data, Anda dapat menggunakan konteks enkripsi dalam catatan audit dan log untuk mengidentifikasi bagaimana kunci yang dikelola pelanggan digunakan. Konteks enkripsi muncul di log yang dihasilkan oleh [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html).
**Menggunakan konteks enkripsi untuk mengontrol akses**
Anda dapat menggunakan konteks enkripsi dalam kebijakan utama dan kebijakan IAM `conditions` untuk mengontrol akses ke kunci terkelola pelanggan enkripsi simetris Anda. Anda juga dapat menggunakan kendala konteks enkripsi dalam hibah.
Resilience Hub generasi berikutnya menggunakan batasan subset konteks enkripsi dalam hibah untuk memastikan bahwa alur kerja asinkron hanya dapat mengenkripsi dan mendekripsi data milik layanan khusus yang digunakan hibah tersebut.
## Memantau kunci enkripsi Anda untuk Hub Ketahanan Generasi Berikutnya
Saat menggunakan kunci terkelola pelanggan dengan sumber daya Hub Ketahanan generasi Berikutnya, Anda dapat menggunakannya [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)untuk melacak permintaan yang dikirimkan oleh Next generation Resilience Hub. AWS KMS
CreateGrant
Saat Anda membuat layanan dengan kunci terkelola pelanggan, Next generation Resilience Hub mengirimkan `CreateGrant` permintaan atas nama Anda untuk mengaktifkan alur kerja penilaian asinkron untuk menggunakan kunci Anda. Hibah khusus untuk layanan dan dibatasi oleh konteks enkripsi. Generasi berikutnya Resilience Hub digunakan `RetireGrant` untuk menghapus hibah saat Anda menghapus layanan.
Contoh peristiwa berikut mencatat `CreateGrant` operasi:
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAEXAMPLE:{{session-name}}",
"arn": "arn:aws:sts::{{111122223333}}:assumed-role/{{YourRole}}/{{session-name}}",
"accountId": "{{111122223333}}",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAEXAMPLE",
"arn": "arn:aws:iam::{{111122223333}}:role/{{YourRole}}",
"accountId": "{{111122223333}}",
"userName": "{{YourRole}}"
}
},
"invokedBy": "resiliencehub.amazonaws.com"
},
"eventTime": "2026-01-15T10:07:22Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-west-2",
"sourceIPAddress": "resiliencehub.amazonaws.com",
"userAgent": "resiliencehub.amazonaws.com",
"requestParameters": {
"granteePrincipal": "resiliencehub.amazonaws.com",
"keyId": "arn:aws:kms:us-west-2:{{111122223333}}:key/{{1234abcd-12ab-34cd-56ef-1234567890ab}}",
"retiringPrincipal": "resiliencehub.amazonaws.com",
"operations": [
"Decrypt",
"GenerateDataKey",
"Encrypt"
],
"constraints": {
"encryptionContextSubset": {
"aws:resiliencehub:service-arn": "arn:aws:resiliencehub:us-west-2:{{111122223333}}:service/{{my-service}}:{{abc123}}"
}
}
},
"responseElements": {
"grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE",
"keyId": "arn:aws:kms:us-west-2:{{111122223333}}:key/{{1234abcd-12ab-34cd-56ef-1234567890ab}}"
},
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "56d4e434-abb6-4dd7-8558-ad38560d03b1",
"readOnly": false,
"resources": [
{
"accountId": "{{111122223333}}",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:{{111122223333}}:key/{{1234abcd-12ab-34cd-56ef-1234567890ab}}"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "{{111122223333}}",
"eventCategory": "Management"
}
```
GenerateDataKey
Saat Next generation Resilience Hub mengenkripsi data menggunakan kunci terkelola pelanggan Anda, ia mengirimkan `GenerateDataKey` permintaan untuk menghasilkan kunci data. Hal ini terjadi selama panggilan API sinkron (seperti membuat layanan dengan deskripsi) dan alur kerja penilaian asinkron.
Contoh peristiwa berikut mencatat `GenerateDataKey` operasi:
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "AWSService",
"invokedBy": "resiliencehub.amazonaws.com"
},
"eventTime": "2026-01-15T11:18:36Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "resiliencehub.amazonaws.com",
"userAgent": "resiliencehub.amazonaws.com",
"requestParameters": {
"numberOfBytes": 32,
"keyId": "arn:aws:kms:us-west-2:{{111122223333}}:key/{{1234abcd-12ab-34cd-56ef-1234567890ab}}",
"encryptionContext": {
"aws:resiliencehub:service-arn": "arn:aws:resiliencehub:us-west-2:{{111122223333}}:service/{{my-service}}:{{abc123}}",
"aws-crypto-public-key": "AwAnnorjRE+DFQYIuDKjGEvlXwro5Rdiegk8flmq7m0N..."
}
},
"responseElements": null,
"requestID": "c5bedc9b-e6d6-45f8-b121-c9851a3d718a",
"eventID": "e839a7ed-e4a9-32a3-b92a-2c7237a40c82",
"readOnly": true,
"resources": [
{
"accountId": "{{111122223333}}",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:{{111122223333}}:key/{{1234abcd-12ab-34cd-56ef-1234567890ab}}"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "{{111122223333}}",
"eventCategory": "Management"
}
```
Dekripsi
Saat Anda mengambil sumber daya melalui operasi API atau saat alur kerja penilaian memproses data yang disimpan sebelumnya, Hub Ketahanan generasi berikutnya akan mengirimkan `Decrypt` permintaan untuk mendekripsi data.
Contoh peristiwa berikut mencatat `Decrypt` operasi:
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAEXAMPLE:{{session-name}}",
"arn": "arn:aws:sts::{{111122223333}}:assumed-role/{{YourRole}}/{{session-name}}",
"accountId": "{{111122223333}}",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAEXAMPLE",
"arn": "arn:aws:iam::{{111122223333}}:role/{{YourRole}}",
"accountId": "{{111122223333}}",
"userName": "{{YourRole}}"
}
},
"invokedBy": "resiliencehub.amazonaws.com"
},
"eventTime": "2026-01-15T11:27:49Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-west-2",
"sourceIPAddress": "resiliencehub.amazonaws.com",
"userAgent": "resiliencehub.amazonaws.com",
"requestParameters": {
"keyId": "arn:aws:kms:us-west-2:{{111122223333}}:key/{{1234abcd-12ab-34cd-56ef-1234567890ab}}",
"encryptionAlgorithm": "SYMMETRIC_DEFAULT",
"encryptionContext": {
"aws:resiliencehub:service-arn": "arn:aws:resiliencehub:us-west-2:{{111122223333}}:service/{{my-service}}:{{abc123}}",
"aws-crypto-public-key": "A/9P3BC05WjeQONZR1fBiEqWKEse/Yk1lMxd2VIh2ED5..."
}
},
"responseElements": null,
"requestID": "30f8e9bc-4e0a-4359-8bc3-8278ef42c206",
"eventID": "195ef070-c952-4c28-9883-29bca297a08c",
"readOnly": true,
"resources": [
{
"accountId": "{{111122223333}}",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:{{111122223333}}:key/{{1234abcd-12ab-34cd-56ef-1234567890ab}}"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "{{111122223333}}",
"eventCategory": "Management"
}
```
DescribeKey
Resilience Hub generasi berikutnya mengirimkan `DescribeKey` permintaan untuk memverifikasi bahwa kunci terkelola pelanggan yang terkait dengan layanan Anda ada di akun dan wilayah dan merupakan kunci enkripsi simetris yang valid.
Contoh peristiwa berikut mencatat `DescribeKey` operasi:
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAEXAMPLE:{{session-name}}",
"arn": "arn:aws:sts::{{111122223333}}:assumed-role/{{YourRole}}/{{session-name}}",
"accountId": "{{111122223333}}",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAEXAMPLE",
"arn": "arn:aws:iam::{{111122223333}}:role/{{YourRole}}",
"accountId": "{{111122223333}}",
"userName": "{{YourRole}}"
}
},
"invokedBy": "resiliencehub.amazonaws.com"
},
"eventTime": "2026-01-15T10:07:13Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DescribeKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "resiliencehub.amazonaws.com",
"userAgent": "resiliencehub.amazonaws.com",
"requestParameters": {
"keyId": "arn:aws:kms:us-west-2:{{111122223333}}:key/{{1234abcd-12ab-34cd-56ef-1234567890ab}}"
},
"responseElements": null,
"requestID": "e427932c-448b-49aa-88e1-b311c27ba753",
"eventID": "48c596a5-83c7-4603-b0cf-be0ff2548623",
"readOnly": true,
"resources": [
{
"accountId": "{{111122223333}}",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-west-2:{{111122223333}}:key/{{1234abcd-12ab-34cd-56ef-1234567890ab}}"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "{{111122223333}}",
"eventCategory": "Management"
}
```
## Pelajari selengkapnya
Sumber daya berikut memberikan informasi lebih lanjut tentang enkripsi data saat istirahat.
+ Untuk informasi selengkapnya tentang [konsep AWS Key Management Service dasar](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html), lihat *Panduan AWS Key Management Service Pengembang*.
+ Untuk informasi selengkapnya tentang [praktik terbaik keamanan AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/kms-security.html), lihat *Panduan AWS Key Management Service Pengembang*.