Crittografia dei bus di EventBridge eventi con chiavi AWS KMS - Amazon EventBridge
Contesto di crittografia del bus degli eventipolitica chiave di Event BusAWS KMS autorizzazioni chiave per le azioni del bus di eventi

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Crittografia dei bus di EventBridge eventi con chiavi AWS KMS

Puoi specificare di EventBridge utilizzare an AWS KMS per crittografare i dati archiviati su un bus di eventi, anziché utilizzare un Chiave di proprietà di AWS as come predefinito. È possibile specificare una chiave gestita dal cliente quando si crea o si aggiorna un bus di eventi. È inoltre possibile aggiornare il bus degli eventi predefinito per utilizzare anche una chiave gestita dal cliente per la crittografia. Per ulteriori informazioni, consulta Opzioni chiave KMS.

Quando si specifica una chiave gestita dal cliente per un bus di eventi, EventBridge utilizza tale chiave per crittografare quanto segue:

Se si specifica una chiave gestita dal cliente per un bus di eventi, è possibile specificare una coda di lettere morte (DLQ) per il bus di eventi. EventBridge invia quindi a tale DLQ tutti gli eventi personalizzati o dei partner che generano errori di crittografia o decrittografia. Per ulteriori informazioni, consulta DLQs per eventi crittografati.

Nota

Consigliamo vivamente di specificare un DLQ per gli event bus, per garantire che gli eventi vengano preservati in caso di errori di crittografia o decrittografia.

È inoltre possibile specificare l'utilizzo di chiavi gestite dal cliente per crittografare gli archivi dei bus degli eventi. Per ulteriori informazioni, consulta Crittografia degli archivi.

Nota

L'individuazione dello schema non è supportata per i bus di eventi crittografati utilizzando una chiave gestita dal cliente. Per abilitare l'individuazione dello schema su un bus di eventi, scegli di utilizzare un Chiave di proprietà di AWS. Per ulteriori informazioni, consulta Opzioni chiave KMS.

Contesto di crittografia del bus degli eventi

Un contesto di crittografia è un set di coppie chiave-valore che contiene dati arbitrari non segreti. Quando si include un contesto di crittografia in una richiesta di crittografia dei dati, AWS KMS lega il contesto di crittografia ai dati crittografati, in modo che lo stesso contesto di crittografia sia necessario per decrittografare i dati.

È inoltre possibile utilizzare il contesto di crittografia come condizione per l'autorizzazione nelle politiche e nelle concessioni.

Se si utilizza una chiave gestita dal cliente per proteggere le EventBridge risorse, è possibile utilizzare il contesto di crittografia per identificare l'utilizzo di tale chiave nei record e KMS key nei registri di controllo. Viene inoltre visualizzato nei log in testo chiaro, ad esempio AWS CloudTrail e Amazon CloudWatch Logs.

Per gli event bus, EventBridge utilizza lo stesso contesto di crittografia in tutte le operazioni AWS KMS crittografiche. Il contesto include una singola coppia chiave-valore, che contiene l'ARN del bus di eventi. 

"encryptionContext": {
    "kms:EncryptionContext:aws:events:event-bus:arn": "event-bus-arn"
}

AWS KMS politica chiave per il bus degli eventi

Il seguente esempio di politica chiave fornisce le autorizzazioni necessarie per un bus di eventi:

  • kms:DescribeKey

  • kms:GenerateDataKey

  • kms:Decrypt

Come best practice di sicurezza, ti consigliamo di includere le chiavi delle condizioni nella politica chiave per garantire che la chiave KMS venga EventBridge utilizzata solo per la risorsa o l'account specificati. Per ulteriori informazioni, consulta Considerazioni relative alla sicurezza.

JSON
{
  "Version":"2012-10-17",		 	 	 		 	 	 
  "Statement": [
    {
      "Sid": "AllowEventBridgeToValidateKeyPermission",
      "Effect": "Allow",
      "Principal": {
      "Service": "events.amazonaws.com"
       },
      "Action": [
        "kms:DescribeKey"
        ],
      "Resource": "*"
    },
  {
    "Sid": "AllowEventBridgeToEncryptEvents",
    "Effect": "Allow",
    "Principal": {
      "Service": "events.amazonaws.com"
    },
    "Action": [
      "kms:GenerateDataKey",
      "kms:Decrypt"
    ],
    "Resource": "*",
    "Condition": {
      "StringEquals": {
          "kms:EncryptionContext:aws:events:event-bus:arn": "arn:aws:events:us-east-1:123456789012:event-bus/event-bus-arn",
          "aws:SourceArn": "arn:aws:events:us-east-1:123456789012:event-bus/event-bus-name"
        }
      } 
    }
  ] }

AWS KMS autorizzazioni chiave per le azioni del bus degli eventi

Per creare o aggiornare un bus di eventi crittografato utilizzando una chiave gestita dal cliente, è necessario disporre delle seguenti autorizzazioni per la chiave gestita dal cliente specificata:

  • kms:GenerateDataKeyWithoutPlaintext

  • kms:Decrypt

  • kms:Encrypt

  • kms:ReEncryptFrom

  • kms:ReEncryptTo

  • kms:DescribeKey

Inoltre, per eseguire determinate azioni del bus degli eventi su un bus di eventi crittografato utilizzando una chiave gestita dal cliente, è necessario disporre dell'kms:Decryptautorizzazione per la chiave gestita dal cliente specificata. Queste azioni includono: