Crittografia dei registri del bus degli eventi con in AWS KMS EventBridge - Amazon EventBridge
Registra il contesto di crittografiaautorizzazioni di registrazione

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Crittografia dei registri del bus degli eventi con in AWS KMS EventBridge

Quando si inviano i log, EventBridge crittografa le error sezioni detail e di ogni record di registro con la chiave KMS specificata per il bus degli eventi. Se hai specificato una chiave gestita dal cliente per il bus degli eventi, EventBridge utilizza quella chiave per la crittografia in transito. Una volta consegnato, il record viene decrittografato e quindi ricrittografato con la chiave KMS specificata per la destinazione del registro.

Contesto di crittografia dei log degli Event Bus

Un contesto di crittografia è un set di coppie chiave-valore che contiene dati arbitrari non segreti. Quando includi un contesto di crittografia in una richiesta di crittografia dei dati, AWS KMS lega il contesto di crittografia ai dati crittografati, in modo che lo stesso contesto di crittografia sia necessario per decrittografare i dati.

È inoltre possibile utilizzare il contesto di crittografia come condizione per l'autorizzazione nelle politiche e nelle concessioni.

Se si utilizza una chiave gestita dal cliente per proteggere le EventBridge risorse, è possibile utilizzare il contesto di crittografia per identificare l'utilizzo di tale chiave nei record e KMS key nei registri di controllo. Viene inoltre visualizzato nei log in testo chiaro, ad esempio AWS CloudTrail e Amazon CloudWatch Logs.

Per i registri del bus degli eventi, EventBridge utilizza lo stesso contesto di crittografia in tutte le operazioni AWS KMS crittografiche.

"encryptionContext": {
    "kms:EncryptionContext:SourceArn": "arn:partition:logs:region:account:*"
}

AWS KMS autorizzazioni chiave relative alle policy per la registrazione del bus degli eventi

Per gli event bus che utilizzano una chiave gestita dal cliente, è necessario aggiungere le seguenti autorizzazioni alla policy chiave.

  • Consenti EventBridge di crittografare i log utilizzando la chiave gestita dal cliente.

    {
  "Sid": "Enable log service encryption",
  "Effect": "Allow",
  "Principal": {
    "Service": "events.amazonaws.com"  
  },
  "Action": [
    "kms:GenerateDataKey"
  ],
  "Resource": "*",
  "Condition": {
    "StringLike": {
      "kms:EncryptionContext:SourceArn": "arn:partition:logs:region:account:*"
    }
  }
}

  • Consenti al servizio di registrazione di decrittografare i log inviati da. EventBridge

    {
  "Sid": "Enable log delivery decryption",
  "Effect": "Allow",
  "Principal": {
    "Service": "delivery.logs.amazonaws.com"
  },
  "Action": [
    "kms:Decrypt",
    "kms:GenerateDataKey"
  ],
  "Resource": "*",
  "Condition": {
    "StringLike": {
      "kms:EncryptionContext:SourceArn": "arn:partition:logs:region:account:*"
    }
  }
}