翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# AWS KMS キーを使用した EventBridge アーカイブの暗号化
<a name="encryption-archives"></a>

EventBridge がデフォルト AWS 所有のキー として を使用するのではなく、 を使用してアーカイブに保存されているイベントを カスタマー管理キー 暗号化するように指定できます。アーカイブを作成または更新 カスタマー管理キー するときに、 を指定できます。キーの種類の詳細については、「[KMS キーオプション](eb-encryption-at-rest-key-options.md)」を参照してください。

これには、以下が含まれます。
+ アーカイブに保存されているイベント
+ アーカイブに送信されたイベントをフィルタリングするように指定されているイベントパターン (存在する場合)

これには、アーカイブのサイズや含まれるイベントの数などのアーカイブメタデータは含まれません。

アーカイブにカスタマーマネージドキーを指定すると、EventBridge はアーカイブに送信する前にイベントを暗号化し、転送中および保管中の暗号化を確保します。

## アーカイブ暗号化コンテキスト
<a name="encryption-archives-context"></a>

[暗号化コンテキスト](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#encrypt_context)は、一連のキー値のペアおよび任意非シークレットデータを含みます。データを暗号化するリクエストに暗号化コンテキストを組み込むと、 AWS KMS は暗号化コンテキストを暗号化されたデータに暗号化してバインドします。データを復号するには、同じ暗号化コンテキストに渡す必要があります。

また、暗号化コンテクストはポリシーとグラントの認可用の条件としても使用できます。

カスタマーマネージドキーを使用して EventBridge リソースを保護する場合は、暗号化コンテキストを使用して、監査レコードとログ KMS key での の使用を特定できます。また、[AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) や [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) などのログにもプレーンテキストで表示されます。

イベントアーカイブに対し、EventBridge はすべての AWS KMS 暗号化オペレーションで同じ暗号化コンテキストを使用します。コンテキストには、イベントバス ARN を含む 1 つのキーと値のペアが含まれます。

```
"encryptionContext": {
    "kms:EncryptionContext:aws:events:event-bus:arn": "event-bus-arn"
}
```

## AWS KMS アーカイブのキーポリシー
<a name="encryption-archives-key-policy"></a>

次のキーポリシーの例では、イベントアーカイブに必要なアクセス許可を提供します。
+ `kms:DescribeKey`
+ `kms:GenerateDataKey`
+ `kms:Decrypt`
+ `kms:ReEncrypt`

セキュリティのベストプラクティスとして、EventBridge が指定されたリソースまたはアカウントに対してのみ KMS キーを使用するよう、キーポリシーに条件キーを含めることをお勧めします。詳細については、「[セキュリティに関する考慮事項](eb-encryption-key-policy.md#eb-encryption-event-bus-confused-deputy)」を参照してください。

------
#### [ JSON ]

****  

```
{
  "Id": "CMKKeyPolicy",
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "events.amazonaws.com"
      },
      "Action": [
        "kms:DescribeKey"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "events.amazonaws.com"
      },
      "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt",
        "kms:ReEncrypt*"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
         "kms:EncryptionContext:aws:events:event-bus:arn": "arn:aws:events:us-east-1:123456789012:event-bus/event-bus-arn"
        }
      }
    }
  ]
}
```

------