기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# Amazon EventBridge의 데이터 보호
AWS [공동 책임 모델](https://aws.amazon.com/compliance/shared-responsibility-model/)의 데이터 보호에 적용됩니다 Amazon EventBridge. 이 모델에 설명된 대로 AWS 는 모든를 실행하는 글로벌 인프라를 보호할 책임이 있습니다 AWS 클라우드. 사용자는 이 인프라에 호스팅되는 콘텐츠에 대한 통제 권한을 유지할 책임이 있습니다. 사용하는 AWS 서비스 의 보안 구성과 관리 태스크에 대한 책임도 사용자에게 있습니다. 데이터 프라이버시에 관한 자세한 내용은 [데이터 프라이버시 FAQ](https://aws.amazon.com/compliance/data-privacy-faq/)를 참조하세요. 유럽의 데이터 보호에 대한 자세한 내용은 *AWS 보안 블로그*의 [AWS 공동 책임 모델 및 GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) 블로그 게시물을 참조하세요.
데이터 보호를 위해 자격 증명을 보호하고 AWS 계정 AWS IAM Identity Center 또는 AWS Identity and Access Management (IAM)를 사용하여 개별 사용자를 설정하는 것이 좋습니다. 이렇게 하면 개별 사용자에게 자신의 직무를 충실히 이행하는 데 필요한 권한만 부여됩니다. 또한 다음과 같은 방법으로 데이터를 보호하는 것이 좋습니다.
+ 각 계정에 다중 인증(MFA)을 사용합니다.
+ SSL/TLS를 사용하여 AWS 리소스와 통신합니다. TLS 1.2는 필수이며 TLS 1.3을 권장합니다.
+ 를 사용하여 API 및 사용자 활동 로깅을 설정합니다 AWS CloudTrail. CloudTrail 추적을 사용하여 AWS 활동을 캡처하는 방법에 대한 자세한 내용은 *AWS CloudTrail 사용 설명서*의 [ CloudTrail 추적 작업을 참조하세요](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html).
+ 내부의 모든 기본 보안 제어와 함께 AWS 암호화 솔루션을 사용합니다 AWS 서비스.
+ Amazon S3에 저장된 민감한 데이터를 검색하고 보호하는 데 도움이 되는 Amazon Macie와 같은 고급 관리형 보안 서비스를 사용합니다.
+ 명령줄 인터페이스 또는 API를 AWS 통해에 액세스할 때 FIPS 140-3 검증 암호화 모듈이 필요한 경우 FIPS 엔드포인트를 사용합니다. 사용 가능한 FIPS 엔드포인트에 대한 자세한 내용은 [연방 정보 처리 표준(FIPS) 140-3](https://aws.amazon.com/compliance/fips/)을 참조하세요.
고객의 이메일 주소와 같은 기밀 정보나 중요한 정보는 태그나 **이름** 필드와 같은 자유 형식 텍스트 필드에 입력하지 않는 것이 좋습니다. 여기에는 EventBridge 또는 기타 AWS 서비스 에서 콘솔, API AWS CLI또는 AWS SDKs를 사용하여 작업하는 경우가 포함됩니다. 이름에 사용되는 태그 또는 자유 형식 텍스트 필드에 입력하는 모든 데이터는 청구 또는 진단 로그에 사용될 수 있습니다. 외부 서버에 URL을 제공할 때 해당 서버에 대한 요청을 검증하기 위해 자격 증명을 URL에 포함해서는 안 됩니다.
## EventBridge의 데이터 암호화
EventBridge는 데이터 보호를 위해 *저장 시 암호화*와 *전송 중 암호화*를 모두 제공합니다.
+ 저장 시 암호화
EventBridge는 AWS Key Management Service (KMS)와 통합되어 저장된 데이터를 암호화합니다. 기본적으로 EventBridge는 AWS 소유 키 를 사용하여 데이터를 암호화합니다. 대신 특정 기능에 고객 관리형 키를 사용하도록 EventBridge에 지정할 수도 있습니다.
+ 전송 중 암호화
EventBridge는 전송 계층 보안(TLS)을 사용하여 EventBridge와 다른 서비스 간에 전달되는 데이터를 암호화합니다.
이벤트 버스의 경우, 여기에는 이벤트가 EventBridge로 전송될 때뿐만 아니라, 가 이벤트를 규칙 대상으로 전송할 때도 포함됩니다.
## Amazon EventBridge의 저장 시 암호화
EventBridge는 AWS Key Management Service (KMS)와 통합되어 투명한 서버 측 암호화를 제공합니다. 저장 데이터를 기본적으로 암호화하면 민감한 데이터 보호와 관련된 운영 오버헤드와 복잡성을 줄이는 데 도움이 됩니다. 동시에 엄격한 암호화 규정 준수 및 규제 요구 사항을 충족하는 안전한 애플리케이션을 구축할 수 있습니다.
기본적으로 EventBridge는를 사용하여 데이터를 암호화 AWS 소유 키 합니다. 특정 리소스에 고객 관리형 키를 사용하도록 EventBridge에 지정할 수도 있습니다.
다음 표에는 EventBridge가 저장 시 암호화하는 아티팩트가 리소스별로 나열되어 있습니다.
| **리소스** | **세부 정보** | **AWS 소유 키** | **고객 관리형 키** |
| --- | --- | --- | --- |
| [API 데스티네이션](eb-api-destinations.md) | 연결 권한 부여 파라미터는 AWS Secrets Manager 보안 암호에 저장됩니다. | 지원됨 | [지원됨](encryption-connections.md) |
| [아카이브](eb-archive.md) | | 지원됨 | [지원됨](encryption-archives.md) |
| [연결](eb-target-connection.md) | 연결 권한 부여 파라미터는 AWS Secrets Manager 보안 암호에 저장됩니다. | 지원됨 | [지원됨](encryption-connections.md) |
| [이벤트 버스](eb-event-bus.md) | 다음을 포함합니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/eventbridge/latest/userguide/eb-data-protection.html) | 지원됨 | [지원됨](eb-encryption-event-bus-cmkey.md) |
| [Pipes](eb-pipes.md) | 다음을 포함합니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/eventbridge/latest/userguide/eb-data-protection.html) 파이프를 통해 흐르는 이벤트는 절대 저장되지 않습니다. | 지원됨 | [지원됨](eb-encryption-pipes-cmkey.md) |
**중요**
기밀 또는 민감한 정보는 저장 시에 암호화되지 않으므로, 다음 아티팩트에 절대 보관하지 않는 것이 좋습니다.
이벤트 버스 이름
규칙 이름
태그와 같은 공유 리소스
# Amazon EventBridge에서 데이터 암호화를 위한 KMS 키 옵션
EventBridge는를 사용하여 리소스에 저장된 데이터를 암호화 AWS 소유 키 합니다. 각 리소스에 대해, EventBridge가 데이터를 암호화하는 데 사용하는 KMS 키의 유형을 선택할 수 있습니다.
+ **AWS 소유 키**
기본적으로 EventBridge는에서 256비트 고급 암호화 표준(AES-256)을 사용하여 데이터를 암호화 AWS 소유 키하므로 무단 액세스로부터 데이터를 보호할 수 있습니다.
사용을 확인, 관리 또는 사용하거나 AWS 소유 키감사할 수 없습니다. 하지만 데이터를 암호화하는 키를 보호하기 위해 어떤 작업을 수행하거나 어떤 프로그램을 변경할 필요가 없습니다.
일반적으로 리소스를 보호하는 암호화 키를 감사하거나 제어해야 하는 경우가 아니면 AWS 소유 키 를 선택하는 것이 좋습니다. AWS 소유 키 는 완전히 무료(월별 요금 또는 사용 요금 없음)이며 계정의 AWS KMS 할당량에 포함되지 않습니다. 키 또는 키 정책을 만들거나 유지하지 않아도 됩니다.
자세한 내용은 *AWS Key Management Service 개발자 안내서*의 [AWS 소유 키](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk)를 참조하세요.
+ **고객 관리형 키**
EventBridge는 사용자가 생성, 소유 및 관리하는 대칭형 고객 관리형 키의 사용을 지원합니다. 이러한 유형의 KMS 키를 완전히 제어할 수 있으므로 다음과 같은 작업을 수행할 수 있습니다.
+ 키 정책 수립 및 유지
+ IAM 정책 및 권한 부여 수립 및 유지
+ 키 정책 활성화 및 비활성화
+ 키 암호화 자료 교체
+ 태그 추가
+ 키 별칭 만들기
+ 삭제를 위한 스케줄 키
자세한 내용은 *AWS Key Management Service 개발자 안내서*의 [고객 관리형 키](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk)를 참조하십시오.
EventBridge는 [다중 리전 키](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html) 및 [키의 교차 계정 액세스](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying-external-accounts.html)를 지원합니다.
고객 관리형 키에는 월별 요금이 발생합니다. 자세한 내용은 *AWS Key Management Service 개발자 안내서*의 [AWS Key Management Service 요금](https://aws.amazon.com/kms/pricing/) 및 [할당량](https://docs.aws.amazon.com/kms/latest/developerguide/limits.html)을 참조하세요.
**참고**
EventBridge 는를 사용하여 암호화된 이벤트 버스에서 [스키마 검색을](eb-schema.md) 지원하지 않습니다 고객 관리형 키.
# 고객 관리형 키를 사용하도록 EventBridge 권한 부여
계정에서 고객 관리형 키를 사용하여 EventBridge 리소스를 보호할 경우, 해당 KMS 키에 대한 정책은 사용자 대신 해당 키를 사용할 권한을 EventBridge에 부여해야 합니다. [키 정책](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html)에서 이러한 권한을 제공합니다.
기본값을 사용하여 AWS 계정의 EventBridge 리소스를 보호 AWS 소유 키 하려면 EventBridge에 추가 권한이 필요하지 않습니다.
고객 관리형 키를 사용하려면 EventBridge에 다음 권한이 필요합니다.
+ [https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)
EventBridge는 제공된 키 ID에 대한 KMS 키 ARN을 검색하고 키가 대칭인지 확인하려면 이 권한이 필요합니다.
+ [https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)
EventBridge에서 데이터의 암호화 키로 데이터 키를 생성하려면 이 권한이 필요합니다.
+ [https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html)
EventBridge는 암호화된 데이터와 함께 암호화되어 저장된 데이터 키를 복호화하는 데 이 권한이 필요합니다.
EventBridge는 이벤트 패턴 일치를 위해 이렇게 복호화된 데이터를 사용하며, 사용자는 해당 데이터에 액세스할 수 없습니다.
## EventBridge 암호화에 고객 관리형 키를 사용할 때의 보안
보안 모범 사례로 키 AWS KMS 정책에 `aws:SourceArn``aws:sourceAccount`, 또는 `kms:EncryptionContext:aws:events:event-bus:arn` 조건 키를 추가합니다. IAM 전역 조건 키는 EventBridge가 지정된 버스나 계정에 대해서만 KMS 키를 사용하도록 하는 데 도움이 됩니다.
다음 예제에서는 이벤트 버스를 위한 IAM 정책에서 이 모범 사례를 따르는 방법을 보여줍니다.
```
{
"Sid": "Allow the use of key",
"Effect": "Allow",
"Principal": {
"Service": "events.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "*",
"Condition" : {
"StringEquals": {
"aws:SourceAccount": "arn:aws:events:region:account-id",
"aws:SourceArn": "arn:aws:events:region:account-id:event-bus/event-bus-name",
"kms:EncryptionContext:aws:events:event-bus:arn": "arn:aws:events:region:account-id:event-bus/event-bus-arn"
}
}
```
# EventBridge에서 AWS KMS 암호화 키 액세스 유지
EventBridge가 항상 필요한 고객 관리형 키에 대한 액세스 권한을 유지하도록 하려면:
+ 고객 관리형 키로 암호화된 모든 리소스가 처리되었다고 확신할 때까지 해당 키를 삭제하지 마세요.
다음 작업 중 하나를 수행할 때는 이전 키 구성 요소를 유지하여 EventBridge가 이전에 암호화된 리소스에 대해 해당 요소를 계속 사용할 수 있도록 합니다.
+ [자동 키 교체](https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html#rotating-keys-enable-disable)
+ [수동 키 교체](https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html#rotate-keys-manually)
+ [키 별칭 업데이트](https://docs.aws.amazon.com/kms/latest/developerguide/alias-manage.html#alias-update)
일반적으로 AWS KMS 키 삭제를 고려하는 경우 먼저 키를 비활성화하고 암호화된 데이터를 해독하기 위해 키를 사용할 필요가 없도록 [CloudWatch 경보](https://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys-creating-cloudwatch-alarm.html) 또는 유사한 메커니즘을 설정합니다.
+ 해당 키를 사용할 수 있는 권한을 EventBridge에 제공하는 키 정책을 삭제하지 마세요.
다른 고려 사항은 다음과 같습니다.
+ 필요에 따라, 규칙 대상에 대해 고객 관리형 키를 지정합니다.
EventBridge가 규칙 대상으로 이벤트를 전송하는 경우, 해당 이벤트는 Transport Layer Security(TLS)를 사용하여 전송됩니다. 그러나 대상에 저장될 때 이벤트에 적용되는 암호화는 대상 자체에 구성한 암호화에 따라 달라집니다.
# AWS KMS 키를 사용하여 EventBridge 이벤트 버스 암호화
EventBridge가를 기본값 AWS 소유 키 으로 사용하는 대신를 사용하여 이벤트 버스에 저장된 데이터를 암호화 AWS KMS 하도록 지정할 수 있습니다. 이벤트 버스를 생성하거나 업데이트할 때 고객 관리형 키를 지정할 수 있습니다. 암호화에 고객 관리형 키를 사용하도록 기본 이벤트 버스를 업데이트할 수도 있습니다. 자세한 내용은 [KMS 키 옵션](eb-encryption-at-rest-key-options.md) 단원을 참조하십시오.
이벤트 버스에 대한 고객 관리형 키를 지정하면 EventBridge는 해당 키를 사용하여 다음을 암호화합니다.
+ 이벤트 버스에 저장된 [사용자 지정](eb-putevents.md) 및 [파트너](eb-saas.md) 이벤트입니다.
AWS 서비스의 이벤트는를 사용하여 암호화됩니다 AWS 소유 키.
EventBridge는 이벤트 메타데이터를 암호화하지 않습니다. 이벤트 메타데이터에 대한 자세한 내용은 *이벤트 참조*의 [AWS 서비스 이벤트 메타데이터](https://docs.aws.amazon.com/eventbridge/latest/ref/events-structure.html)를 참조하세요.
+ 버스의 각 [규칙](eb-rules.md)에 대해:
+ 규칙 [이벤트 패턴](eb-event-patterns.md)입니다.
+ 대상 입력, [입력 트랜스포머](eb-transform-target-input.md) 및 [구성 파라미터](eb-create-rule-wizard.md#eb-create-rule-target)를 포함한 [대상](eb-targets.md) 정보입니다.
+ [이벤트 버스 로깅](eb-event-bus-logs.md)이 활성화된 경우 로그의 `detail` 및 `error` 섹션이 기록됩니다.
이벤트 버스에 대한 고객 관리형 키를 지정하는 경우 이벤트 버스에 대한 Dead Letter Queue(DLQ)를 지정할 수 있습니다. 그런 다음 EventBridge는 암호화 또는 복호화 오류를 생성하는 사용자 지정 또는 파트너 이벤트를 해당 DLQ에 전달합니다. 자세한 내용은 [암호화된 이벤트에 대한 DLQ](eb-encryption-event-bus-dlq.md) 단원을 참조하십시오.
**참고**
암호화 또는 복호화 오류가 발생할 경우 이벤트가 보존되도록 이벤트 버스에 DLQ를 지정하는 것이 좋습니다.
이벤트 버스 아카이브를 암호화하기 위해 고객 관리형 키를 사용하여를 지정할 수도 있습니다. 자세한 내용은 [아카이브 암호화](encryption-archives.md) 단원을 참조하십시오.
**참고**
고객 관리형 키를 사용해 암호화된 이벤트 버스에는 스키마 검색이 지원되지 않습니다. 이벤트 버스에서 스키마 검색을 활성화하려면 AWS 소유 키를 사용하도록 선택합니다. 자세한 내용은 [KMS 키 옵션](eb-encryption-at-rest-key-options.md) 단원을 참조하십시오.
## 이벤트 버스 암호화 컨텍스트
[암호화 컨텍스트](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#encrypt_context)는 보안되지 않은 임의의 데이터를 포함하는 키-값 페어 세트입니다. 데이터 암호화 요청에 암호화 컨텍스트를 포함하는 경우 AWS KMS 는 암호화된 데이터에 암호화 컨텍스트를 암호 방식으로 바인딩합니다. 따라서 동일한 암호화 컨텍스트로 전달해야 이 데이터를 해독할 수 있습니다.
정책 및 권한 부여에서 암호화 컨텍스트를 권한 부여 조건으로 사용할 수도 있습니다.
고객 관리형 키를 사용하여 EventBridge 리소스를 보호하는 경우 암호화 컨텍스트를 사용하여 감사 레코드 및 로그 KMS key 에서의 사용을 식별할 수 있습니다. 또한 [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) 및 [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) 같은 로그에서 일반 텍스트에 나타나기도 합니다.
이벤트 버스의 경우, EventBridge는 모든 AWS KMS 암호화 작업에서 동일한 암호화 컨텍스트를 사용합니다. 컨텍스트에는 이벤트 버스 ARN을 포함하는 단일 키-값 페어가 포함됩니다.
```
"encryptionContext": {
"kms:EncryptionContext:aws:events:event-bus:arn": "event-bus-arn"
}
```
## AWS KMS 이벤트 버스에 대한 키 정책
다음 예제 키 정책은 이벤트 버스에 필요한 권한을 제공합니다.
+ `kms:DescribeKey`
+ `kms:GenerateDataKey`
+ `kms:Decrypt`
보안 모범 사례로, EventBridge가 지정된 리소스 또는 계정에 대해서만 KMS 키를 사용하도록 하려면 키 정책에 조건 키를 포함하는 것이 좋습니다. 자세한 내용은 [보안 고려 사항](eb-encryption-key-policy.md#eb-encryption-event-bus-confused-deputy) 단원을 참조하십시오.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowEventBridgeToValidateKeyPermission",
"Effect": "Allow",
"Principal": {
"Service": "events.amazonaws.com"
},
"Action": [
"kms:DescribeKey"
],
"Resource": "*"
},
{
"Sid": "AllowEventBridgeToEncryptEvents",
"Effect": "Allow",
"Principal": {
"Service": "events.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:aws:events:event-bus:arn": "arn:aws:events:us-east-1:123456789012:event-bus/event-bus-arn",
"aws:SourceArn": "arn:aws:events:us-east-1:123456789012:event-bus/event-bus-name"
}
}
}
] }
```
------
## AWS KMS 이벤트 버스 작업에 대한 키 권한
고객 관리형 키를 사용하여 암호화된 이벤트 버스를 생성하거나 업데이트하려면 지정된 고객 관리형 키에 대해 다음 권한이 있어야 합니다.
+ `kms:GenerateDataKeyWithoutPlaintext`
+ `kms:Decrypt`
+ `kms:Encrypt`
+ `kms:ReEncryptFrom`
+ `kms:ReEncryptTo`
+ `kms:DescribeKey`
또한 고객 관리형 키를 사용하여 암호화된 이벤트 버스에서 특정 이벤트 버스 작업을 수행하려면 지정된 고객 관리형 키에 대한 `kms:Decrypt` 권한이 있어야 합니다. 이 작업에는 다음이 포함됩니다.
+ `[DescribeRule](https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_DescribeRule.html)`
+ `[DisableRule](https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_DisableRule.html)`
+ `[EnableRule](https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_EnableRule.html)`
+ `[ListRules](https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_ListRules.html)`
+ `[ListTargetsByRule](https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_ListTargetsByRule.html)`
+ `[PutRule](https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutRule.html)`
+ `[ListRuleNamesByTarget](https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_ListRuleNamesByTarget.html)`
+ `[PutTargets](https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutTargets.html)`
# EventBridge 이벤트 버스에서 암호화 구성
이벤트 버스를 생성하거나 업데이트할 때 사용할 EventBridge의 KMS 키를 지정할 수 있습니다. 고객 관리형 키를 사용하도록 기본 이벤트 버스를 업데이트할 수도 있습니다.
## 이벤트 버스를 생성할 때 암호화에 사용되는 AWS KMS 키 지정
암호화에 사용되는 AWS KMS 키를 선택하는 것은 이벤트 버스 생성의 일부입니다. 기본값은 EventBridge에서 AWS 소유 키 제공하는를 사용하는 것입니다.
**이벤트 버스를 생성할 때 암호화를 위한 고객 관리형 키 지정(콘솔)**
+ 다음 지침들을 따릅니다.
[이벤트 버스 생성](eb-create-event-bus.md).
**이벤트 버스를 생성할 때 암호화를 위한 고객 관리형 키 지정(CLI)**
+ `[create-event-bus](https://docs.aws.amazon.com/cli/latest/reference/events/create-event-bus.html)`를 직접 호출할 때 `kms-key-identifier` 옵션을 사용하여 이벤트 버스를 암호화하는 데 사용할 EventBridge의 고객 관리형 키를 지정합니다.
선택적으로, `dead-letter-config`를 사용하여 Dead Letter Queue(DLQ)를 지정합니다.
## 이벤트 버스에서 암호화에 사용되는 AWS KMS 키 업데이트
기존 이벤트 버스에서 저장 시 암호화에 사용되는 AWS KMS 키를 업데이트할 수 있습니다. 여기에는 다음이 포함됩니다.
+ 를 기본 키에서 고객 관리형 키 AWS 소유 키 로 변경합니다.
+ 고객 관리형 키에서 기본값으로 변경 AWS 소유 키
+ 한 고객 관리형 키에서 다른 고객 관리형 키로 변경합니다.
다른 AWS KMS 키를 사용하도록 이벤트 버스를 업데이트하면 EventBridge는 이벤트 버스에 저장된 모든 데이터를 복호화한 다음 새 키를 사용하여 암호화합니다.
**이벤트 버스에서 암호화에 사용되는 KMS 키 업데이트(콘솔)**
1. [https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/)에서 Amazon EventBridge 콘솔을 엽니다.
1. 탐색 창에서 **이벤트 버스**를 선택합니다.
1. 업데이트할 이벤트 버스를 선택합니다.
1. 이벤트 버스 세부 정보 페이지에서 **암호화** 탭을 선택합니다.
1. 이벤트 버스에 저장된 이벤트 데이터를 암호화할 때 사용할 EventBridge의 KMS 키를 선택합니다.
+ EventBridge에 **사용을 AWS 소유 키** 선택하여를 사용하여 데이터를 암호화합니다 AWS 소유 키.
이는 EventBridge가 여러 AWS 계정에서 사용하기 위해 소유하고 관리하는 KMS 키 AWS 소유 키 입니다. 일반적으로 리소스를 보호하는 암호화 키를 감사하거나 제어할 필요가 없을 경우, AWS 소유 키 를 선택하는 것이 좋습니다.
기본값입니다.
+ EventBridge에 **고객 관리형 키 사용**을 선택하여 지정하거나 생성한 고객 관리형 키를 사용하여 데이터를 암호화합니다.
고객 관리형 키는 사용자가 생성, 소유 및 관리하는 AWS 계정의 KMS 키입니다. 이러한 KMS 키를 완전히 제어할 수 있습니다.
1. 기존 고객 관리형 키를 지정하거나 **새 KMS 키 생성**을 선택합니다.
EventBridge는 키 상태뿐만 아니라, 지정된 고객 관리형 키와 연결된 모든 키 별칭도 표시합니다.
1. 이 이벤트 버스의 Dead Letter Queue(DLQ)로 사용할 Amazon SQS 대기열(있는 경우)을 선택합니다.
EventBridge는 그렇게 구성된 경우, 성공적으로 암호화되지 않은 이벤트를 DLQ에 전송하므로 나중에 해당 이벤트를 처리할 수 있습니다.
**이벤트 버스에서 암호화에 사용되는 KMS 키 업데이트(CLI)**
+ `[update-event-bus](https://docs.aws.amazon.com/cli/latest/reference/events/create-event-bus.html)`를 직접 호출할 때 `kms-key-identifier` 옵션을 사용하여 이벤트 버스를 암호화하는 데 사용할 EventBridge의 고객 관리형 키를 지정합니다.
선택적으로, `dead-letter-config`를 사용하여 Dead Letter Queue(DLQ)를 지정합니다.
**CloudFormation을 사용하여, 기본 이벤트 버스에서 암호화에 사용되는 KMS 키 업데이트**
EventBridge는 기본 이벤트 버스를 계정에 자동으로 프로비저닝하기 때문에, CloudFormation 스택에 포함하려는 리소스에 대해 일반적으로 하는 것처럼 CloudFormation 템플릿을 사용하여 기본 이벤트 버스를 생성할 수는 없습니다. 기본 이벤트 버스를 CloudFormation 스택에 포함하려면 먼저 스택으로 *가져와야* 합니다. 기본 이벤트 버스를 스택으로 가져온 후에는 원하는 대로 이벤트 버스 속성을 업데이트할 수 있습니다.
+ 다음 지침들을 따릅니다.
[CloudFormation을 사용하여 기본 버스 업데이트](event-bus-update-default-cfn.md).
# 이벤트 버스가 규칙 대상인 경우 EventBridge의 암호화
사용자 지정 또는 파트너 이벤트가 이벤트 버스로 전송되면 EventBridge는 해당 이벤트 버스에 대한 저장 시 암호화 KMS 키 구성에 따라 해당 이벤트를 암호화합니다. 기본 AWS 소유 키 또는 고객 관리형 키가 지정된 경우 해당 이벤트 버스에 대한 암호화 KMS 키 구성에 따라 해당 이벤트를 암호화합니다. 이벤트가 규칙과 일치하는 경우, *규칙 대상이 다른 이벤트 버스인 경우를 제외하고* 이벤트가 규칙 대상으로 전송될 때까지 EventBridge는 해당 이벤트 버스에 대한 KMS 키 구성을 사용하여 이벤트를 암호화합니다.
+ 규칙의 대상이 동일한 AWS 리전의 다른 이벤트 버스인 경우:
대상 이벤트 버스에 지정된 고객 관리형 키가 있는 경우, EventBridge는 대신 전달하기 위해 대상 이벤트 버스의 고객 관리형 키로 이벤트를 암호화합니다.
![\[대상 이벤트 버스의 키를 사용하여 암호화된 이벤트가 한 이벤트 버스에서 다른 이벤트 버스로 전송됩니다.\]](http://docs.aws.amazon.com/ko_kr/eventbridge/latest/userguide/images/cmkms-bus-same-region_eventbridge_conceptual.svg)
+ 규칙의 대상이 다른 AWS 리전의 다른 이벤트 버스인 경우:
EventBridge는 첫 번째 이벤트 버스의 KMS 키 구성에 따라 저장 이벤트를 암호화합니다. EventBridge는 TLS를 사용하여 이벤트를 다른 리전에 있는 두 번째 이벤트 버스로 전송한 다음, 대상 이벤트 버스에 지정된 KMS 키 구성에 따라 암호화합니다.
![\[전송 중 TLS를 사용하여, 이벤트가 다른 리전의 대상 이벤트 버스로 전송되었습니다.\]](http://docs.aws.amazon.com/ko_kr/eventbridge/latest/userguide/images/cmkms-bus-cross-region_eventbridge_conceptual.svg)
# EventBridge의 관리형 규칙에 대한 이벤트 암호화
AWS 서비스는 AWS 계정에서 해당 서비스의 특정 함수에 필요한 이벤트 버스 규칙을 생성하고 관리할 수 있습니다. 관리형 규칙의 일부로 AWS 서비스는 EventBridge가 규칙 대상에 지정된 고객 관리형 키를 사용하도록 지정할 수 있습니다. 이렇게 하면 규칙 대상에 따라 사용할 고객 관리형 키를 유연하게 지정할 수 있습니다.
이러한 경우, 사용자 지정 또는 파트너 이벤트가 관리형 규칙과 일치하면 EventBridge는 관리형 규칙에서 지정한 대상 고객 관리형 키를 사용하여, 이벤트가 규칙 대상으로 전송될 때까지 이벤트를 암호화합니다. 이는 이벤트 버스가 자체적인 고객 관리형 키를 암호화에 사용하도록 구성되었는지 여부에 관계없이 적용됩니다. 관리형 규칙의 대상이 다른 이벤트 버스이고 해당 이벤트 버스에 암호화를 위해 지정된 자체 고객 관리형 키가 있는 경우에도 마찬가지입니다. EventBridge는 이벤트가 이벤트 버스가 아닌 대상으로 전송될 때까지 관리형 규칙에 지정된 대상 고객 관리형 키를 계속 사용합니다.
![\[관리형 규칙과 일치하는 이벤트로, 규칙 대상의 키를 사용하여 암호화됩니다.\]](http://docs.aws.amazon.com/ko_kr/eventbridge/latest/userguide/images/cmkms-bus-managed-rule_eventbridge_conceptual.svg)
규칙 대상이 다른 리전의 이벤트 버스인 경우에는 [다중 리전 키](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html)를 제공해야 합니다. 첫 번째 리전의 이벤트 버스는 관리형 규칙에 지정된 고객 관리형 키를 사용하여 이벤트를 암호화합니다. 그런 다음, 두 번째 리전의 대상 이벤트 버스로 이벤트를 전송합니다. 해당 이벤트 버스는 이벤트를 대상으로 전송할 때까지 고객 관리형 키를 계속 사용할 수 있어야 합니다.
# EventBridge AWS KMS 에서를 사용하여 이벤트 버스 로그 암호화
로그를 전송할 때 EventBridge는 이벤트 버스에 지정된 KMS 키로 각 로그 레코드의 `detail` 및 `error` 섹션을 암호화합니다. 이벤트 버스에 대해 고객 관리형 키를 지정한 경우 EventBridge는 전송 중 암호화에 해당 키를 사용합니다. 전송된 레코드는 복호화된 다음 로그 대상에 지정된 KMS 키로 다시 암호화됩니다.
## 이벤트 버스 로그 암호화 컨텍스트
[암호화 컨텍스트](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#encrypt_context)는 보안되지 않은 임의의 데이터를 포함하는 키-값 페어 세트입니다. 데이터 암호화 요청에 암호화 컨텍스트를 포함하는 경우 AWS KMS 는 암호화된 데이터에 암호화 컨텍스트를 암호 방식으로 바인딩합니다. 따라서 동일한 암호화 컨텍스트로 전달해야 이 데이터를 해독할 수 있습니다.
정책 및 권한 부여에서 암호화 컨텍스트를 권한 부여 조건으로 사용할 수도 있습니다.
고객 관리형 키를 사용하여 EventBridge 리소스를 보호하는 경우 암호화 컨텍스트를 사용하여 감사 레코드 및 로그 KMS key 에서의 사용을 식별할 수 있습니다. 또한 [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) 및 [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) 같은 로그에서 일반 텍스트에 나타나기도 합니다.
이벤트 버스 로그의 경우 모든 암호화 작업에서 동일한 AWS KMS 암호화 컨텍스트를 EventBridge 사용합니다.
```
"encryptionContext": {
"kms:EncryptionContext:SourceArn": "arn:partition:logs:region:account:*"
}
```
## AWS KMS 이벤트 버스 로깅에 대한 키 정책 권한
고객 관리형 키를 사용하는 이벤트 버스의 경우 키 정책에 다음 권한을 추가해야 합니다.
+ EventBridge가 고객 관리형 키를 사용하여 로그를 암호화하도록 허용합니다.
```
{
"Sid": "Enable log service encryption",
"Effect": "Allow",
"Principal": {
"Service": "events.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:EncryptionContext:SourceArn": "arn:partition:logs:region:account:*"
}
}
}
```
+ 로깅 서비스가 EventBridge에서 전송한 로그를 복호화하도록 허용합니다.
```
{
"Sid": "Enable log delivery decryption",
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:EncryptionContext:SourceArn": "arn:partition:logs:region:account:*"
}
}
}
```
# Dead Letter Queue(DLQ)을 사용하여 EventBridge에서 암호화된 이벤트 오류 캡처
이벤트 버스에서 고객 관리형 키 암호화를 구성하는 경우 해당 이벤트 버스에 Dead Letter Queue(DLQ)를 지정하는 것이 좋습니다. EventBridge는 이벤트 버스에서 이벤트를 처리하는 동안 재시도할 수 없는 오류가 발생하는 경우 사용자 지정 및 파트너 이벤트를이 DLQ로 전송합니다. 재시도할 수 없는 오류는 지정된 고객 관리형 키의 비활성화 또는 누락과 같은 근본적인 문제를 해결하기 위해 사용자 작업이 필요한 오류입니다.
+ EventBridge가 이벤트 버스에서 이벤트를 처리하는 동안 재시도할 수 없는 암호화 또는 복호화 오류가 발생하면, 이벤트 버스가 지정된 경우 이벤트는 *이벤트 버스*의 DLQ로 전송됩니다.
+ EventBridge가 대상에 이벤트를 보내려고 시도하는 동안 입력 트랜스포메이션 및 대상 지정 설정을 포함하여 재시도할 수 없는 암호화 또는 복호화 오류가 발생하면, 대상이 지정된 경우 이벤트는 *대상*에 대한 DLQ로 전송됩니다.
![\[이벤트 버스 처리 중에 재시도할 수 없는 오류로, 이벤트 버스 DLQ로 전송됩니다.\]](http://docs.aws.amazon.com/ko_kr/eventbridge/latest/userguide/images/cmkms-bus-dlq_eventbridge_conceptual.svg)
DLQ 사용 시의 고려 사항 및 권한 설정에 대한 지침을 포함한 자세한 내용은 [DLQ(Dead Letter Queue) 사용](eb-rule-dlq.md) 섹션을 참조하세요.
# EventBridge Dead Letter Queue(DLQ)의 이벤트 복호화
재시도할 수 없는 오류를 유발하는 근본적인 문제를 해결한 후에는 이벤트 버스 또는 대상 DLQ로 전송된 이벤트를 처리할 수 있습니다. 암호화된 이벤트의 경우, 먼저 이벤트를 복호화하여 처리해야 합니다.
다음 예제에서는 EventBridge가 이벤트 버스 또는 대상 DLQ로 전달한 이벤트를 복호화하는 방법을 보여줍니다.
```
// You will receive an encrypted event in the following json format.
// ```
// {
// "version": "0",
// "id": "053afa53-cdd7-285b-e754-b0dfd0ac0bfb", // New event id not the same as the original one
// "account": "123456789012",
// "time": "2020-02-10T10:22:00Z",
// "resources": [ ],
// "region": "us-east-1",
// "source": "aws.events",
// "detail-type": "Encrypted Events",
// "detail": {
// "event-bus-arn": "arn:aws:events:region:account:event-bus/bus-name",
// "rule-arn": "arn:aws:events:region:account:event-bus/bus-name/rule-name",
// "kms-key-arn": "arn:aws:kms:region:account:key/key-arn",
// "encrypted-payload": "AgR4qiru/XNwTUyCgRHqP7rbbHn/xpmVeVeRIAd12TDYYVwAawABABRhd3M6ZXZlbnRzOmV2ZW50LWJ1cwB
// RYXJuOmF3czpldmVudHM6dXMtZWFzdC0xOjE0NjY4NjkwNDY3MzpldmVudC1idXMvY21rbXMtZ2EtY3Jvc3
// MtYWNjb3VudC1zb3VyY2UtYnVzAAEAB2F3cy1rbXMAS2Fybjphd3M6a21zOnVzLWVhc3QtMToxNDY2ODY5"
// }
// }
// ```
// Construct an AwsCrypto object with the encryption algorithm `ALG_AES_256_GCM_HKDF_SHA512_COMMIT_KEY` which
// is used by EventBridge for encryption operation. This object is an entry point for decryption operation.
// It can later use decryptData(MasterKeyProvider, byte[]) method to decrypt data.
final AwsCrypto crypto = AwsCrypto.builder()
.withEncryptionAlgorithm(CryptoAlgorithm.ALG_AES_256_GCM_HKDF_SHA512_COMMIT_KEY)
.build();
// Construct AWS KMS master key provider with AWS KMS Client Supplier and AWS KMS Key ARN. The KMS Client Supplier can
// implement a RegionalClientSupplier interface. The AWS KMS Key ARN can be fetched from kms-key-arn property in
// encrypted event json detail.
final KmsMasterKeyProvider kmsMasterKeyProvider = KmsMasterKeyProvider.builder()
.customRegionalClientSupplier(...)
.buildStrict(KMS_KEY_ARN);
// The string of encrypted-payload is base64 encoded. Decode it into byte array, so it can be furthur
// decrypted. The encrypted payload can be fetched from encrypted-payload field in encrypted event json detail.
byte[] encryptedByteArray = Base64.getDecoder().decode(ENCRYPTED_PAYLOAD);
// The decryption operation. It retrieves the encryption context and encrypted data key from the cipher
// text headers, which is parsed from byte array encrypted data. Then it decrypts the data key, and
// uses it to finally decrypt event payload. This encryption/decryption strategy is called envelope
// encryption, https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#enveloping
final CryptoResult decryptResult = crypto.decryptData(kmsMasterKeyProvider, encryptedByteArray);
final byte[] decryptedByteArray = decryptResult.getResult();
// Decode the event json plaintext from byte array into string with UTF_8 standard.
String eventJson = new String(decryptedByteArray, StandardCharsets.UTF_8);
```
# AWS KMS 키를 사용하여 EventBridge 파이프 데이터 암호화
EventBridge가 기본값인 AWS 소유 키 를 사용하는 대신 고객 관리형 키를 사용하여, 저장된 파이프 데이터를 암호화하도록 지정할 수 있습니다. 파이프를 생성하거나 업데이트할 때 고객 관리형 키를 지정할 수 있습니다. 키 유형에 대한 자세한 내용은 [KMS 키 옵션](eb-encryption-at-rest-key-options.md) 섹션을 참조하세요.
EventBridge가 저장 시에 암호하하는 파이프 데이터는 다음을 포함합니다.
+ [이벤트 패턴](eb-event-patterns.md)
+ [입력 변환기](eb-pipes-input-transformation.md)
파이프를 통해 흐르는 이벤트는 절대 저장되지 않습니다.
## EventBridge Pipes 암호화 컨텍스트
[암호화 컨텍스트](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#encrypt_context)는 보안되지 않은 임의의 데이터를 포함하는 키-값 페어 세트입니다. 데이터 암호화 요청에 암호화 컨텍스트를 포함하는 경우 AWS KMS 는 암호화된 데이터에 암호화 컨텍스트를 암호 방식으로 바인딩합니다. 따라서 동일한 암호화 컨텍스트로 전달해야 이 데이터를 해독할 수 있습니다.
정책 및 권한 부여에서 암호화 컨텍스트를 권한 부여 조건으로 사용할 수도 있습니다.
고객 관리형 키를 사용하여 EventBridge 리소스를 보호하는 경우 암호화 컨텍스트를 사용하여 감사 레코드 및 로그 KMS key 에서의 사용을 식별할 수 있습니다. 또한 [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) 및 [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) 같은 로그에서 일반 텍스트에 나타나기도 합니다.
EventBridge Pipes의 경우, EventBridge는 모든 AWS KMS 암호화 작업에서 동일한 암호화 컨텍스트를 사용합니다. 컨텍스트에는 파이프 ARN을 포함하는 단일 키-값 페어가 포함됩니다.
```
"encryptionContext": {
"kms:EncryptionContext:aws:pipes:arn": "pipe-arn"
}
```
벤딩 로그의 경우, EventBridge는 다음의 암호화 컨텍스트를 사용합니다.
```
"encryptionContext": {
"kms:EncryptionContext:SourceArn": "arn:partition:logs:region:account:*"
}
```
## AWS KMS EventBridge 파이프에 대한 키 정책
다음 예제 키 정책은 파이프에 필요한 권한을 제공합니다.
+ `kms:DescribeKey`
+ `kms:GenerateDataKey`
+ `kms:Decrypt`
보안 모범 사례로, EventBridge가 지정된 리소스 또는 계정에 대해서만 키를 사용하도록 하려면 키 정책에 조건 AWS KMS 키를 포함하는 것이 좋습니다. 자세한 내용은 [보안 고려 사항](eb-encryption-key-policy.md#eb-encryption-event-bus-confused-deputy) 단원을 참조하십시오.
------
#### [ JSON ]
****
```
{
"Id": "CMKKeyPolicy",
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:role/pipe-execution-role"
},
"Action": [
"kms:DescribeKey"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:role/pipe-execution-rolee"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "*",
"Condition": {
"ArnLike": {
"kms:EncryptionContext:aws:pipe:arn": "arn:aws:pipes:us-east-1:123456789012:pipe/pipe-name"
},
"ForAnyValue:StringEquals": {
"kms:EncryptionContextKeys": [
"aws:pipe:arn"
]
}
}
}
]
}
```
------
### 실행 데이터가 포함된 파이프 로그에 대한 권한
실행 데이터를 포함하도록 파이프 로깅을 구성한 경우, 로깅 서비스에 대한 다음 권한이 키 정책에 포함되어야 합니다.
+ `kms:Decrypt`
+ `kms:GenerateDataKey`
자세한 내용은 [EventBridge 파이프 로그에 실행 데이터 포함](eb-pipes-logs.md#eb-pipes-logs-execution-data) 단원을 참조하십시오.
다음 예제 키 정책은 파이프 로깅에 필요한 권한을 제공합니다.
```
{
"Sid": "Enable log service encryption",
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:EncryptionContext:SourceArn": "arn:partition:logs:region:account:*"
}
}
}
```
또한 파이프 실행 역할에는 `kms:GenerateDataKey` 권한도 필요합니다.
```
{
"Sid": "Enable log service encryption",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::account:role/pipe-execution-role"
},
"Action": [
"kms:GenerateDataKey"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:EncryptionContext:SourceArn": "arn:partition:logs:region:account:*"
}
}
}
```
파이프 실행 역할에는 다음도 포함되어야 합니다.
```
"Action": [
"kms:GenerateDataKey"
],
"Resource": "key-arn",
"Condition": {
"StringLike": {
"kms:EncryptionContext:SourceArn": "arn:partition:logs:region:account:*"
}
}
```
# EventBridge Pipes에서 암호화 구성
파이프를 생성하거나 업데이트할 때 사용할 EventBridge의 KMS 키를 지정할 수 있습니다.
## 파이프를 생성할 때 암호화에 사용되는 AWS KMS 키 지정
암호화에 사용되는 AWS KMS 키를 선택하는 것은 파이프를 생성하는 옵션입니다. 기본값은 EventBridge에서 AWS 소유 키 제공하는를 사용하는 것입니다.
**파이프를 생성할 때 암호화를 위한 고객 관리형 키 지정(콘솔)**
+ 다음 지침들을 따릅니다.
[파이프 생성](eb-pipes-create.md).
**파이프를 생성할 때 암호화를 위한 고객 관리형 키 지정(CLI)**
+ `[create-pipe](https://docs.aws.amazon.com/cli/latest/reference/pipes/create-pipe.html)`를 직접 호출할 때 `kms-key-identifier` 옵션을 사용하여 이벤트 버스를 암호화하는 데 사용할 EventBridge의 고객 관리형 키를 지정합니다.
## EventBridge 파이프에서 암호화에 사용되는 AWS KMS 키 업데이트
기존 파이프에서 저장 시 암호화에 사용되는 AWS KMS 키를 업데이트할 수 있습니다. 여기에는 다음이 포함됩니다.
+ 를 기본 키에서 고객 관리형 키 AWS 소유 키 로 변경합니다.
+ 고객 관리형 키에서 기본값으로 변경 AWS 소유 키
+ 한 고객 관리형 키에서 다른 고객 관리형 키로 변경합니다.
다른 AWS KMS 키를 사용하도록 파이프를 업데이트하면 EventBridge는 파이프에 저장된 모든 데이터를 복호화한 다음 새 키를 사용하여 암호화합니다.
**파이프에서 암호화에 사용되는 KMS 키 업데이트(콘솔)**
1. Amazon EventBridge 콘솔([https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/))을 엽니다.
1. 탐색 창에서 **파이프**를 선택합니다.
1. 업데이트할 파이프를 선택합니다.
1. 파이프 버스 세부 정보 페이지에서 **암호화** 탭을 선택합니다.
1. 파이프에 저장된 데이터를 암호화할 때 사용할 EventBridge의 KMS 키를 선택합니다.
+ EventBridge에 **사용을 AWS 소유 키** 선택하여를 사용하여 데이터를 암호화합니다 AWS 소유 키.
이는 EventBridge가 여러 AWS 계정에서 사용하기 위해 소유하고 관리하는 KMS 키 AWS 소유 키 입니다. 일반적으로 리소스를 보호하는 암호화 키를 감사하거나 제어해야 하는 경우가 아니면 AWS 소유 키 를 선택하는 것이 좋습니다.
기본값입니다.
+ EventBridge에 **고객 관리형 키 사용**을 선택하여 지정하거나 생성한 고객 관리형 키를 사용하여 데이터를 암호화합니다.
고객 관리형 키는 사용자가 생성, 소유 및 관리하는 AWS 계정의 KMS 키입니다. 이러한 KMS 키를 완전히 제어할 수 있습니다.
1. 기존 고객 관리형 키를 지정하거나 **새 KMS 키 생성**을 선택합니다.
EventBridge는 키 상태뿐만 아니라, 지정된 고객 관리형 키와 연결된 모든 키 별칭도 표시합니다.
**파이프에서 암호화에 사용되는 KMS 키 업데이트(CLI)**
+ `[update-pipe](https://docs.aws.amazon.com/cli/latest/reference/pipes/update-pipe.html)`를 직접 호출할 때 `kms-key-identifier` 옵션을 사용하여 파이프 데이터를 암호화하는 데 사용할 EventBridge의 고객 관리형 키를 지정합니다.
# AWS KMS 키를 사용하여 EventBridge 아카이브 암호화
EventBridge가 기본값 AWS 소유 키 인를 사용하는 대신를 사용하여 아카이브에 저장된 이벤트를 암호화 고객 관리형 키 하도록 지정할 수 있습니다. 아카이브를 생성하거나 업데이트할 고객 관리형 키 때를 지정할 수 있습니다. 키 유형에 대한 자세한 내용은 [KMS 키 옵션](eb-encryption-at-rest-key-options.md) 섹션을 참조하세요.
여기에는 다음이 포함됩니다.
+ 아카이브에 저장된 이벤트
+ 아카이브로 전송된 이벤트를 필터링하도록 지정된 이벤트 패턴
여기에는 아카이브 크기 또는 아카이브에 포함된 이벤트 수와 같은 아카이브 메타데이터는 포함되지 않습니다.
아카이브에 대한 고객 관리형 키를 지정하면 EventBridge는 아카이브로 전송하기 전에 이벤트를 암호화하여 전송 중 및 유휴 시 암호화를 보장합니다.
## 아카이브 암호화 컨텍스트
[암호화 컨텍스트](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#encrypt_context)는 보안되지 않은 임의의 데이터를 포함하는 키-값 페어 세트입니다. 데이터 암호화 요청에 암호화 컨텍스트를 포함하는 경우 AWS KMS 는 암호화된 데이터에 암호화 컨텍스트를 암호 방식으로 바인딩합니다. 따라서 동일한 암호화 컨텍스트로 전달해야 이 데이터를 해독할 수 있습니다.
정책 및 권한 부여에서 암호화 컨텍스트를 권한 부여 조건으로 사용할 수도 있습니다.
고객 관리형 키를 사용하여 EventBridge 리소스를 보호하는 경우 암호화 컨텍스트를 사용하여 감사 레코드 및 로그 KMS key 에서의 사용을 식별할 수 있습니다. 또한 [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) 및 [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) 같은 로그에서 일반 텍스트에 나타나기도 합니다.
이벤트 아카이브의 경우, EventBridge는 모든 AWS KMS 암호화 작업에서 동일한 암호화 컨텍스트를 사용합니다. 컨텍스트에는 이벤트 버스 ARN을 포함하는 단일 키-값 페어가 포함됩니다.
```
"encryptionContext": {
"kms:EncryptionContext:aws:events:event-bus:arn": "event-bus-arn"
}
```
## AWS KMS 아카이브에 대한 키 정책
다음 예제 키 정책은 이벤트 아카이브에 필요한 권한을 제공합니다.
+ `kms:DescribeKey`
+ `kms:GenerateDataKey`
+ `kms:Decrypt`
+ `kms:ReEncrypt`
보안 모범 사례로, EventBridge가 지정된 리소스 또는 계정에 대해서만 KMS 키를 사용하도록 하려면 키 정책에 조건 키를 포함하는 것이 좋습니다. 자세한 내용은 [보안 고려 사항](eb-encryption-key-policy.md#eb-encryption-event-bus-confused-deputy) 단원을 참조하십시오.
------
#### [ JSON ]
****
```
{
"Id": "CMKKeyPolicy",
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "events.amazonaws.com"
},
"Action": [
"kms:DescribeKey"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Principal": {
"Service": "events.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt",
"kms:ReEncrypt*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:aws:events:event-bus:arn": "arn:aws:events:us-east-1:123456789012:event-bus/event-bus-arn"
}
}
}
]
}
```
------
# 아카이브에서 암호화 구성
아카이브를 생성하거나 업데이트할 때 EventBridge에서 사용할 KMS 키를 지정할 수 있습니다.
## 아카이브 생성 시 암호화 지정
암호화에 사용되는 AWS KMS 키를 선택하는 것은 아카이브를 생성하는 옵션입니다. 기본값은에서 AWS 소유 키 제공하는를 사용하는 것입니다 EventBridge.
**아카이브를 생성할 때 암호화를 고객 관리형 키 위해를 지정하려면(콘솔)**
+ 다음 지침들을 따릅니다.
[아카이브 생성](eb-archive-event.md).
**아카이브를 생성할 때 암호화를 고객 관리형 키 위해를 지정하려면(CLI)**
+ `[create-archive](https://docs.aws.amazon.com/cli/latest/reference/events/create-archive.html)`를 직접 호출할 때 `kms-key-identifier` 옵션을 사용하여 EventBridge가 아카이브에 저장된 이벤트를 암호화하는 데 사용할 고객 관리형 키를 지정합니다.
## 아카이브에서 암호화 업데이트
기존 아카이브에서 저장 시 암호화에 사용되는 AWS KMS 키를 업데이트할 수 있습니다. 여기에는 다음이 포함됩니다.
+ 를 기본값에서 AWS 소유 키 로 변경합니다 고객 관리형 키.
+ 에서 기본값 고객 관리형 키 으로 변경합니다 AWS 소유 키.
+ 한에서 다른 고객 관리형 키 로 변경합니다.
**아카이브에서 이벤트를 암호화하는 데 KMS key 사용되는를 업데이트하려면(콘솔)**
1. Amazon EventBridge 콘솔([https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/))을 엽니다.
1. 아카이브로 직접 이동하거나 소스 이벤트 버스에서 이동합니다.
+ 탐색 창에서 **이벤트 버스**를 선택합니다.
이벤트 버스 세부 정보 페이지에서 **아카이브** 탭을 선택합니다.
+ 탐색 창에서 **아카이브**를 선택합니다.
1. 업데이트할 아카이브를 선택합니다.
1. 아카이브 세부 정보 페이지에서 **암호화** 탭을 선택합니다.
1. 아카이브 KMS key 에 저장된 이벤트를 암호화 EventBridge 할 때 사용할를 선택합니다.
**중요**
EventBridge가 소스 이벤트 버스를 암호화하는 데 고객 관리형 키를 사용하도록 지정한 경우 이벤트 버스의 모든 아카이브에도 고객 관리형 키를 지정하는 것이 좋습니다.
+ 를 사용하여 데이터를 암호화 EventBridge 하려면에 **사용을 AWS 소유 키** 선택합니다 AWS 소유 키.
여러 AWS 계정에서 사용하기 위해를 KMS key EventBridge 소유하고 관리하는 AWS 소유 키 입니다. 일반적으로 리소스를 보호하는 암호화 키를 감사하거나 제어해야 하는 경우가 아니면 AWS 소유 키 를 선택하는 것이 좋습니다.
기본값입니다.
+ EventBridge 에 **사용을 고객 관리형 키** 선택하여 지정하거나 생성한를 사용하여 데이터를 암호화 고객 관리형 키 합니다.
고객 관리형 키 는 사용자가 생성, 소유 및 관리하는 AWS 계정에 KMS keys 있습니다. 이러한 KMS keys는 사용자가 완전히 제어할 수 있습니다.
1. 기존을 지정 고객 관리형 키하거나 **새로 생성을 KMS key** 선택합니다.
EventBridge 는 키 상태와 지정된와 연결된 모든 키 별칭을 표시합니다 고객 관리형 키.
**아카이브에 저장된 이벤트를 암호화하는 데 KMS key 사용되는를 업데이트하려면(CLI)**
+ 를 호출할 때 `kms-key-identifier` 옵션을 `[update-archive](https://docs.aws.amazon.com/cli/latest/reference/events/update-archive.html)`사용하여 아카이브에 저장된 이벤트를 암호화하는 고객 관리형 키 EventBridge 데 사용할에 대한를 지정합니다.
# AWS KMS 키를 사용하여 EventBridge 연결 권한 부여 암호화
연결을 생성하거나 업데이트할 때 해당 연결에 대한 권한 부여 파라미터를 지정할 수 있습니다. 그런 다음 EventBridge는 이러한 파라미터를 AWS Secrets Manager의 보안 암호에 안전하게 저장합니다. 기본적으로 EventBridge는 AWS 소유 키 를 사용하여이 보안 암호를 암호화하고 해독합니다. EventBridge에서 고객 관리형 키를 대신 사용하도록 지정할 수 있습니다.
## AWS KMS 연결에 대한 키 정책
AWS KMS 키 정책은 사용자를 대신하여 EventBridge에 다음 권한을 부여해야 합니다.
+ `kms:DescribeKey`
+ `kms:GenerateDataKey`
+ `kms:Decrypt`
다음 정책 예제에서는 모든 AWS KMS 권한을 부여합니다.
------
#### [ JSON ]
****
```
{
"Id": "key-policy-example",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Enable IAM User Permissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::012345678901:root"
},
"Action": "kms:*",
"Resource": "*"
}
]
}
```
------
EventBridge가 고객 관리형 키를 사용하려면 키가 `EventBridgeApiDestinations`이고 값이 `true`인 키에 리소스 태그를 추가해야 합니다. 리소스 태그에 대한 자세한 내용은 *AWS Key Management Service 개발자 안내서*의 [KMS 키에 태그 추가](https://docs.aws.amazon.com/kms/latest/developerguide/add-tags.html)를 참조하세요.
보안 모범 사례로, EventBridge가 지정된 리소스 또는 계정에 대해서만 KMS 키를 사용하도록 하려면 키 정책에 조건 키를 포함하는 것이 좋습니다. 자세한 내용은 [보안 고려 사항](eb-encryption-key-policy.md#eb-encryption-event-bus-confused-deputy) 단원을 참조하십시오.
```
"Condition": {
"StringLike": {
"kms:ViaService": "secretsmanager.*.amazonaws.com",
"kms:EncryptionContext:SecretARN": [
"arn:aws:secretsmanager:*:*:secret:events!connection/*"
]
},
"StringEquals": {
"kms:ResourceTag/EventBridgeApiDestinations": "true"
}
}
```
## 연결 암호화 컨텍스트
[암호화 컨텍스트](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#encrypt_context)는 보안되지 않은 임의의 데이터를 포함하는 키-값 페어 세트입니다. 데이터 암호화 요청에 암호화 컨텍스트를 포함하는 경우 AWS KMS 는 암호화된 데이터에 암호화 컨텍스트를 암호 방식으로 바인딩합니다. 따라서 동일한 암호화 컨텍스트로 전달해야 이 데이터를 해독할 수 있습니다.
정책 및 권한 부여에서 암호화 컨텍스트를 권한 부여 조건으로 사용할 수도 있습니다.
고객 관리형 키를 사용하여 EventBridge 리소스를 보호하는 경우 암호화 컨텍스트를 사용하여 감사 레코드 및 로그 KMS key 에서의 사용을 식별할 수 있습니다. 또한 [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) 및 [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) 같은 로그에서 일반 텍스트에 나타나기도 합니다.
연결의 경우 EventBridge는 모든 암호화 작업에서 동일한 AWS KMS 암호화 컨텍스트를 사용합니다. 컨텍스트에는 보안 암호 ARN을 포함하는 단일 키-값 페어가 포함됩니다.
```
"encryptionContext": {
"kms:EncryptionContext:SecretARN": "secret-arn"
}
```
## 연결에 교차 계정 또는 교차 리전 고객 관리형 키 사용
다른 AWS 계정의 사용자 또는 역할이 계정의 KMS 키를 사용하도록 허용할 수 있습니다. 교차 계정 액세스에는 KMS 키의 키 정책과 외부 사용자 계정의 IAM 정책에 대한 권한이 필요합니다.
다른 계정의 고객 관리형 키를 사용하려면 고객 관리형 키가 있는 계정에 다음 정책이 포함되어야 합니다.
```
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::account:role/AmazonEventBridgeApiDestinationsInternalServiceRolePolicy"
},
"Action": [
"kms:Decrypt",
"kms:DescribeKey"
],
"Resource": "*"
}
```
자세한 내용은 *AWS Key Management Service 개발자 가이드*의 [다른 계정의 사용자가 CMK를 사용하도록 허용](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying-external-accounts.html)을 참조하세요.
## 연결에 대한 고객 관리형 키 액세스 취소
키를 비활성화, 삭제 또는 교체하거나 키 정책을 업데이트하여 고객 관리형 키를 취소하는 경우 EventBridge가 키 값을 캐시했을 수 있으므로 키가 단기간 동안 연결의 보안 암호에 대한 액세스를 유지할 수 있습니다.
연결의 보안 암호에 대한 고객 관리형 키 액세스를 즉시 취소하려면 연결을 승인 취소하거나 삭제합니다. 자세한 내용은 [연결 권한 부여 취소하기](eb-target-connection-deauthorize.md) 및 [연결 삭제](eb-target-connection-delete.md) 섹션을 참조하세요.
## 고객 관리형 키 오류로 인한 연결 권한 부여 취소
EventBridge는 연결의 보안 암호를 암호화하거나 해독하려고 할 때 다음 오류가 발생하면 연결의 권한을 취소합니다.
+ 고객 관리형 키가 삭제되었습니다.
+ 고객 관리형 키가 비활성화되었습니다.
+ 연결에는 고객 관리형 키에 액세스하는 데 필요한 권한이 없습니다.
자세한 내용은 [연결 권한 부여 취소하기](eb-target-connection-deauthorize.md) 단원을 참조하십시오.
# 연결 시 암호화 구성
연결을 생성하거나 업데이트할 때 EventBridge에서 사용할 KMS 키를 지정할 수 있습니다.
## 연결을 생성할 때 AWS KMS 키 지정
연결을 생성할 때 암호화에 사용되는 AWS KMS 키를 선택하는 것은 선택 사항입니다. 기본적으로 EventBridge는를 사용합니다 AWS 소유 키.
**연결을 생성할 때 암호화를 위한 고객 관리형 키를 지정하려면(콘솔)**
+ 다음 지침들을 따릅니다.
[연결 생성](eb-target-connection-create.md).
**연결을 생성할 때 암호화를 위한 고객 관리형 키를 지정하려면(CLI)**
+ 를 호출할 때 `kms-key-identifier` 옵션을 `[create-connection](https://docs.aws.amazon.com/cli/latest/reference/events/create-connection.html)`사용하여 연결 보안 암호 암호화에 EventBridge 사용할의 고객 관리형 키를 지정합니다.
## 연결 AWS KMS 키 업데이트
기존 연결에서 암호화에 사용되는 KMS 키를 업데이트할 수 있습니다. 여기에는 다음이 포함됩니다.
+ 를 기본 키에서 고객 관리형 키 AWS 소유 키 로 변경합니다.
+ 고객 관리형 키에서 기본값으로 변경 AWS 소유 키
+ 한 고객 관리형 키에서 다른 고객 관리형 키로 변경합니다.
다른 KMS 키를 사용하도록 연결을 업데이트하면 EventBridge는 연결의 보안 암호를 복호화한 다음, 새 키를 사용하여 암호화합니다. 지정한 KMS 키에 필요한 권한이 있는지 확인합니다. 자세한 내용은 [연결 키 정책](encryption-connections.md#encryption-connections-key-policy) 단원을 참조하십시오.
**연결에서 암호화에 사용되는 KMS 키 업데이트(콘솔)**
1. Amazon EventBridge 콘솔([https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/))을 엽니다.
1. 탐색 창에서 **통합**을 선택한 다음 **연결**을 선택합니다.
1. 업데이트할 연결을 선택합니다.
1. 연결 세부 정보 페이지의 **암호화**에서 연결의 보안 암호를 암호화할 때 사용할 EventBridge의 KMS 키를 선택합니다.
+ EventBridge에 **사용을 AWS 소유 키** 선택하여를 사용하여 보안 암호를 암호화합니다 AWS 소유 키.
이는 EventBridge가 여러 AWS 계정에서 사용하기 위해 소유하고 관리하는 KMS 키 AWS 소유 키 입니다. 일반적으로 리소스를 보호하는 암호화 키를 감사하거나 제어해야 하는 경우가 아니면 AWS 소유 키 를 선택하는 것이 좋습니다.
기본값입니다.
+ EventBridge에 대해 **다른 AWS KMS 키(고급) 선택을** 선택하여 지정하거나 생성하는 고객 관리형 키를 사용하여 보안 암호를 암호화합니다.
고객 관리형 키는 사용자가 생성, 소유 및 관리하는 AWS 계정의 KMS 키입니다. 이러한 KMS keys는 사용자가 완전히 제어할 수 있습니다.
1. 기존 고객 관리형 키를 지정하거나 **새로 생성을 KMS key** 선택합니다.
지정한 KMS 키에 필요한 권한이 있는지 확인합니다. 자세한 내용은 [연결 키 정책](encryption-connections.md#encryption-connections-key-policy) 단원을 참조하십시오.
EventBridge는 키 상태뿐만 아니라, 지정된 고객 관리형 키와 연결된 모든 키 별칭도 표시합니다.
**연결에서 암호화에 사용되는 KMS 키 업데이트(CLI)**
+ `[update-connection](https://docs.aws.amazon.com/cli/latest/reference/events/update-connection.html)`를 직접 호출할 때 `kms-key-identifier` 옵션을 사용하여 연결 보안 암호를 암호화하는 데 사용할 EventBridge의 고객 관리형 키를 지정합니다.