고객 관리형 키를 사용하도록 EventBridge 권한 부여 - Amazon EventBridge
보안 고려 사항

고객 관리형 키를 사용하도록 EventBridge 권한 부여

계정에서 고객 관리형 키를 사용하여 EventBridge 리소스를 보호할 경우, 해당 KMS 키에 대한 정책은 사용자 대신 해당 키를 사용할 권한을 EventBridge에 부여해야 합니다. 키 정책에서 이러한 권한을 제공합니다.

EventBridge는 기본 AWS 소유 키를 사용하여 AWS 계정에서 EventBridge 리소스를 보호하는 데 추가 권한 부여가 필요하지 않습니다.

고객 관리형 키를 사용하려면 EventBridge에 다음 권한이 필요합니다.

  • kms:DescribeKey

    EventBridge는 제공된 키 ID에 대한 KMS 키 ARN을 검색하고 키가 대칭인지 확인하려면 이 권한이 필요합니다.

  • kms:GenerateDataKey

    EventBridge에서 데이터의 암호화 키로 데이터 키를 생성하려면 이 권한이 필요합니다.

  • kms:Decrypt

    EventBridge는 암호화된 데이터와 함께 암호화되어 저장된 데이터 키를 복호화하는 데 이 권한이 필요합니다.

    EventBridge는 이벤트 패턴 일치를 위해 이렇게 복호화된 데이터를 사용하며, 사용자는 해당 데이터에 액세스할 수 없습니다.

EventBridge 암호화에 고객 관리형 키를 사용할 때의 보안

보안 모범 사례로, aws:SourceArn, aws:sourceAccount 또는 kms:EncryptionContext:aws:events:event-bus:arn 조건 키를 AWS KMS 키 정책에 추가합니다. IAM 전역 조건 키는 EventBridge가 지정된 버스나 계정에 대해서만 KMS 키를 사용하도록 하는 데 도움이 됩니다.

다음 예제에서는 이벤트 버스를 위한 IAM 정책에서 이 모범 사례를 따르는 방법을 보여줍니다.

{
      "Sid": "Allow the use of key",
      "Effect": "Allow",
      "Principal": {
        "Service": "events.amazonaws.com"
      },
      "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt"
      ],
      "Resource": "*",
      "Condition" : {
        "StringEquals": {
          "aws:SourceAccount": "arn:aws:events:region:account-id",
          "aws:SourceArn": "arn:aws:events:region:account-id:event-bus/event-bus-name",
          "kms:EncryptionContext:aws:events:event-bus:arn": "arn:aws:events:region:account-id:event-bus/event-bus-arn"
        }
      }