EventBridge가 고객 관리형 키를 사용하도록 권한 부여 - Amazon EventBridge
보안 고려 사항

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

EventBridge가 고객 관리형 키를 사용하도록 권한 부여

계정의 고객 관리형 키를 사용하여 EventBridge 리소스를 보호하는 경우 해당 KMS 키의 정책은 EventBridge에 사용자를 대신하여 사용할 수 있는 권한을 부여해야 합니다. 키 정책에서 이러한 권한을 제공합니다.

EventBridge는 AWS 계정의 EventBridge 리소스를 보호하기 위해 기본값을 사용하는 AWS 소유 키 데 추가 권한이 필요하지 않습니다.

EventBridge에서 고객 관리형 키를 사용하려면 다음 권한이 필요합니다.

  • kms:DescribeKey

    제공된 키 ID에 대한 KMS 키 ARN을 검색하고 키가 대칭인지 확인하려면 EventBridge에이 권한이 필요합니다.

  • kms:GenerateDataKey

    EventBridge는 데이터 키를 데이터의 암호화 키로 생성하려면이 권한이 필요합니다.

  • kms:Decrypt

    EventBridge는 암호화된 데이터로 암호화되고 저장된 데이터 키를 해독하려면이 권한이 필요합니다.

    EventBridge는 이벤트 패턴 일치에 이를 사용합니다. 사용자는 데이터에 액세스할 수 없습니다.

EventBridge 암호화에 고객 관리형 키를 사용할 때의 보안

보안 모범 사례로 키 AWS KMS 정책에 aws:SourceArnaws:sourceAccount, 또는 kms:EncryptionContext:aws:events:event-bus:arn 조건 키를 추가합니다. IAM 전역 조건 키는 EventBridge가 지정된 버스 또는 계정에 대해서만 KMS 키를 사용하도록 하는 데 도움이 됩니다.

다음 예제에서는 이벤트 버스에 대한 IAM 정책에서이 모범 사례를 따르는 방법을 보여줍니다.

{
      "Sid": "Allow the use of key",
      "Effect": "Allow",
      "Principal": {
        "Service": "events.amazonaws.com"
      },
      "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt"
      ],
      "Resource": "*",
      "Condition" : {
        "StringEquals": {
          "aws:SourceAccount": "arn:aws:events:region:account-id",
          "aws:SourceArn": "arn:aws:events:region:account-id:event-bus/event-bus-name",
          "kms:EncryptionContext:aws:events:event-bus:arn": "arn:aws:events:region:account-id:event-bus/event-bus-arn"
        }
      }