기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# 고객 관리형 키를 사용하도록 EventBridge 권한 부여
계정에서 고객 관리형 키를 사용하여 EventBridge 리소스를 보호할 경우, 해당 KMS 키에 대한 정책은 사용자 대신 해당 키를 사용할 권한을 EventBridge에 부여해야 합니다. [키 정책](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html)에서 이러한 권한을 제공합니다.
기본값을 사용하여 AWS 계정의 EventBridge 리소스를 보호 AWS 소유 키 하려면 EventBridge에 추가 권한이 필요하지 않습니다.
고객 관리형 키를 사용하려면 EventBridge에 다음 권한이 필요합니다.
+ [https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)
EventBridge는 제공된 키 ID에 대한 KMS 키 ARN을 검색하고 키가 대칭인지 확인하려면 이 권한이 필요합니다.
+ [https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)
EventBridge에서 데이터의 암호화 키로 데이터 키를 생성하려면 이 권한이 필요합니다.
+ [https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html)
EventBridge는 암호화된 데이터와 함께 암호화되어 저장된 데이터 키를 복호화하는 데 이 권한이 필요합니다.
EventBridge는 이벤트 패턴 일치를 위해 이렇게 복호화된 데이터를 사용하며, 사용자는 해당 데이터에 액세스할 수 없습니다.
## EventBridge 암호화에 고객 관리형 키를 사용할 때의 보안
보안 모범 사례로 키 AWS KMS 정책에 `aws:SourceArn``aws:sourceAccount`, 또는 `kms:EncryptionContext:aws:events:event-bus:arn` 조건 키를 추가합니다. IAM 전역 조건 키는 EventBridge가 지정된 버스나 계정에 대해서만 KMS 키를 사용하도록 하는 데 도움이 됩니다.
다음 예제에서는 이벤트 버스를 위한 IAM 정책에서 이 모범 사례를 따르는 방법을 보여줍니다.
```
{
"Sid": "Allow the use of key",
"Effect": "Allow",
"Principal": {
"Service": "events.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "*",
"Condition" : {
"StringEquals": {
"aws:SourceAccount": "arn:aws:events:region:account-id",
"aws:SourceArn": "arn:aws:events:region:account-id:event-bus/event-bus-name",
"kms:EncryptionContext:aws:events:event-bus:arn": "arn:aws:events:region:account-id:event-bus/event-bus-arn"
}
}
```