AWS KMS 키를 사용하여 EventBridge 아카이브 암호화
EventBridge가 아카이브에 저장된 데이터를 암호화하는 데 기본값인 AWS 소유 키를 사용하는 대신 고객 관리형 키를 사용하도록 지정할 수 있습니다. 아카이브를 생성하거나 업데이트할 때 고객 관리형 키를 지정할 수 있습니다. 키 유형에 대한 자세한 내용은 KMS 키 옵션 섹션을 참조하세요.
여기에는 다음이 포함됩니다.
-
아카이브에 저장된 이벤트
-
아카이브로 전송된 이벤트를 필터링하도록 지정된 이벤트 패턴
여기에는 아카이브 크기 또는 아카이브에 포함된 이벤트 수와 같은 아카이브 메타데이터는 포함되지 않습니다.
아카이브에 대한 고객 관리형 키를 지정하면 EventBridge는 아카이브로 전송하기 전에 이벤트를 암호화하여 전송 중 및 유휴 시 암호화를 보장합니다.
아카이브 암호화 컨텍스트
암호화 컨텍스트는 보안되지 않은 임의의 데이터를 포함하는 키-값 페어 세트입니다. 데이터 암호화 요청에 암호화 컨텍스트를 포함하는 경우 AWS KMS는 암호화된 데이터에 암호화 컨텍스트를 암호 방식으로 바인딩합니다. 따라서 동일한 암호화 컨텍스트로 전달해야 이 데이터를 해독할 수 있습니다.
정책 및 권한 부여에서 암호화 컨텍스트를 권한 부여 조건으로 사용할 수도 있습니다.
고객 관리형 키를 사용하여 EventBridge 리소스를 보호하는 경우, 암호화 컨텍스트를 사용하여 감사 레코드 및 로그에서 KMS key의 사용을 식별할 수 있습니다. 또한 AWS CloudTrail 및 Amazon CloudWatch Logs 같은 로그에서 일반 텍스트에 나타나기도 합니다.
이벤트 아카이브의 경우, EventBridge는 모든 AWS KMS 암호화 작업에서 동일한 암호화 컨텍스트를 사용합니다. 컨텍스트에는 아카이브 ARN을 포함하는 단일 키-값 페어가 포함됩니다.
"encryptionContext": { "kms:EncryptionContext:aws:events:event-bus:arn": "event-bus-arn" }
아카이브에 대한 AWS KMS 키 정책
다음 예제 키 정책은 이벤트 아카이브에 필요한 권한을 제공합니다.
kms:DescribeKeykms:GenerateDataKeykms:Decryptkms:ReEncrypt
보안 모범 사례로, EventBridge가 지정된 리소스 또는 계정에 대해서만 KMS 키를 사용하도록 하려면 키 정책에 조건 키를 포함하는 것이 좋습니다. 자세한 내용은 보안 고려 사항 섹션을 참조하세요.
