EventBridge AWS KMS 에서를 사용하여 이벤트 버스 로그 암호화 - Amazon EventBridge
암호화 컨텍스트를 로깅합니다.로깅 권한

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

EventBridge AWS KMS 에서를 사용하여 이벤트 버스 로그 암호화

로그를 전송할 때 EventBridge는 이벤트 버스에 지정된 KMS 키로 각 로그 레코드의 detailerror 섹션을 암호화합니다. 이벤트 버스에 대한 고객 관리형 키를 지정한 경우 EventBridge는 전송 중 암호화에 해당 키를 사용합니다. 전송된 레코드는 복호화된 다음 로그 대상에 지정된 KMS 키로 다시 암호화됩니다.

이벤트 버스 로그 암호화 컨텍스트

암호화 컨텍스트는 보안되지 않은 임의의 데이터를 포함하는 키-값 페어 세트입니다. 데이터 암호화 요청에 암호화 컨텍스트를 포함하는 경우 AWS KMS 는 암호화된 데이터에 암호화 컨텍스트를 암호 방식으로 바인딩합니다. 따라서 동일한 암호화 컨텍스트로 전달해야 이 데이터를 해독할 수 있습니다.

정책 및 권한 부여에서 암호화 컨텍스트를 권한 부여 조건으로 사용할 수도 있습니다.

고객 관리형 키를 사용하여 EventBridge 리소스를 보호하는 경우 암호화 컨텍스트를 사용하여 감사 레코드 및 로그 KMS key 에서의 사용을 식별할 수 있습니다. 또한 AWS CloudTrailAmazon CloudWatch Logs 같은 로그에서 일반 텍스트에 나타나기도 합니다.

이벤트 버스 로그의 경우 모든 암호화 작업에서 동일한 AWS KMS 암호화 컨텍스트를 EventBridge 사용합니다.

"encryptionContext": {
    "kms:EncryptionContext:SourceArn": "arn:partition:logs:region:account:*"
}

AWS KMS 이벤트 버스 로깅에 대한 키 정책 권한

고객 관리형 키를 사용하는 이벤트 버스의 경우 키 정책에 다음 권한을 추가해야 합니다.

  • EventBridge가 고객 관리형 키를 사용하여 로그를 암호화하도록 허용합니다.

    {
  "Sid": "Enable log service encryption",
  "Effect": "Allow",
  "Principal": {
    "Service": "events.amazonaws.com"  
  },
  "Action": [
    "kms:GenerateDataKey"
  ],
  "Resource": "*",
  "Condition": {
    "StringLike": {
      "kms:EncryptionContext:SourceArn": "arn:partition:logs:region:account:*"
    }
  }
}

  • 로깅 서비스가 EventBridge에서 전송한 로그를 복호화하도록 허용합니다.

    {
  "Sid": "Enable log delivery decryption",
  "Effect": "Allow",
  "Principal": {
    "Service": "delivery.logs.amazonaws.com"
  },
  "Action": [
    "kms:Decrypt",
    "kms:GenerateDataKey"
  ],
  "Resource": "*",
  "Condition": {
    "StringLike": {
      "kms:EncryptionContext:SourceArn": "arn:partition:logs:region:account:*"
    }
  }
}