기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# EventBridge AWS KMS 에서를 사용하여 이벤트 버스 로그 암호화
로그를 전송할 때 EventBridge는 이벤트 버스에 지정된 KMS 키로 각 로그 레코드의 `detail` 및 `error` 섹션을 암호화합니다. 이벤트 버스에 대해 고객 관리형 키를 지정한 경우 EventBridge는 전송 중 암호화에 해당 키를 사용합니다. 전송된 레코드는 복호화된 다음 로그 대상에 지정된 KMS 키로 다시 암호화됩니다.
## 이벤트 버스 로그 암호화 컨텍스트
[암호화 컨텍스트](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#encrypt_context)는 보안되지 않은 임의의 데이터를 포함하는 키-값 페어 세트입니다. 데이터 암호화 요청에 암호화 컨텍스트를 포함하는 경우 AWS KMS 는 암호화된 데이터에 암호화 컨텍스트를 암호 방식으로 바인딩합니다. 따라서 동일한 암호화 컨텍스트로 전달해야 이 데이터를 해독할 수 있습니다.
정책 및 권한 부여에서 암호화 컨텍스트를 권한 부여 조건으로 사용할 수도 있습니다.
고객 관리형 키를 사용하여 EventBridge 리소스를 보호하는 경우 암호화 컨텍스트를 사용하여 감사 레코드 및 로그 KMS key 에서의 사용을 식별할 수 있습니다. 또한 [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) 및 [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) 같은 로그에서 일반 텍스트에 나타나기도 합니다.
이벤트 버스 로그의 경우 모든 암호화 작업에서 동일한 AWS KMS 암호화 컨텍스트를 EventBridge 사용합니다.
```
"encryptionContext": {
"kms:EncryptionContext:SourceArn": "arn:{{partition}}:logs:{{region}}:{{account}}:*"
}
```
## AWS KMS 이벤트 버스 로깅에 대한 키 정책 권한
고객 관리형 키를 사용하는 이벤트 버스의 경우 키 정책에 다음 권한을 추가해야 합니다.
+ EventBridge가 고객 관리형 키를 사용하여 로그를 암호화하도록 허용합니다.
```
{
"Sid": "Enable log service encryption",
"Effect": "Allow",
"Principal": {
"Service": "events.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:EncryptionContext:SourceArn": "arn:{{partition}}:logs:{{region}}:{{account}}:*"
}
}
}
```
+ 로깅 서비스가 EventBridge에서 전송한 로그를 복호화하도록 허용합니다.
```
{
"Sid": "Enable log delivery decryption",
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:EncryptionContext:SourceArn": "arn:{{partition}}:logs:{{region}}:{{account}}:*"
}
}
}
```