기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# AWS KMS 키를 사용하여 EventBridge 연결 권한 부여 암호화
연결을 생성하거나 업데이트할 때 해당 연결에 대한 권한 부여 파라미터를 지정할 수 있습니다. 그런 다음 EventBridge는 이러한 파라미터를 AWS Secrets Manager의 보안 암호에 안전하게 저장합니다. 기본적으로 EventBridge는 AWS 소유 키 를 사용하여이 보안 암호를 암호화하고 해독합니다. EventBridge에서 고객 관리형 키를 대신 사용하도록 지정할 수 있습니다.
## AWS KMS 연결에 대한 키 정책
AWS KMS 키 정책은 사용자를 대신하여 EventBridge에 다음 권한을 부여해야 합니다.
+ `kms:DescribeKey`
+ `kms:GenerateDataKey`
+ `kms:Decrypt`
다음 정책 예제에서는 모든 AWS KMS 권한을 부여합니다.
------
#### [ JSON ]
****
```
{
"Id": "key-policy-example",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Enable IAM User Permissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::012345678901:root"
},
"Action": "kms:*",
"Resource": "*"
}
]
}
```
------
EventBridge가 고객 관리형 키를 사용하려면 키가 `EventBridgeApiDestinations`이고 값이 `true`인 키에 리소스 태그를 추가해야 합니다. 리소스 태그에 대한 자세한 내용은 *AWS Key Management Service 개발자 안내서*의 [KMS 키에 태그 추가](https://docs.aws.amazon.com/kms/latest/developerguide/add-tags.html)를 참조하세요.
보안 모범 사례로, EventBridge가 지정된 리소스 또는 계정에 대해서만 KMS 키를 사용하도록 하려면 키 정책에 조건 키를 포함하는 것이 좋습니다. 자세한 내용은 [보안 고려 사항](eb-encryption-key-policy.md#eb-encryption-event-bus-confused-deputy) 단원을 참조하십시오.
```
"Condition": {
"StringLike": {
"kms:ViaService": "secretsmanager.*.amazonaws.com",
"kms:EncryptionContext:SecretARN": [
"arn:aws:secretsmanager:*:*:secret:events!connection/*"
]
},
"StringEquals": {
"kms:ResourceTag/EventBridgeApiDestinations": "true"
}
}
```
## 연결 암호화 컨텍스트
[암호화 컨텍스트](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#encrypt_context)는 보안되지 않은 임의의 데이터를 포함하는 키-값 페어 세트입니다. 데이터 암호화 요청에 암호화 컨텍스트를 포함하는 경우 AWS KMS 는 암호화된 데이터에 암호화 컨텍스트를 암호 방식으로 바인딩합니다. 따라서 동일한 암호화 컨텍스트로 전달해야 이 데이터를 해독할 수 있습니다.
정책 및 권한 부여에서 암호화 컨텍스트를 권한 부여 조건으로 사용할 수도 있습니다.
고객 관리형 키를 사용하여 EventBridge 리소스를 보호하는 경우 암호화 컨텍스트를 사용하여 감사 레코드 및 로그 KMS key 에서의 사용을 식별할 수 있습니다. 또한 [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) 및 [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) 같은 로그에서 일반 텍스트에 나타나기도 합니다.
연결의 경우 EventBridge는 모든 암호화 작업에서 동일한 AWS KMS 암호화 컨텍스트를 사용합니다. 컨텍스트에는 보안 암호 ARN을 포함하는 단일 키-값 페어가 포함됩니다.
```
"encryptionContext": {
"kms:EncryptionContext:SecretARN": "secret-arn"
}
```
## 연결에 교차 계정 또는 교차 리전 고객 관리형 키 사용
다른 AWS 계정의 사용자 또는 역할이 계정의 KMS 키를 사용하도록 허용할 수 있습니다. 교차 계정 액세스에는 KMS 키의 키 정책과 외부 사용자 계정의 IAM 정책에 대한 권한이 필요합니다.
다른 계정의 고객 관리형 키를 사용하려면 고객 관리형 키가 있는 계정에 다음 정책이 포함되어야 합니다.
```
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::account:role/AmazonEventBridgeApiDestinationsInternalServiceRolePolicy"
},
"Action": [
"kms:Decrypt",
"kms:DescribeKey"
],
"Resource": "*"
}
```
자세한 내용은 *AWS Key Management Service 개발자 가이드*의 [다른 계정의 사용자가 CMK를 사용하도록 허용](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying-external-accounts.html)을 참조하세요.
## 연결에 대한 고객 관리형 키 액세스 취소
키를 비활성화, 삭제 또는 교체하거나 키 정책을 업데이트하여 고객 관리형 키를 취소하는 경우 EventBridge가 키 값을 캐시했을 수 있으므로 키가 단기간 동안 연결의 보안 암호에 대한 액세스를 유지할 수 있습니다.
연결의 보안 암호에 대한 고객 관리형 키 액세스를 즉시 취소하려면 연결을 승인 취소하거나 삭제합니다. 자세한 내용은 [연결 권한 부여 취소하기](eb-target-connection-deauthorize.md) 및 [연결 삭제](eb-target-connection-delete.md) 섹션을 참조하세요.
## 고객 관리형 키 오류로 인한 연결 권한 부여 취소
EventBridge는 연결의 보안 암호를 암호화하거나 해독하려고 할 때 다음 오류가 발생하면 연결의 권한을 취소합니다.
+ 고객 관리형 키가 삭제되었습니다.
+ 고객 관리형 키가 비활성화되었습니다.
+ 연결에는 고객 관리형 키에 액세스하는 데 필요한 권한이 없습니다.
자세한 내용은 [연결 권한 부여 취소하기](eb-target-connection-deauthorize.md) 단원을 참조하십시오.
# 연결 시 암호화 구성
연결을 생성하거나 업데이트할 때 EventBridge에서 사용할 KMS 키를 지정할 수 있습니다.
## 연결을 생성할 때 AWS KMS 키 지정
연결을 생성할 때 암호화에 사용되는 AWS KMS 키를 선택하는 것은 선택 사항입니다. 기본적으로 EventBridge는를 사용합니다 AWS 소유 키.
**연결을 생성할 때 암호화를 위한 고객 관리형 키를 지정하려면(콘솔)**
+ 다음 지침들을 따릅니다.
[연결 생성](eb-target-connection-create.md).
**연결을 생성할 때 암호화를 위한 고객 관리형 키를 지정하려면(CLI)**
+ 를 호출할 때 `kms-key-identifier` 옵션을 `[create-connection](https://docs.aws.amazon.com/cli/latest/reference/events/create-connection.html)`사용하여 연결 보안 암호 암호화에 EventBridge 사용할의 고객 관리형 키를 지정합니다.
## 연결 AWS KMS 키 업데이트
기존 연결에서 암호화에 사용되는 KMS 키를 업데이트할 수 있습니다. 여기에는 다음이 포함됩니다.
+ 를 기본 키에서 고객 관리형 키 AWS 소유 키 로 변경합니다.
+ 고객 관리형 키에서 기본값으로 변경 AWS 소유 키
+ 한 고객 관리형 키에서 다른 고객 관리형 키로 변경합니다.
다른 KMS 키를 사용하도록 연결을 업데이트하면 EventBridge는 연결의 보안 암호를 복호화한 다음, 새 키를 사용하여 암호화합니다. 지정한 KMS 키에 필요한 권한이 있는지 확인합니다. 자세한 내용은 [연결 키 정책](encryption-connections.md#encryption-connections-key-policy) 단원을 참조하십시오.
**연결에서 암호화에 사용되는 KMS 키 업데이트(콘솔)**
1. Amazon EventBridge 콘솔([https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/))을 엽니다.
1. 탐색 창에서 **통합**을 선택한 다음 **연결**을 선택합니다.
1. 업데이트할 연결을 선택합니다.
1. 연결 세부 정보 페이지의 **암호화**에서 연결의 보안 암호를 암호화할 때 사용할 EventBridge의 KMS 키를 선택합니다.
+ EventBridge에 **사용을 AWS 소유 키** 선택하여를 사용하여 보안 암호를 암호화합니다 AWS 소유 키.
이는 EventBridge가 여러 AWS 계정에서 사용하기 위해 소유하고 관리하는 KMS 키 AWS 소유 키 입니다. 일반적으로 리소스를 보호하는 암호화 키를 감사하거나 제어해야 하는 경우가 아니면 AWS 소유 키 를 선택하는 것이 좋습니다.
기본값입니다.
+ EventBridge에 대해 **다른 AWS KMS 키(고급) 선택을** 선택하여 지정하거나 생성하는 고객 관리형 키를 사용하여 보안 암호를 암호화합니다.
고객 관리형 키는 사용자가 생성, 소유 및 관리하는 AWS 계정의 KMS 키입니다. 이러한 KMS keys는 사용자가 완전히 제어할 수 있습니다.
1. 기존 고객 관리형 키를 지정하거나 **새로 생성을 KMS key** 선택합니다.
지정한 KMS 키에 필요한 권한이 있는지 확인합니다. 자세한 내용은 [연결 키 정책](encryption-connections.md#encryption-connections-key-policy) 단원을 참조하십시오.
EventBridge는 키 상태뿐만 아니라, 지정된 고객 관리형 키와 연결된 모든 키 별칭도 표시합니다.
**연결에서 암호화에 사용되는 KMS 키 업데이트(CLI)**
+ `[update-connection](https://docs.aws.amazon.com/cli/latest/reference/events/update-connection.html)`를 직접 호출할 때 `kms-key-identifier` 옵션을 사용하여 연결 보안 암호를 암호화하는 데 사용할 EventBridge의 고객 관리형 키를 지정합니다.