Contexto de criptografia do barramento de eventos Política de chave do barramento de eventos AWS KMS principais permissões para ações de ônibus de eventos

Criptografando EventBridge barramentos de eventos com chaves AWS KMS

Você pode especificar que EventBridge use um AWS KMS para criptografar seus dados armazenados em um barramento de eventos, em vez de usar um Chave pertencente à AWS as é o padrão. Você pode especificar uma chave gerenciada pelo cliente ao criar ou atualizar um barramento de eventos. Você também pode atualizar o barramento de eventos padrão para usar também uma chave gerenciada pelo cliente para criptografia. Para obter mais informações, consulte Opções de chave KMS.

Quando você especifica uma chave gerenciada pelo cliente para um barramento de eventos, EventBridge usa essa chave para criptografar o seguinte:

Eventos personalizados e de parceiros armazenados no ônibus do evento.

Os eventos do AWS serviço são criptografados usando um Chave pertencente à AWS.

EventBridge não criptografa os metadados do evento. Para obter mais informações sobre metadados de eventos, consulte metadados AWS de eventos de serviço na Referência de eventos.
Para cada regra no ônibus:
- O padrão de eventos da regra.
- Informações de destino, incluindo entrada de destino, transformadores de entrada e parâmetros de configuração.
Se o registro do barramento de eventos estiver ativado, as error seções detail e dos registros de registro.

Se você especificar uma chave gerenciada pelo cliente para um barramento de eventos, terá a opção de especificar uma fila de mensagens mortas (DLQ) para o barramento de eventos. EventBridge em seguida, entrega quaisquer eventos personalizados ou de parceiros que gerem erros de criptografia ou decodificação para essa DLQ. Para obter mais informações, consulte DLQs para eventos criptografados.

nota

É altamente recomendável especificar uma DLQ para barramentos de eventos, para garantir que os eventos sejam preservados caso ocorram erros de criptografia ou descriptografia.

Você também pode especificar o uso de chaves gerenciadas pelo cliente para criptografar os arquivos do barramento de eventos. Para obter mais informações, consulte Criptografando arquivos.

nota

A descoberta de esquemas não é compatível com barramentos de eventos criptografados usando uma chave gerenciada pelo cliente. Para habilitar a descoberta de esquemas em um barramento de eventos, escolha usar um Chave pertencente à AWS. Para obter mais informações, consulte Opções de chave KMS.

Contexto de criptografia do barramento de eventos

Um contexto de criptografia é um conjunto de pares de chave-valor que contêm dados arbitrários não secretos. Quando você inclui um contexto de criptografia em uma solicitação para criptografar dados, o AWS KMS vincula de forma criptográfica o contexto de criptografia aos dados criptografados. Para descriptografar os dados, você deve passar o mesmo contexto de criptografia.

Você também pode usar o contexto de criptografia como uma condição para autorização em políticas e concessões.

Se você usar uma chave gerenciada pelo cliente para proteger seus EventBridge recursos, poderá usar o contexto de criptografia para identificar o uso da chave KMS key nos registros e registros de auditoria. Ele também é exibido em texto simples em logs, como AWS CloudTrail e Amazon CloudWatch Logs.

Para barramentos de eventos, EventBridge usa o mesmo contexto de criptografia em todas as operações AWS KMS criptográficas. O contexto inclui um único par de chave-valor, que contém o ARN do barramento de eventos.


"encryptionContext": {
    "kms:EncryptionContext:aws:events:event-bus:arn": "event-bus-arn"
}

AWS KMS política chave para ônibus de eventos

A seguinte política de chave de exemplo fornece as permissões necessárias para um barramento de eventos:

kms:DescribeKey
kms:GenerateDataKey
kms:Decrypt

Como prática recomendada de segurança, recomendamos que você inclua chaves de condição na política de chaves para ajudar a garantir que a chave KMS seja EventBridge usada somente para o recurso ou conta especificado. Para obter mais informações, consulte Considerações sobre segurança.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowEventBridgeToValidateKeyPermission",
      "Effect": "Allow",
      "Principal": {
      "Service": "events.amazonaws.com"
       },
      "Action": [
        "kms:DescribeKey"
        ],
      "Resource": "*"
    },
  {
    "Sid": "AllowEventBridgeToEncryptEvents",
    "Effect": "Allow",
    "Principal": {
      "Service": "events.amazonaws.com"
    },
    "Action": [
      "kms:GenerateDataKey",
      "kms:Decrypt"
    ],
    "Resource": "*",
    "Condition": {
      "StringEquals": {
          "kms:EncryptionContext:aws:events:event-bus:arn": "arn:aws:events:us-east-1:123456789012:event-bus/event-bus-arn",
          "aws:SourceArn": "arn:aws:events:us-east-1:123456789012:event-bus/event-bus-name"
        }
      } 
    }
  ] }

AWS KMS principais permissões para ações de ônibus de eventos

Para criar ou atualizar um barramento de eventos criptografado usando uma chave gerenciada pelo cliente, você deve ter as seguintes permissões para a chave gerenciada pelo cliente especificada:

kms:GenerateDataKeyWithoutPlaintext
kms:Decrypt
kms:Encrypt
kms:ReEncryptFrom
kms:ReEncryptTo
kms:DescribeKey

Além disso, para realizar determinadas ações de barramento de eventos em um barramento de eventos criptografado usando uma chave gerenciada pelo cliente, você deve ter kms:Decrypt permissão para a chave gerenciada pelo cliente especificada. Essas ações incluem:

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Manter o acesso à chave

Configurando a criptografia do barramento de eventos