As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Criptografando EventBridge barramentos de eventos com chaves AWS KMS
<a name="eb-encryption-event-bus-cmkey"></a>

Você pode especificar que EventBridge use um AWS KMS para criptografar seus dados armazenados em um barramento de eventos, em vez de usar um Chave pertencente à AWS as é o padrão. Você pode especificar uma chave gerenciada pelo cliente ao criar ou atualizar um barramento de eventos. Você também pode atualizar o barramento de eventos padrão para usar uma chave gerenciada pelo cliente para criptografia. Para obter mais informações, consulte [Opções de chave KMS](eb-encryption-at-rest-key-options.md).

 Quando você especifica uma chave gerenciada pelo cliente para um barramento de eventos, EventBridge usa essa chave para criptografar o seguinte: 
+ Eventos [personalizados](eb-putevents.md) e de [parceiros](eb-saas.md) armazenados no barramento de eventos.

  Os eventos do AWS serviço são criptografados usando um Chave pertencente à AWS.

  EventBridge não criptografa os metadados do evento. Para obter mais informações sobre metadados de eventos, consulte [Metadados de eventos de serviços da AWS](https://docs.aws.amazon.com/eventbridge/latest/ref/events-structure.html) na *Referência de eventos*.
+ Para cada [regra](eb-rules.md) no barramento:
  + O [padrão de eventos](eb-event-patterns.md) da regra.
  + Informações de [destino](eb-targets.md), inclusive entrada de destino, [transformadores de entrada](eb-transform-target-input.md) e [parâmetros de configuração](eb-create-rule-wizard.md#eb-create-rule-target).
+ Para [registro em log do barramento de eventos](eb-event-bus-logs.md), as seções `error` e `detail` dos registros de log.

Se você especificar uma chave gerenciada pelo cliente para um barramento de eventos, terá a opção de especificar uma fila de mensagens mortas (DLQ) para o barramento de eventos. EventBridge em seguida, entrega quaisquer eventos personalizados ou de parceiros que gerem erros de criptografia ou decodificação para essa DLQ. Para obter mais informações, consulte [DLQs para eventos criptografados](eb-encryption-event-bus-dlq.md).

**nota**  
É altamente recomendável especificar uma DLQ para barramentos de eventos, para garantir que os eventos sejam preservados caso ocorram erros de criptografia ou descriptografia.

Você também pode especificar o uso de chaves gerenciadas pelo cliente para criptografar arquivamentos do barramento de eventos. Para obter mais informações, consulte [Criptografia de arquivamentos](encryption-archives.md).

**nota**  
A descoberta de esquemas não é compatível com barramentos de eventos criptografados que usem uma chave gerenciada pelo cliente. Para habilitar a descoberta de esquemas em um barramento de eventos, opte por usar uma Chave pertencente à AWS. Para obter mais informações, consulte [Opções de chave KMS](eb-encryption-at-rest-key-options.md).

## Contexto de criptografia do barramento de eventos
<a name="eb-encryption-at-rest-context-bus"></a>

Um [contexto de criptografia](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#encrypt_context) é um conjunto de pares de chave-valor que contêm dados arbitrários não secretos. Quando você inclui um contexto de criptografia em uma solicitação para criptografar dados, o AWS KMS vincula de forma criptográfica o contexto de criptografia aos dados criptografados. Para descriptografar os dados, é necessário passar o mesmo contexto de criptografia.

Você também pode usar o contexto de criptografia como uma condição para autorização em políticas e concessões.

Se você usar uma chave gerenciada pelo cliente para proteger seus EventBridge recursos, poderá usar o contexto de criptografia para identificar o uso da chave KMS key nos registros e registros de auditoria. Ele também é exibido em texto simples em logs, como [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) e [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html).

Para barramentos de eventos, EventBridge usa o mesmo contexto de criptografia em todas as operações AWS KMS criptográficas. O contexto inclui um único par de chave-valor, que contém o ARN do barramento de eventos. 

```
"encryptionContext": {
    "kms:EncryptionContext:aws:events:event-bus:arn": "event-bus-arn"
}
```

## AWS KMS política chave para ônibus de eventos
<a name="eb-encryption-key-policy-bus"></a>

A seguinte política de chave de exemplo fornece as permissões necessárias para um barramento de eventos:
+ `kms:DescribeKey`
+ `kms:GenerateDataKey`
+ `kms:Decrypt`

Como prática recomendada de segurança, recomendamos que você inclua chaves de condição na política de chaves para ajudar a garantir que a chave KMS seja EventBridge usada somente para o recurso ou conta especificado. Para obter mais informações, consulte [Considerações sobre segurança](eb-encryption-key-policy.md#eb-encryption-event-bus-confused-deputy).

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowEventBridgeToValidateKeyPermission",
      "Effect": "Allow",
      "Principal": {
      "Service": "events.amazonaws.com"
       },
      "Action": [
        "kms:DescribeKey"
        ],
      "Resource": "*"
    },
  {
    "Sid": "AllowEventBridgeToEncryptEvents",
    "Effect": "Allow",
    "Principal": {
      "Service": "events.amazonaws.com"
    },
    "Action": [
      "kms:GenerateDataKey",
      "kms:Decrypt"
    ],
    "Resource": "*",
    "Condition": {
      "StringEquals": {
          "kms:EncryptionContext:aws:events:event-bus:arn": "arn:aws:events:us-east-1:123456789012:event-bus/event-bus-arn",
          "aws:SourceArn": "arn:aws:events:us-east-1:123456789012:event-bus/event-bus-name"
        }
      } 
    }
  ] }
```

------

## AWS KMS principais permissões para ações de ônibus de eventos
<a name="eb-encryption-key-permissions-bus"></a>

Para criar ou atualizar um barramento de eventos criptografado usando uma chave gerenciada pelo cliente, você deve ter as seguintes permissões para a chave gerenciada pelo cliente especificada:
+ `kms:GenerateDataKeyWithoutPlaintext`
+ `kms:Decrypt`
+ `kms:Encrypt`
+ `kms:ReEncryptFrom`
+ `kms:ReEncryptTo`
+ `kms:DescribeKey`

Além disso, para realizar determinadas ações do barramento de eventos em um barramento de eventos criptografado usando uma chave gerenciada pelo cliente, você deve ter a permissão `kms:Decrypt` para a chave gerenciada pelo cliente especificada. Entre essas ações estão:
+ `[DescribeRule](https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_DescribeRule.html)`
+ `[DisableRule](https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_DisableRule.html)`
+ `[EnableRule](https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_EnableRule.html)`
+ `[ListRules](https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_ListRules.html)`
+ `[ListTargetsByRule](https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_ListTargetsByRule.html)`
+ `[PutRule](https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutRule.html)`
+ `[ListRuleNamesByTarget](https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_ListRuleNamesByTarget.html)`
+ `[PutTargets](https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutTargets.html)`