Autorização do EventBridge para usar uma chave gerenciada pelo cliente

Se você usar uma chave gerenciada pelo cliente na conta para proteger os recursos do EventBridge, as políticas nessa chave KMS deverão conceder ao EventBridge permissão para usá-la em seu nome. Você fornece essas permissões em uma política de chave.

O EventBridge não precisa de autorização adicional para usar a Chave pertencente à AWS padrão para proteger os recursos do EventBridge na conta da AWS.

O EventBridge exige as seguintes permissões para usar chaves gerenciadas pelo cliente:

Segurança durante o uso das chaves gerenciadas pelo cliente para a criptografia do EventBridge

Como prática recomendada de segurança, adicione uma chave de condição aws:SourceArn, aws:sourceAccount ou kms:EncryptionContext:aws:events:event-bus:arn para a política de chave do AWS KMS. A chave de condição global do IAM ajuda a garantir que o EventBridge só use a chave KMS somente para o barramento ou a conta especificada.

O seguinte exemplo demonstra como seguir essa prática recomendada na política do IAM para um barramento de eventos:

{
      "Sid": "Allow the use of key",
      "Effect": "Allow",
      "Principal": {
        "Service": "events.amazonaws.com"
      },
      "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt"
      ],
      "Resource": "*",
      "Condition" : {
        "StringEquals": {
          "aws:SourceAccount": "arn:aws:events:region:account-id",
          "aws:SourceArn": "arn:aws:events:region:account-id:event-bus/event-bus-name",
          "kms:EncryptionContext:aws:events:event-bus:arn": "arn:aws:events:region:account-id:event-bus/event-bus-arn"
        }
      }