Autorizando o uso EventBridge de uma chave gerenciada pelo cliente - Amazon EventBridge
Considerações sobre segurança

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Autorizando o uso EventBridge de uma chave gerenciada pelo cliente

Se você usa uma chave gerenciada pelo cliente em sua conta para proteger seus EventBridge recursos, as políticas dessa chave KMS devem dar EventBridge permissão para usá-la em seu nome. Você fornece essas permissões em uma política de chave.

EventBridge não precisa de autorização adicional para usar o padrão Chave pertencente à AWS para proteger os EventBridge recursos em sua AWS conta.

EventBridge requer as seguintes permissões para usar as chaves gerenciadas pelo cliente:

  • kms:DescribeKey

    EventBridge requer essa permissão para recuperar o ARN da chave KMS para o ID de chave fornecido e para verificar se a chave é simétrica.

  • kms:GenerateDataKey

    EventBridge requer essa permissão para gerar uma chave de dados como chave de criptografia para os dados.

  • kms:Decrypt

    EventBridge requer essa permissão para descriptografar a chave de dados criptografada e armazenada com os dados criptografados.

    EventBridge usa isso para correspondência de padrões de eventos; os usuários nunca têm acesso aos dados.

Segurança ao usar chaves gerenciadas pelo cliente para EventBridge criptografia

Como prática recomendada de segurança, adicione uma aws:SourceArn chave de kms:EncryptionContext:aws:events:event-bus:arn condição ou à política de AWS KMS chaves. aws:sourceAccount A chave de condição global do IAM ajuda a garantir que a chave KMS seja EventBridge usada somente para o barramento ou a conta especificada.

O seguinte exemplo demonstra como seguir essa prática recomendada na política do IAM para um barramento de eventos:

{
      "Sid": "Allow the use of key",
      "Effect": "Allow",
      "Principal": {
        "Service": "events.amazonaws.com"
      },
      "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt"
      ],
      "Resource": "*",
      "Condition" : {
        "StringEquals": {
          "aws:SourceAccount": "arn:aws:events:region:account-id",
          "aws:SourceArn": "arn:aws:events:region:account-id:event-bus/event-bus-name",
          "kms:EncryptionContext:aws:events:event-bus:arn": "arn:aws:events:region:account-id:event-bus/event-bus-arn"
        }
      }