As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Criptografando dados do EventBridge Pipes com chaves AWS KMS
<a name="eb-encryption-pipes-cmkey"></a>

Você pode especificar o EventBridge uso de uma chave gerenciada pelo cliente para criptografar dados de canais armazenados em repouso, em vez de usar uma chave Chave pertencente à AWS como é o padrão. Você pode especificar uma chave gerenciada pelo cliente ao criar ou atualizar um pipe. Para obter mais informações sobre tipos de chaves, consulte [Opções de chave KMS](eb-encryption-at-rest-key-options.md).

Os dados do pipe EventBridge criptografados em repouso incluem:
+ [Padrões de eventos](eb-event-patterns.md)
+ [Transformadores de entrada](eb-pipes-input-transformation.md)

Os eventos que fluem por um pipe nunca são armazenados em repouso.

## EventBridge Contexto de criptografia de canais
<a name="eb-encryption-at-rest-context-pipes"></a>

Um [contexto de criptografia](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#encrypt_context) é um conjunto de pares de chave-valor que contêm dados arbitrários não secretos. Quando você inclui um contexto de criptografia em uma solicitação para criptografar dados, o AWS KMS vincula de forma criptográfica o contexto de criptografia aos dados criptografados. Para descriptografar os dados, é necessário passar o mesmo contexto de criptografia.

Você também pode usar o contexto de criptografia como uma condição para autorização em políticas e concessões.

Se você usar uma chave gerenciada pelo cliente para proteger seus EventBridge recursos, poderá usar o contexto de criptografia para identificar o uso da chave KMS key nos registros e registros de auditoria. Ele também é exibido em texto simples em logs, como [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) e [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html).

Para EventBridge Pipes, EventBridge usa o mesmo contexto de criptografia em todas as operações AWS KMS criptográficas. O contexto inclui um único par de chave-valor, que contém o ARN do pipe. 

```
"encryptionContext": {
    "kms:EncryptionContext:aws:pipes:arn": "pipe-arn"
}
```

Para registros vendidos, EventBridge usa o seguinte contexto de criptografia.

```
"encryptionContext": {
    "kms:EncryptionContext:SourceArn": "arn:partition:logs:region:account:*"
}
```

## AWS KMS política chave para EventBridge Pipes
<a name="eb-encryption-key-policy-pipe"></a>

A seguinte política de chave de exemplo fornece as permissões necessárias para um pipe:
+ `kms:DescribeKey`
+ `kms:GenerateDataKey`
+ `kms:Decrypt`

Como prática recomendada de segurança, recomendamos que você inclua chaves de condição na política de chaves para ajudar a garantir que a AWS KMS chave seja EventBridge usada somente para o recurso ou conta especificado. Para obter mais informações, consulte [Considerações sobre segurança](eb-encryption-key-policy.md#eb-encryption-event-bus-confused-deputy).

------
#### [ JSON ]

****  

```
{
  "Id": "CMKKeyPolicy",
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
      "AWS": "arn:aws:iam::123456789012:role/pipe-execution-role"
      },
      "Action": [
        "kms:DescribeKey"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Principal": {
      "AWS": "arn:aws:iam::123456789012:role/pipe-execution-rolee"
      },
      "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt"
      ],
      "Resource": "*",
      "Condition": {
        "ArnLike": {
        "kms:EncryptionContext:aws:pipe:arn": "arn:aws:pipes:us-east-1:123456789012:pipe/pipe-name"
        },
        "ForAnyValue:StringEquals": {
          "kms:EncryptionContextKeys": [
            "aws:pipe:arn"
          ]
        }
      }
    }
  ]
}
```

------

### Permissões para logs de pipes que incluem dados de execução
<a name="eb-encryption-key-policy-pipe-logs"></a>

Se você configurou o registro em log dos pipes para incluir dados de execução, a política de chave deverá incluir as seguintes permissões para o serviço de registro em log:
+ `kms:Decrypt`
+ `kms:GenerateDataKey`

Para obter mais informações, consulte [Incluindo dados de execução nos registros do EventBridge Pipes](eb-pipes-logs.md#eb-pipes-logs-execution-data).

A seguinte política de chave de exemplo fornece as permissões necessárias para registros de pipes em log:

```
{
  "Sid": "Enable log service encryption",
  "Effect": "Allow",
  "Principal": {
    "Service": "delivery.logs.amazonaws.com"
  },
  "Action": [
    "kms:Decrypt",
    "kms:GenerateDataKey"
  ],
  "Resource": "*",
  "Condition": {
    "StringLike": {
      "kms:EncryptionContext:SourceArn": "arn:partition:logs:region:account:*"
    }
  }
}
```

Além disso, a permissão `kms:GenerateDataKey` é necessária no perfil de execução do pipe.

```
{
  "Sid": "Enable log service encryption",
  "Effect": "Allow",
  "Principal": {
    "AWS": "arn:aws:iam::account:role/pipe-execution-role"
  },
  "Action": [
    "kms:GenerateDataKey"
  ],
  "Resource": "*",
  "Condition": {
    "StringLike": {
      "kms:EncryptionContext:SourceArn": "arn:partition:logs:region:account:*"
    }
  }
}
```

O perfil de execução do pipe também deve incluir:

```
"Action": [
    "kms:GenerateDataKey"
  ],
  "Resource": "key-arn",
  "Condition": {
    "StringLike": {
      "kms:EncryptionContext:SourceArn": "arn:partition:logs:region:account:*"
    }
  }
```