Criptografia de arquivamentos do EventBridge com chaves AWS KMS - Amazon EventBridge
Contexto de criptografiaPolítica de chave do arquivamento

Criptografia de arquivamentos do EventBridge com chaves AWS KMS

Você pode especificar que o EventBridge use uma chave gerenciada pelo cliente para criptografar eventos armazenados em um arquivamento, em vez de usar uma Chave pertencente à AWS como é o padrão. Você pode especificar uma chave gerenciada pelo cliente ao criar ou atualizar um arquivamento. Para obter mais informações sobre tipos de chaves, consulte Opções de chave KMS.

Isso inclui:

  • Eventos armazenados no arquivo

  • O padrão de eventos, se houver, especificado para filtrar os eventos enviados ao arquivo

Isso não inclui metadados de arquivamento, como o tamanho do arquivamento ou o número de eventos que ele contém.

Se você especificar uma chave gerenciada pelo cliente para um arquivamento, o EventBridge criptografará eventos antes de enviá-los ao arquivamento, garantindo a criptografia em trânsito e em repouso.

Contexto de criptografia do arquivamento

Um contexto de criptografia é um conjunto de pares de chave-valor que contêm dados arbitrários não secretos. Quando você inclui um contexto de criptografia em uma solicitação para criptografar dados, o AWS KMS vincula de forma criptográfica o contexto de criptografia aos dados criptografados. Para descriptografar os dados, você deve passar o mesmo contexto de criptografia.

Você também pode usar o contexto de criptografia como uma condição para autorização em políticas e concessões.

Se você usar uma chave gerenciada pelo cliente para proteger seus recursos do EventBridge, poderá usar o contexto de criptografia para identificar o uso da KMS key em registros e logs de auditoria. Ele também é exibido em texto simples em logs, como AWS CloudTrail e Amazon CloudWatch Logs.

Para arquivamentos de evento, o EventBridge usa o mesmo contexto de criptografia em todas as operações criptográficas do AWS KMS. O contexto inclui um único par de chave-valor, que contém o ARN do arquivamento. 

"encryptionContext": {
    "kms:EncryptionContext:aws:events:event-bus:arn": "event-bus-arn"
}

Política de chave AWS KMS para arquivamentos

A seguinte política de chave de exemplo fornece as permissões necessárias para um arquivamento de eventos:

  • kms:DescribeKey

  • kms:GenerateDataKey

  • kms:Decrypt

  • kms:ReEncrypt

Como melhor prática de segurança, é recomendável incluir chaves de condição na política de chave para ajudar a garantir que o EventBridge só use a chave KMS para a conta ou o recurso especificado. Para obter mais informações, consulte Considerações sobre segurança.

JSON
{
  "Id": "CMKKeyPolicy",
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "events.amazonaws.com"
      },
      "Action": [
        "kms:DescribeKey"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "events.amazonaws.com"
      },
      "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt",
        "kms:ReEncrypt*"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
         "kms:EncryptionContext:aws:events:event-bus:arn": "arn:aws:events:region:account-id:event-bus/event-bus-arn"
        }
      }
    }
  ]
}