As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Criptografando EventBridge arquivos com chaves AWS KMS
Você pode especificar que EventBridge o uso de chave gerenciada pelo cliente a para criptografar eventos armazenados em um arquivo, em vez de usar um Chave pertencente à AWS as é o padrão. Você pode especificar um chave gerenciada pelo cliente ao criar ou atualizar um arquivo. Para obter mais informações sobre tipos de chaves, consulte [Opções de chave KMS](eb-encryption-at-rest-key-options.md).
Isso inclui:
+ Eventos armazenados no arquivo
+ O padrão de eventos, se houver, especificado para filtrar os eventos enviados ao arquivo
Isso não inclui metadados de arquivamento, como o tamanho do arquivamento ou o número de eventos que ele contém.
Se você especificar uma chave gerenciada pelo cliente para um arquivamento, EventBridge criptografa os eventos antes de enviá-los para o arquivamento, garantindo a criptografia em trânsito e em repouso.
## Contexto de criptografia do arquivamento
Um [contexto de criptografia](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#encrypt_context) é um conjunto de pares de chave-valor que contêm dados arbitrários não secretos. Quando você inclui um contexto de criptografia em uma solicitação para criptografar dados, o AWS KMS vincula de forma criptográfica o contexto de criptografia aos dados criptografados. Para descriptografar os dados, é necessário passar o mesmo contexto de criptografia.
Você também pode usar o contexto de criptografia como uma condição para autorização em políticas e concessões.
Se você usar uma chave gerenciada pelo cliente para proteger seus EventBridge recursos, poderá usar o contexto de criptografia para identificar o uso da chave KMS key nos registros e registros de auditoria. Ele também é exibido em texto simples em logs, como [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) e [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html).
Para arquivos de eventos, EventBridge usa o mesmo contexto de criptografia em todas as operações AWS KMS criptográficas. O contexto inclui um único par de chave-valor, que contém o ARN do barramento de eventos.
```
"encryptionContext": {
"kms:EncryptionContext:aws:events:event-bus:arn": "event-bus-arn"
}
```
## AWS KMS política fundamental para arquivos
A seguinte política de chave de exemplo fornece as permissões necessárias para um arquivamento de eventos:
+ `kms:DescribeKey`
+ `kms:GenerateDataKey`
+ `kms:Decrypt`
+ `kms:ReEncrypt`
Como prática recomendada de segurança, recomendamos que você inclua chaves de condição na política de chaves para ajudar a garantir que a chave KMS seja EventBridge usada somente para o recurso ou conta especificado. Para obter mais informações, consulte [Considerações sobre segurança](eb-encryption-key-policy.md#eb-encryption-event-bus-confused-deputy).
------
#### [ JSON ]
****
```
{
"Id": "CMKKeyPolicy",
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "events.amazonaws.com"
},
"Action": [
"kms:DescribeKey"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Principal": {
"Service": "events.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt",
"kms:ReEncrypt*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:aws:events:event-bus:arn": "arn:aws:events:us-east-1:123456789012:event-bus/event-bus-arn"
}
}
}
]
}
```
------