Contexto de criptografia dos logs Permissões de arquivo de log

Criptografia dos logs do barramento de eventos com AWS KMS no EventBridge

Ao enviar logs, o EventBridge criptografa as seções error e detail e de cada registro de log com a chave KMS especificada para o barramento de eventos. Se você tiver especificado uma chave gerenciada pelo cliente para o barramento de eventos, o EventBridge usará essa chave para criptografia em trânsito. Depois de entregue, o registro será descriptografado e, em seguida, recriptografado com a chave KMS especificada para o destino do log.

Contexto de criptografia dos logs do barramento de eventos

Um contexto de criptografia é um conjunto de pares de chave-valor que contêm dados arbitrários não secretos. Quando você inclui um contexto de criptografia em uma solicitação para criptografar dados, o AWS KMS vincula de forma criptográfica o contexto de criptografia aos dados criptografados. Para descriptografar os dados, você deve passar o mesmo contexto de criptografia.

Você também pode usar o contexto de criptografia como uma condição para autorização em políticas e concessões.

Se você usar uma chave gerenciada pelo cliente para proteger seus recursos do EventBridge, poderá usar o contexto de criptografia para identificar o uso da KMS key em registros e logs de auditoria. Ele também é exibido em texto simples em logs, como AWS CloudTrail e Amazon CloudWatch Logs.

Para logs do barramento de eventos, o EventBridge usa o mesmo contexto de criptografia em todas as operações criptográficas do AWS KMS.


"encryptionContext": {
    "kms:EncryptionContext:SourceArn": "arn:partition:logs:region:account:*"
}

Permissões da política de chave do AWS KMS para registro em log do barramento de eventos

Para barramentos de eventos que usam uma chave gerenciada pelo cliente, você deve adicionar as permissões a seguir à política de chave.

Permita que o EventBridge criptografe logs usando a chave gerenciada pelo cliente.


{
  "Sid": "Enable log service encryption",
  "Effect": "Allow",
  "Principal": {
    "Service": "events.amazonaws.com"  
  },
  "Action": [
    "kms:GenerateDataKey"
  ],
  "Resource": "*",
  "Condition": {
    "StringLike": {
      "kms:EncryptionContext:SourceArn": "arn:partition:logs:region:account:*"
    }
  }
}

Permita que o serviço de registro em log descriptografe logs enviados pelo EventBridge.


{
  "Sid": "Enable log delivery decryption",
  "Effect": "Allow",
  "Principal": {
    "Service": "delivery.logs.amazonaws.com"
  },
  "Action": [
    "kms:Decrypt",
    "kms:GenerateDataKey"
  ],
  "Resource": "*",
  "Condition": {
    "StringLike": {
      "kms:EncryptionContext:SourceArn": "arn:partition:logs:region:account:*"
    }
  }
}

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Criptografia para regras gerenciadas

DLQs para eventos criptografados