Criptografia em repouso no Agendador do EventBridge - Agendador do Amazon EventBridge
Artefatos de criptografiaGerenciando chaves KMSExemplo de evento do CloudTrail

Criptografia em repouso no Agendador do EventBridge

Esta seção descreve como o Agendador do Amazon EventBridge criptografa e descriptografa seus dados em repouso. Os dados em repouso são dados armazenados no Agendador do EventBridge e nos componentes subjacentes do serviço. O Agendador do EventBridge se integra com o AWS Key Management Service (AWS KMS) para criptografar e descriptografar seus dados usando uma AWS KMS key. O Agendador do EventBridge é compatível com dois tipos de chaves do KMS: Chaves pertencentes à AWS e chaves gerenciadas pelo cliente.

nota

O Agendador do EventBridge só aceita o uso de chaves KMS de criptografia simétrica.

Chaves pertencentes à AWS são chaves do KMS de propriedade de um serviço da AWS e que esse serviço gerencia para uso em várias contas da AWS. Embora os usos das Chaves pertencentes à AWS do Agendador do EventBridge não estejam armazenados em sua conta da AWS, o Agendador do EventBridge os usa para proteger seus dados e recursos. Por padrão, o Agendador do EventBridge criptografa e descriptografa todos os seus dados usando uma chave pertencente à AWS. Você não precisa gerenciar sua Chave pertencente à AWS ou a política de acesso dela. Você não incorre em nenhuma taxa quando o Agendador do EventBridge usa Chaves pertencentes à AWS para proteger seus dados, e o uso delas não conta como parte de suas cotas do AWS KMS em sua conta.

Chaves gerenciadas pelo cliente são chaves do KMS disponíveis na sua conta da AWS que você cria, detém e gerencia. Se seu caso de uso específico exigir que você controle e audite as chaves de criptografia que protegem seus dados no Agendador do EventBridge, você pode usar uma chave gerenciada pelo cliente. Se você escolher uma chave gerenciada pelo cliente, será necessário gerenciar sua política de chave. Chaves gerenciadas pelo cliente geram uma taxa mensal e uma taxa para uso que excede o nível gratuito. Usar uma chave gerenciada pelo cliente também conta como parte da sua cota do AWS KMS. Para obter mais informações sobre a definição de preço, consulte Definição de preço do AWS Key Management Service.

Artefatos de criptografia

A tabela a seguir descreve os diferentes tipos de dados que o Agendador do EventBridge criptografa em repouso e que tipo de chave KMS ele aceita para cada categoria.

Tipo de dados Descrição Chave pertencente à AWS chave gerenciada pelo cliente

Carga útil (até 256 KB)

Os dados que você especifica no parâmetro TargetInput do agendamento ao configurar o agendamento para ser entregue ao destino.

Compatível

Compatível

Identificador e estado

O nome exclusivo e o estado (ativar, desativar) da agenda.

Compatível

Não compatível

Configuração de agendamento.

A expressão de agendamento, como a expressão cron ou rate para agendamentos recorrentes, e o carimbo de data/hora para invocações únicas, bem como a data de início, a data de término e o fuso horário do agendamento.

Compatível

Não compatível

Configurações de destino

O nome do recurso da Amazon (ARN) e outros detalhes de configuração relacionados ao destino.

Compatível

Não compatível

Configuração de invocação e comportamento de falha

Configuração de janela de tempo flexível, a política de repetição do agendamento e os detalhes da fila de mensagens não entregues usados para entregas malsucedidas.

Compatível

Não compatível

O Agendador do EventBridge usa suas chaves gerenciadas pelo cliente somente ao criptografar e descriptografar a carga útil do destino, conforme descrito na tabela anterior. Se você optar por usar uma chave gerenciada pelo cliente, o Agendador do EventBridge criptografa e descriptografa a carga útil duas vezes: uma usando as Chave pertencente à AWS padrão e outra usando a chave gerenciada pelo cliente que você especificar. Para todos os outros tipos de dados, o Agendador do EventBridge usa apenas as Chave pertencente à AWS padrão para proteger seus dados em repouso.

Use a seção de Gerenciando chaves KMS a seguir para saber como você deve gerenciar seus recursos e políticas de chave do IAM para usar uma chave gerenciada pelo cliente com o Agendador do EventBridge.

Gerenciando chaves KMS

Opcionalmente, você pode fornecer uma chave gerenciada pelo cliente para criptografar e descriptografar a carga útil que seu agendamento entrega ao destino. O Agendador do EventBridge criptografa e descriptografa sua carga útil de até 256 KB de dados. Utilizar uma chave gerenciada pelo cliente gera uma taxa mensal e uma taxa que excede o nível gratuito. Usar uma chave gerenciada pelo cliente conta como parte da sua cota do AWS KMS. Para obter mais informações sobre a definição de preço, consulte Definição de preço do AWS Key Management Service.

O Agendador do EventBridge usa permissões do IAM associadas à entidade principal que cria um agendamento para criptografar seus dados. Isso significa que você deve anexar as permissões relacionadas do AWS KMS necessárias ao usuário ou função que chama a API do Agendador do EventBridge. Além disso, o Agendador do EventBridge usa políticas baseadas em recursos para descriptografar seus dados. Isso significa que a função de execução associada ao seu agendamento também deve ter as permissões relacionadas do AWS KMS necessárias para chamar a API do AWS KMS ao descriptografar dados.

nota

O Agendador do EventBridge não aceita o uso de concessões para permissões temporárias.

Use a seção a seguir para saber como você pode gerenciar sua política de chave do AWS KMS e permissões exigidas de IAM para usar uma chave gerenciada pelo cliente no Agendador do EventBridge.

Adicionar permissões do IAM

Para usar uma chave gerenciada pelo cliente, você deve adicionar as seguintes permissões à entidade principal do IAM baseado em identidade que cria um agendamento, bem como à função de execução que você associa ao agendamento:

Permissões baseadas em identidade para chaves gerenciadas pelo cliente

Você deve adicionar as seguintes ações do AWS KMS à política de permissão associada a qualquer entidade principal (usuários, grupos ou funções) que chamar a API do Agendador do EventBridge ao criar uma agenda:

  • kms:DescribeKey: necessário para validar se a chave fornecida é uma chave do KMS de criptografia simétrica.

  • kms:GenerateDataKey – necessário para gerar a chave de dados que o Agendador do EventBridge usa para realizar a criptografia do lado do cliente.

  • kms:Decrypt – é necessário descriptografar a chave de dados criptografada que o Agendador do EventBridge armazena junto com seus dados criptografados.

Estas ações se somam às seguintes:

  • scheduler:*

  • iam:PassRole: necessário para passar o perfil de execução.

Permissões da função de execução para chaves gerenciadas pelo cliente

Você deve adicionar a seguinte ação à política de permissões da função de execução do seu agendamento para fornecer acesso ao Agendador do EventBridge para chamar a API do AWS KMS ao descriptografar seus dados:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowEventBridgeSchedulerToDecryptDataUsingCMKMS",
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": "arn:aws:kms:us-east-1:123456789012:key/your-key-id"
        }
    ]
}

  • kms:Decrypt – é necessário descriptografar a chave de dados criptografada que o Agendador do EventBridge armazena junto com seus dados criptografados.

Se você usar o console do Agendador do EventBridge para criar um novo perfil de execução ao criar uma novo agendamento, o Agendador do EventBridge anexará automaticamente a permissão necessária ao seu perfil de execução. No entanto, se você escolher uma função de execução existente, deverá adicionar as permissões necessárias à função para poder usar suas chaves gerenciadas pelo cliente.

Gerenciar a política de chave

Quando você cria uma chave gerenciada pelo cliente usando o AWS KMS, por padrão, sua chave tem a política de chave a seguir para fornecer acesso aos perfis de execução dos seus agendamentos.

Opcionalmente, você pode limitar o escopo da sua política de chave para fornecer acesso somente à função de execução. Você poderá fazer isso se quiser usar sua chave gerenciada pelo cliente somente com os recursos do Agendador do EventBridge. Use o seguinte exemplo de política de chave para limitar quais recursos do Agendador do EventBridge podem usar sua chave:

Exemplo de evento do CloudTrail

O AWS CloudTrail captura todas as chamadas à API como eventos. Isso inclui chamadas de API sempre que o Agendador do EventBridge usa sua chave gerenciada pelo cliente para descriptografar seus dados. O exemplo a seguir mostra uma entrada de evento do CloudTrail que demonstra o Agendador do EventBridge usando a ação kms:Decrypt usando uma chave gerenciada pelo cliente. 

{
  "eventVersion": "1.08",
  "userIdentity": {
      "type": "AssumedRole",
      "principalId": "ABCDEABCD1AB12ABABAB0:70abcd123a123a12345a1aa12aa1bc12",
      "arn": "arn:aws:sts::123456789012:assumed-role/execution-role/70abcd123a123a12345a1aa12aa1bc12",
      "accountId": "123456789012",
      "accessKeyId": "ABCDEFGHI1JKLMNOP2Q3",
      "sessionContext": {
          "sessionIssuer": {
              "type": "Role",
              "principalId": "ABCDEABCD1AB12ABABAB0",
              "arn": "arn:aws:iam::123456789012:role/execution-role",
              "accountId": "123456789012",
              "userName": "execution-role"
          },
          "webIdFederationData": {},
          "attributes": {
              "creationDate": "2022-10-31T21:03:15Z",
              "mfaAuthenticated": "false"
          }
      }
    },
    "eventTime": "2022-10-31T21:03:15Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "Decrypt",
    "awsRegion": "eu-north-1",
    "sourceIPAddress": "13.50.87.173",
    "userAgent": "aws-sdk-java/2.17.295 Linux/4.14.291-218.527.amzn2.x86_64 OpenJDK_64-Bit_Server_VM/11.0.17+9-LTS Java/11.0.17 kotlin/1.3.72-release-468 (1.3.72) vendor/Amazon.com_Inc. md/internal exec-env/AWS_ECS_FARGATE io/sync http/Apache cfg/retry-mode/standard AwsCrypto/2.4.0",
    "requestParameters": {
        "keyId": "arn:aws:kms:us-west-2:123456789012:key/2321abab-2110-12ab-a123-a2b34c5abc67",
        "encryptionAlgorithm": "SYMMETRIC_DEFAULT",
        "encryptionContext": {
            "aws:scheduler:schedule:arn": "arn:aws:scheduler:us-west-2:123456789012:schedule/default/execution-role"
        }
    },
    "responseElements": null,
    "requestID": "request-id",
    "eventID": "event-id",
    "readOnly": true,
    "resources": [
        {
            "accountId": "123456789012",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:123456789012:key/2321abab-2110-12ab-a123-a2b34c5abc67"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "123456789012",
    "eventCategory": "Management",
    "tlsDetails": {
      "tlsVersion": "TLSv1.3",
      "cipherSuite": "TLS_AES_256_GCM_SHA384",
      "clientProvidedHostHeader": "kms.us-west-2.amazonaws.com"
  }
}