本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 使用 AWS KMS 金鑰加密 EventBridge 封存
您可以指定 EventBridge 使用 客戶受管金鑰 來加密儲存在封存中的事件,而不是使用 AWS 擁有的金鑰 預設的 。您可以在建立或更新封存 客戶受管金鑰 時指定 。如需金鑰類型的詳細資訊,請參閱 [KMS 金鑰選項](eb-encryption-at-rest-key-options.md)。
其中包含:
+ 存放在封存中的事件
+ 指定事件模式,以篩選傳送至封存的事件
這不包括封存中繼資料,例如封存的大小或其包含的事件數量。
如果您為封存指定客戶受管金鑰,EventBridge 會在將事件傳送到封存之前加密事件,以確保傳輸中和靜態加密。
## 封存加密內容
[加密內容](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#encrypt_context)是一組金鑰/值對,其中包含任意非私密資料。在加密資料的請求中包含加密內容時, AWS KMS 會以密碼編譯方式將加密內容繫結至加密的資料。若要解密資料,您必須傳遞相同的加密內容。
您也可以使用加密內容做為政策和授權的條件。
如果您使用客戶受管金鑰來保護 EventBridge 資源,您可以使用加密內容來識別稽核記錄和日誌 KMS key 中的 使用情況。它也會以純文字顯示在日誌中,例如 [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) 和 [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html)。
對於事件封存,EventBridge 會在所有 AWS KMS 密碼編譯操作中使用相同的加密內容。內容包含單一索引鍵/值對,其中包含事件匯流排 ARN。
```
"encryptionContext": {
"kms:EncryptionContext:aws:events:event-bus:arn": "event-bus-arn"
}
```
## AWS KMS 封存的金鑰政策
下列範例金鑰政策提供事件封存所需的許可:
+ `kms:DescribeKey`
+ `kms:GenerateDataKey`
+ `kms:Decrypt`
+ `kms:ReEncrypt`
作為安全最佳實務,我們建議您在金鑰政策中包含條件金鑰,以協助確保 EventBridge 僅針對指定的資源或帳戶使用 KMS 金鑰。如需詳細資訊,請參閱[安全考量](eb-encryption-key-policy.md#eb-encryption-event-bus-confused-deputy)。
------
#### [ JSON ]
****
```
{
"Id": "CMKKeyPolicy",
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "events.amazonaws.com"
},
"Action": [
"kms:DescribeKey"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Principal": {
"Service": "events.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt",
"kms:ReEncrypt*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:aws:events:event-bus:arn": "arn:aws:events:us-east-1:123456789012:event-bus/event-bus-arn"
}
}
}
]
}
```
------