Verschlüsselung im Ruhezustand - EventBridge Scheduler
VerschlüsselungsartefakteKMS-Schlüssel verwaltenCloudTrail Beispiel für ein Ereignis

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verschlüsselung im Ruhezustand

In diesem Abschnitt wird beschrieben, wie Amazon EventBridge Scheduler Ihre Daten im Ruhezustand ver- und entschlüsselt. Daten im Ruhezustand sind Daten, die im EventBridge Scheduler und den dem Service zugrunde liegenden Komponenten gespeichert sind. EventBridge Scheduler ist in AWS Key Management Service (AWS KMS) integriert, um Ihre Daten mit einem zu verschlüsseln und zu entschlüsseln. AWS KMS key EventBridge Scheduler unterstützt zwei Arten von KMS-Schlüsseln: und vom Kunden AWS-eigene Schlüsselverwaltete Schlüssel.

Anmerkung

EventBridge Scheduler unterstützt nur die Verwendung von KMS-Schlüsseln mit symmetrischer Verschlüsselung.

AWS-eigene Schlüsselsind KMS-Schlüssel, die ein AWS Dienst besitzt und verwaltet, sodass sie in mehreren AWS Konten verwendet werden können. Die vom AWS-eigene Schlüssel EventBridge Scheduler verwendeten Daten werden zwar nicht in Ihrem AWS Konto gespeichert, EventBridge Scheduler verwendet sie jedoch, um Ihre Daten und Ressourcen zu schützen. Standardmäßig verschlüsselt und entschlüsselt der EventBridge Scheduler all Ihre Daten mit einem eigenen Schlüssel. AWS Sie müssen Ihre AWS-eigener Schlüssel oder ihre Zugriffsrichtlinien nicht verwalten. Es fallen keine Gebühren an, wenn EventBridge Scheduler Ihre Daten schützt, und deren Nutzung wird nicht als Teil Ihrer AWS KMS Kontingente in Ihrem Konto gezählt. AWS-eigene Schlüssel

Von Kunden verwaltete Schlüssel sind KMS-Schlüssel, die in Ihrem AWS Konto gespeichert sind und die Sie erstellen, besitzen und verwalten. Wenn Ihr spezieller Anwendungsfall erfordert, dass Sie die Verschlüsselungsschlüssel, die Ihre Daten schützen, auf EventBridge Scheduler kontrollieren und prüfen, können Sie einen vom Kunden verwalteten Schlüssel verwenden. Wenn Sie sich für einen vom Kunden verwalteten Schlüssel entscheiden, müssen Sie Ihre Schlüsselrichtlinie verwalten. Für kundenverwaltete Schlüssel fällt eine monatliche Gebühr sowie eine Gebühr für die über das kostenlose Kontingent hinausgehende Nutzung an. Die Verwendung eines vom Kunden verwalteten Schlüssels zählt ebenfalls zu Ihrem AWS KMS Kontingent. Weitere Informationen zur Preisgestaltung finden Sie unter AWS Key Management Service Preisgestaltung.

Verschlüsselungsartefakte

In der folgenden Tabelle werden die verschiedenen Datentypen beschrieben, die EventBridge Scheduler im Ruhezustand verschlüsselt, und welche Art von KMS-Schlüssel er für jede Kategorie unterstützt.

Datentyp Beschreibung AWS-eigener Schlüssel vom Kunden verwalteter Schlüssel

Nutzlast (bis zu 256 KB)

Die Daten, die Sie im TargetInput Parameter des Zeitplans angeben, wenn Sie den Zeitplan so konfigurieren, dass er an das Ziel gesendet wird.

Unterstützt

Unterstützt

Bezeichner und Status

Der eindeutige Name und der Status (aktiviert, deaktiviert) des Zeitplans.

Unterstützt

Nicht unterstützt

Konfiguration des Zeitplans

Der Planungsausdruck, z. B. der Rate- oder Cron-Ausdruck für wiederkehrende Zeitpläne, der Zeitstempel für einmalige Aufrufe sowie das Startdatum, das Enddatum und die Zeitzone des Zeitplans.

Unterstützt

Nicht unterstützt

Zielkonfiguration

Der Amazon-Ressourcenname (ARN) des Ziels und andere zielbezogene Konfigurationsdetails.

Unterstützt

Nicht unterstützt

Konfiguration des Aufrufs- und Fehlerverhaltens

Flexible Zeitfensterkonfiguration, die Wiederholungsrichtlinie des Zeitplans und die Informationen zur Warteschlange mit unerlaubten Nachrichten, die für fehlgeschlagene Lieferungen verwendet werden.

Unterstützt

Nicht unterstützt

EventBridge Scheduler verwendet Ihre vom Kunden verwalteten Schlüssel nur beim Verschlüsseln und Entschlüsseln der Ziel-Payload, wie in der vorherigen Tabelle beschrieben. Wenn Sie sich dafür entscheiden, einen vom Kunden verwalteten Schlüssel zu verwenden, verschlüsselt und entschlüsselt EventBridge Scheduler die Payload zweimal: einmal mit dem Standard und ein anderes Mal mit dem von Ihnen angegebenen AWS-eigener Schlüssel, vom Kunden verwalteten Schlüssel. Für alle anderen Datentypen verwendet EventBridge Scheduler nur den Standard, um Ihre Daten im Ruhezustand AWS-eigener Schlüssel zu schützen.

Im folgenden KMS-Schlüssel verwalten Abschnitt erfahren Sie, wie Sie Ihre IAM-Ressourcen und wichtigen Richtlinien verwalten müssen, um einen vom Kunden verwalteten Schlüssel mit EventBridge Scheduler verwenden zu können.

KMS-Schlüssel verwalten

Sie können optional einen vom Kunden verwalteten Schlüssel zur Ver- und Entschlüsselung der Payload bereitstellen, die Ihr Zeitplan an das Ziel übermittelt. EventBridge Scheduler verschlüsselt und entschlüsselt Ihre Nutzdaten mit bis zu 256 KB an Daten. Für die Verwendung eines vom Kunden verwalteten Schlüssels fallen eine monatliche Gebühr und eine Gebühr an, die über das kostenlose Kontingent hinausgeht. Die Verwendung eines vom Kunden verwalteten Schlüssels zählt zu Ihrem AWS KMS Kontingent. Weitere Informationen zur Preisgestaltung finden Sie unter AWS Key Management Service Preisgestaltung

EventBridge Scheduler verwendet IAM-Berechtigungen, die dem Prinzipal zugeordnet sind, der einen Zeitplan erstellt, um Ihre Daten zu verschlüsseln. Das bedeutet, dass Sie dem Benutzer oder der Rolle, die die Scheduler-API aufruft, die erforderlichen AWS KMS zugehörigen Berechtigungen zuweisen müssen. EventBridge Darüber hinaus verwendet EventBridge Scheduler ressourcenbasierte Richtlinien, um Ihre Daten zu entschlüsseln. Das bedeutet, dass die mit Ihrem Zeitplan verknüpfte Ausführungsrolle auch über die erforderlichen Berechtigungen verfügen muss, um die AWS KMS API beim AWS KMS Entschlüsseln von Daten aufrufen zu können.

Anmerkung

EventBridge Scheduler unterstützt nicht die Verwendung von Zuschüssen für temporäre Berechtigungen.

Im folgenden Abschnitt erfahren Sie, wie Sie Ihre AWS KMS Schlüsselrichtlinie und die erforderlichen IAM-Berechtigungen für die Verwendung eines vom Kunden verwalteten Schlüssels auf EventBridge Scheduler verwalten können.

Fügen Sie IAM-Berechtigungen hinzu

Um einen vom Kunden verwalteten Schlüssel zu verwenden, müssen Sie dem identitätsbasierten IAM-Prinzipal, der einen Zeitplan erstellt, sowie der Ausführungsrolle, die Sie dem Zeitplan zuordnen, die folgenden Berechtigungen hinzufügen.

Identitätsbasierte Berechtigungen für vom Kunden verwaltete Schlüssel

Sie müssen der Berechtigungsrichtlinie, die jedem Prinzipal (Benutzer, Gruppen oder Rollen) zugeordnet ist, der bei der Erstellung eines EventBridge Zeitplans die Scheduler-API aufruft, die folgenden AWS KMS Aktionen hinzufügen. 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "scheduler:*",
                
                # Required to pass the execution role
                "iam:PassRole",
                
                "kms:DescribeKey",
                "kms:GenerateDataKey",
                "kms:Decrypt"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
    ]
}

  • kms:DescribeKey— Erforderlich, um zu überprüfen, ob es sich bei dem von Ihnen angegebenen Schlüssel um einen KMS-Schlüssel mit symmetrischer Verschlüsselung handelt.

  • kms:GenerateDataKey— Erforderlich, um den Datenschlüssel zu generieren, den EventBridge Scheduler für die clientseitige Verschlüsselung verwendet.

  • kms:Decrypt— Erforderlich, um den verschlüsselten Datenschlüssel zu entschlüsseln, den EventBridge Scheduler zusammen mit Ihren verschlüsselten Daten speichert.

Berechtigungen zur Ausführung von Rollen für vom Kunden verwaltete Schlüssel

Sie müssen die folgende Aktion zur Berechtigungsrichtlinie für Ausführungsrollen Ihres Zeitplans hinzufügen, um Zugriff auf den EventBridge Scheduler zu gewähren, mit dem die AWS KMS API beim Entschlüsseln Ihrer Daten aufgerufen werden kann. 

{
    "Version": "2012-10-17",
    "Statement" : [
    {
      "Sid" : "Allow EventBridge Scheduler to decrypt data using a customer managed key",
      "Effect" : "Allow",
      "Action" : [
        "kms:Decrypt"
        
      ],
      "Resource": "arn:aws:kms:your-region:123456789012:key/your-key-id"
    }
  ]
}

  • kms:Decrypt— Erforderlich: Entschlüsseln Sie den verschlüsselten Datenschlüssel, den EventBridge Scheduler zusammen mit Ihren verschlüsselten Daten speichert.

Wenn Sie beim Erstellen eines neuen EventBridge Zeitplans die Scheduler-Konsole verwenden, um eine neue Ausführungsrolle zu erstellen, ordnet EventBridge Scheduler Ihrer Ausführungsrolle automatisch die erforderlichen Berechtigungen zu. Wenn Sie jedoch eine vorhandene Ausführungsrolle auswählen, müssen Sie der Rolle die erforderlichen Berechtigungen hinzufügen, um Ihre vom Kunden verwalteten Schlüssel verwenden zu können.

Verwalten Sie die Schlüsselrichtlinie

Wenn Sie einen vom Kunden verwalteten Schlüssel erstellen AWS KMS, verfügt Ihr Schlüssel standardmäßig über die folgende Schlüsselrichtlinie, um Zugriff auf die Ausführungsrollen Ihrer Zeitpläne zu gewähren. 

{
    "Id": "key-policy-1",
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Provide required IAM Permissions",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::123456789012:root"
            },
            "Action": "kms:*",
            "Resource": "*"
        }
    ]
}

Optional können Sie den Geltungsbereich Ihrer Schlüsselrichtlinie so einschränken, dass nur Zugriff auf die Ausführungsrolle gewährt wird. Sie können dies tun, wenn Sie Ihren vom Kunden verwalteten Schlüssel nur mit Ihren EventBridge Scheduler-Ressourcen verwenden möchten. Verwenden Sie das folgende Beispiel für eine wichtige Richtlinie, um einzuschränken, welche EventBridge Scheduler-Ressourcen Ihren Schlüssel verwenden können. 

{
    "Id": "key-policy-2",
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Provide required IAM Permissions",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::695325144837:root"
            },
            "Action": "kms:*",
            "Resource": "*"
        },
        {
            "Sid": "Allow use of the key",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::123456789012:role/schedule-execution-role"
            },
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": "*"
        }
    ]
}

CloudTrail Beispiel für ein Ereignis

AWS CloudTrail erfasst alle API-Aufruf-Ereignisse. Dies schließt API-Aufrufe ein, wenn EventBridge Scheduler Ihren vom Kunden verwalteten Schlüssel verwendet, um Ihre Daten zu entschlüsseln. Das folgende Beispiel zeigt einen CloudTrail Ereigniseintrag, der zeigt, dass EventBridge Scheduler die kms:Decrypt Aktion mithilfe eines vom Kunden verwalteten Schlüssels verwendet. 

{
  "eventVersion": "1.08",
  "userIdentity": {
      "type": "AssumedRole",
      "principalId": "ABCDEABCD1AB12ABABAB0:70abcd123a123a12345a1aa12aa1bc12",
      "arn": "arn:aws:sts::123456789012:assumed-role/execution-role/70abcd123a123a12345a1aa12aa1bc12",
      "accountId": "123456789012",
      "accessKeyId": "ABCDEFGHI1JKLMNOP2Q3",
      "sessionContext": {
          "sessionIssuer": {
              "type": "Role",
              "principalId": "ABCDEABCD1AB12ABABAB0",
              "arn": "arn:aws:iam::123456789012:role/execution-role",
              "accountId": "123456789012",
              "userName": "execution-role"
          },
          "webIdFederationData": {},
          "attributes": {
              "creationDate": "2022-10-31T21:03:15Z",
              "mfaAuthenticated": "false"
          }
      }
    },
    "eventTime": "2022-10-31T21:03:15Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "Decrypt",
    "awsRegion": "eu-north-1",
    "sourceIPAddress": "13.50.87.173",
    "userAgent": "aws-sdk-java/2.17.295 Linux/4.14.291-218.527.amzn2.x86_64 OpenJDK_64-Bit_Server_VM/11.0.17+9-LTS Java/11.0.17 kotlin/1.3.72-release-468 (1.3.72) vendor/Amazon.com_Inc. md/internal exec-env/AWS_ECS_FARGATE io/sync http/Apache cfg/retry-mode/standard AwsCrypto/2.4.0",
    "requestParameters": {
        "keyId": "arn:aws:kms:us-west-2:123456789012:key/2321abab-2110-12ab-a123-a2b34c5abc67",
        "encryptionAlgorithm": "SYMMETRIC_DEFAULT",
        "encryptionContext": {
            "aws:scheduler:schedule:arn": "arn:aws:scheduler:us-west-2:123456789012:schedule/default/execution-role"
        }
    },
    "responseElements": null,
    "requestID": "request-id",
    "eventID": "event-id",
    "readOnly": true,
    "resources": [
        {
            "accountId": "123456789012",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:123456789012:key/2321abab-2110-12ab-a123-a2b34c5abc67"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "123456789012",
    "eventCategory": "Management",
    "tlsDetails": {
      "tlsVersion": "TLSv1.3",
      "cipherSuite": "TLS_AES_256_GCM_SHA384",
      "clientProvidedHostHeader": "kms.us-west-2.amazonaws.com"
  }
}