Cifrar eventos con claves AWS KMS - Amazon EventBridge
Especificar una AWS KMS clave al crear un bus de eventosActualización de la AWS KMS clave utilizada en un bus de eventos

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Cifrar eventos con claves AWS KMS

Puede especificar que EventBridge utilice un AWS KMS para cifrar los datos (eventos personalizados y asociados) almacenados en un bus de eventos, en lugar de utilizar un Clave propiedad de AWS como es el predeterminado. Puede especificar un clave administrada por el cliente al crear o actualizar un bus de eventos. También puede actualizar el bus de eventos predeterminado para usarlo también clave administrada por el cliente para eventos personalizados y asociados. Para obtener más información, consulte KMS key opciones.

Si especifica un clave administrada por el cliente para un bus de eventos, tiene la opción de especificar una cola de espera (DLQ) para el bus de eventos. EventBridge a continuación, envía a ese DLQ cualquier evento personalizado o asociado que genere errores de cifrado o descifrado. Para obtener más información, consulte DLQ para eventos cifrados.

Especificar la AWS KMS clave utilizada para el cifrado al crear un bus de eventos

La elección de la AWS KMS clave utilizada para el cifrado forma parte de la creación de un bus de eventos. La opción predeterminada es usar la Clave propiedad de AWS proporcionada por EventBridge.

Para especificar un clave administrada por el cliente cifrado al crear un bus de eventos (consola)
Para especificar un clave administrada por el cliente cifrado al crear un bus de eventos (CLI)

  • Al llamarcreate-event-bus, utilice la kms-key-identifier opción para especificar la forma que se clave administrada por el cliente va EventBridge a utilizar para el cifrado en el bus de eventos.

    Si lo desea, puede utilizar dead-letter-config esta opción para especificar una cola de cartas muertas (DLQ).

Actualizar la AWS KMS clave utilizada para el cifrado en un bus de eventos

Puede actualizar la AWS KMS clave que se utiliza para el cifrado en reposo en un bus de eventos existente. Esto incluye cambiar de la predeterminada Clave propiedad de AWS a una clave administrada por el cliente, de clave administrada por el cliente a a la predeterminada Clave propiedad de AWS o de una clave administrada por el cliente a otra.

Para actualizar el KMS key utilizado para el cifrado en un bus de eventos (consola)

  1. Abre la EventBridge consola de Amazon en https://console.aws.amazon.com/events/.

  2. En el panel de navegación, seleccione Buses de eventos.

  3. Elige el bus del evento que deseas actualizar.

  4. En la página de detalles del bus de eventos, selecciona la pestaña Cifrado.

  5. Seleccione la KMS key forma EventBridge que desee utilizar al cifrar los datos de eventos almacenados en el bus de eventos:

    • Elija Usar Clave propiedad de AWS EventBridge para cifrar los datos mediante un. Clave propiedad de AWS

      Clave propiedad de AWS Es una KMS key que EventBridge posee y administra para su uso en varias AWS cuentas. En general, a menos que tenga que auditar o controlar la clave de cifrado que protege sus recursos, an Clave propiedad de AWS es una buena opción.

      Esta es la opción predeterminada.

    • Elija Usar clave administrada por el cliente EventBridge para cifrar los datos con la clave administrada por el cliente que especifique o cree.

      Claves administradas por el cliente están KMS keys en la AWS cuenta que usted crea, posee y administra. Tienes el control total sobre ellas KMS keys.

      1. Especifique uno existente clave administrada por el cliente o elija Crear uno nuevo KMS key.

        EventBridge muestra el estado de la clave y cualquier alias clave que se haya asociado a lo especificado clave administrada por el cliente.

      2. Elija la cola de Amazon SQS para utilizarla como cola de letra muerta (DLQ) para este bus de eventos, si lo hubiera.

        EventBridge envía los eventos que no se hayan cifrado correctamente al DLQ, si está configurado, para que pueda procesarlos más adelante.

Para actualizar el KMS key utilizado para el cifrado en un bus de eventos (CLI)

  • Al llamarupdate-event-bus, utilice la kms-key-identifier opción para especificar la forma que se utilizará clave administrada por el cliente EventBridge para el cifrado en el bus de eventos.

    Si lo desea, puede utilizar dead-letter-config esta opción para especificar una cola de cartas muertas (DLQ).

Para actualizar la KMS key utilizada para el cifrado en el bus de eventos predeterminado, utilice CloudFormation

Como EventBridge aprovisiona automáticamente el bus de eventos predeterminado en tu cuenta, no puedes crearlo mediante una CloudFormation plantilla, como harías normalmente con cualquier recurso que quisieras incluir en una CloudFormation pila. Para incluir el bus de eventos predeterminado en una CloudFormation pila, primero debe importarlo a una pila. Una vez que haya importado el bus de eventos predeterminado a una pila, podrá actualizar las propiedades del bus de eventos según lo desee.