Cifrar los registros del bus de eventos con in AWS KMS EventBridge - Amazon EventBridge
Registra el contexto de cifradoPermisos de registro

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Cifrar los registros del bus de eventos con in AWS KMS EventBridge

Al enviar registros, EventBridge cifra las error secciones detail y de cada registro con la clave KMS especificada para el bus de eventos. Si ha especificado una clave gestionada por el cliente para el bus de eventos, EventBridge utiliza esa clave para el cifrado en tránsito. Una vez entregado, el registro se descifra y, a continuación, se vuelve a cifrar con la clave KMS especificada para el destino del registro.

El bus de eventos registra el contexto de cifrado

Un contexto de cifrado es un conjunto de pares de clave-valor que contienen datos no secretos arbitrarios. Cuando se incluye un contexto de cifrado en una solicitud para cifrar datos, AWS KMS vincula criptográficamente el contexto de cifrado a los datos cifrados. Para descifrar los datos, es necesario pasar el mismo contexto de cifrado.

También puede utilizar el contexto de cifrado como condición para la autorización en políticas y concesiones.

Si utiliza una clave gestionada por el cliente para proteger sus EventBridge recursos, puede utilizar el contexto de cifrado para identificar su uso KMS key en los registros y registros de auditoría. También aparece en texto sin formato en registros, como AWS CloudTrail y Amazon CloudWatch Logs.

Para los registros del bus de eventos, EventBridge utiliza el mismo contexto de cifrado en todas las operaciones AWS KMS criptográficas.

"encryptionContext": {
    "kms:EncryptionContext:SourceArn": "arn:partition:logs:region:account:*"
}

AWS KMS permisos de política clave para el registro del bus de eventos

En el caso de los autobuses de eventos que utilizan una clave gestionada por el cliente, debe añadir los siguientes permisos a la política de claves.

  • Permita cifrar EventBridge los registros con la clave gestionada por el cliente.

    {
  "Sid": "Enable log service encryption",
  "Effect": "Allow",
  "Principal": {
    "Service": "events.amazonaws.com"  
  },
  "Action": [
    "kms:GenerateDataKey"
  ],
  "Resource": "*",
  "Condition": {
    "StringLike": {
      "kms:EncryptionContext:SourceArn": "arn:partition:logs:region:account:*"
    }
  }
}

  • Permita que el servicio de registro descifre los registros enviados por. EventBridge

    {
  "Sid": "Enable log delivery decryption",
  "Effect": "Allow",
  "Principal": {
    "Service": "delivery.logs.amazonaws.com"
  },
  "Action": [
    "kms:Decrypt",
    "kms:GenerateDataKey"
  ],
  "Resource": "*",
  "Condition": {
    "StringLike": {
      "kms:EncryptionContext:SourceArn": "arn:partition:logs:region:account:*"
    }
  }
}