Cifrado en reposo

En esta sección se describe cómo Amazon EventBridge Scheduler cifra y descifra los datos en reposo. Los datos en reposo son datos almacenados en EventBridge Scheduler y en los componentes subyacentes del servicio. EventBridge Scheduler se integra con AWS Key Management Service (AWS KMS) para cifrar y descifrar sus datos mediante un. AWS KMS key EventBridge Scheduler admite dos tipos de claves KMS: y claves administradas por Claves propiedad de AWSel cliente.

nota

EventBridge Scheduler solo admite el uso de claves KMS de cifrado simétrico.

Claves propiedad de AWSson claves KMS que un AWS servicio posee y administra para su uso en varias AWS cuentas. Si bien los usos del Claves propiedad de AWS EventBridge Programador no se almacenan en su AWS cuenta, el EventBridge Programador los usa para proteger sus datos y recursos. De forma predeterminada, EventBridge Scheduler cifra y descifra todos los datos con una clave propia. AWS No es necesario administrar su Clave propiedad de AWS ni su política de acceso. Cuando EventBridge Scheduler los utiliza Claves propiedad de AWS para proteger sus datos, no se le cobrará ningún cargo y su uso no se incluirá en las cuotas de su AWS KMS cuenta.

Las claves administradas por el cliente son claves de KMS almacenadas en su AWS cuenta que usted crea, posee y administra. Si su caso de uso específico requiere que controle y audite las claves de cifrado que protegen sus datos en EventBridge Scheduler, puede usar una clave administrada por el cliente. Si elige una clave administrada por el cliente, debe administrar su política de claves. Las claves administradas por el cliente tienen una tarifa mensual y una tarifa por uso excesivo del nivel gratuito. El uso de una clave administrada por el cliente también cuenta como parte de su cuota de AWS KMS. Para obtener más información acerca de los precios, consulte Precios de AWS Key Management Service.

Artefactos de cifrado

En la siguiente tabla se describen los distintos tipos de datos que EventBridge Scheduler cifra en reposo y qué tipo de clave de KMS admite para cada categoría.

Tipo de datos	Descripción	Clave propiedad de AWS	clave administrada por el cliente
Carga (hasta 256 KB)	Los datos que se especifican en el parámetro TargetInput de la programación al configurar la programación para que se entregue al destino.	Soportado	Soportado
Identificador y estado	El nombre exclusivo y el estado (activar o desactivar) de la programación.	Compatible	No compatible
Configuración de programación	La expresión de programación, como la expresión de frecuencia o cron para las programaciones recurrentes y la marca de tiempo para las invocaciones únicas, así como la fecha de inicio, la fecha de finalización y la zona horaria de la programación.	Compatible	No compatible
Configuración de destino	El nombre de recurso de Amazon (ARN) y otros detalles de configuración relacionados con el destino.	Compatible	No compatible
Configuración del comportamiento de invocación y error	La configuración flexible del intervalo de tiempo, la política de reintentos de la programación y los detalles de las colas de mensajes fallidos que se utilizan en las entregas fallidas.	Compatible	No compatible

EventBridge Scheduler usa las claves administradas por el cliente solo al cifrar y descifrar la carga útil de destino, como se describe en la tabla anterior. Si eliges usar una clave gestionada por el cliente, EventBridge Scheduler cifra y descifra la carga dos veces: una con la predeterminada y otra con la clave gestionada por Clave propiedad de AWS el cliente que especifiques. Para todos los demás tipos de datos, EventBridge Scheduler solo usa la predeterminada Clave propiedad de AWS para proteger los datos en reposo.

Utilice la siguiente Administrar las claves de KMS sección para obtener información sobre cómo debe gestionar sus recursos de IAM y sus políticas clave para poder utilizar una clave gestionada por el cliente con EventBridge Scheduler.

Administrar las claves de KMS

Si lo desea, puede proporcionar una clave gestionada por el cliente para cifrar y descifrar la carga útil que su programa entrega a su destino. EventBridge El programador cifra y descifra tu carga útil de hasta 256 KB de datos. El uso de una clave administrada por el cliente genera una tarifa mensual y una tarifa superior al nivel gratuito. El uso de una clave administrada por el cliente cuenta como parte de su cuota de AWS KMS. Para obtener más información acerca de los precios, consulte Precios de AWS Key Management Service

EventBridge El programador utiliza los permisos de IAM asociados al principal, lo que crea un cronograma para cifrar los datos. Esto significa que debe adjuntar los permisos AWS KMS relacionados necesarios al usuario o rol que llama a la API de Scheduler. EventBridge Además, EventBridge Scheduler utiliza políticas basadas en recursos para descifrar los datos. Esto significa que la función de ejecución asociada a su programación también debe tener los permisos necesarios AWS KMS para llamar a la AWS KMS API al descifrar los datos.

nota

EventBridge Scheduler no admite el uso de concesiones para permisos temporales.

Consulta la siguiente sección para obtener información sobre cómo gestionar tu política de AWS KMS claves y los permisos de IAM necesarios para utilizar una clave gestionada por el cliente en EventBridge Scheduler.

Temas

• Añadir permisos de IAM
• Administrar la política de claves

Añadir permisos de IAM

Para usar una clave administrada por el cliente, debe añadir los siguientes permisos a la entidad principal de IAM basada en la identidad que crea una programación, así como al rol de ejecución que asocia al cronograma.

Permisos basados en identidades para claves administradas por el cliente

Debe añadir AWS KMS las siguientes acciones a la política de permisos asociada a cualquier entidad principal (usuarios, grupos o funciones) que llame a la API de EventBridge Scheduler al crear un cronograma.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "scheduler:*",
                
                # Required to pass the execution role
                "iam:PassRole",
                
                "kms:DescribeKey",
                "kms:GenerateDataKey",
                "kms:Decrypt"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
    ]
}

• kms:DescribeKey— Necesaria para validar que la clave que ha proporcionado es una clave KMS de cifrado simétrico.

• kms:GenerateDataKey— Necesaria para generar la clave de datos que EventBridge Scheduler utiliza para realizar el cifrado del lado del cliente.

• kms:Decrypt— Es necesario descifrar la clave de datos cifrados que EventBridge Scheduler almacena junto con sus datos cifrados.

Permisos de función de ejecución para las claves administradas por el cliente

Debe añadir la siguiente acción a la política de permisos de las funciones de ejecución de su programa para que EventBridge Scheduler pueda llamar a la AWS KMS API al descifrar sus datos.

{
    "Version": "2012-10-17",
    "Statement" : [
    {
      "Sid" : "Allow EventBridge Scheduler to decrypt data using a customer managed key",
      "Effect" : "Allow",
      "Action" : [
        "kms:Decrypt"
        
      ],
      "Resource": "arn:aws:kms:your-region:123456789012:key/your-key-id"
    }
  ]
}

• kms:Decrypt— Es necesario descifrar la clave de datos cifrados que EventBridge Scheduler almacena junto con sus datos cifrados.

Si utiliza la consola de EventBridge Scheduler para crear una nueva función de ejecución al crear una nueva programación, EventBridge Scheduler adjuntará automáticamente el permiso necesario a su función de ejecución. Sin embargo, si elige un rol de ejecución existente, debe añadir los permisos necesarios al rol para poder utilizar las claves administradas por el cliente.

Administrar la política de claves

Al crear una clave gestionada por el cliente utilizando AWS KMS, de forma predeterminada, la clave tiene la siguiente política clave para proporcionar acceso a las funciones de ejecución de los horarios.

{
    "Id": "key-policy-1",
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Provide required IAM Permissions",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::123456789012:root"
            },
            "Action": "kms:*",
            "Resource": "*"
        }
    ]
}

Si lo desea, puede limitar el alcance de su política de claves para proporcionar acceso únicamente al rol de ejecución. Puede hacerlo si desea utilizar la clave gestionada por el cliente únicamente con los recursos del EventBridge Scheduler. Usa el siguiente ejemplo de política clave para limitar los recursos del EventBridge programador que pueden usar tu clave.

{
    "Id": "key-policy-2",
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Provide required IAM Permissions",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::695325144837:root"
            },
            "Action": "kms:*",
            "Resource": "*"
        },
        {
            "Sid": "Allow use of the key",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::123456789012:role/schedule-execution-role"
            },
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": "*"
        }
    ]
}

CloudTrail ejemplo de evento

AWS CloudTrail captura todos los eventos de llamadas a la API. Esto incluye las llamadas a la API siempre que EventBridge Scheduler utilice la clave gestionada por el cliente para descifrar los datos. El siguiente ejemplo muestra una entrada de CloudTrail evento que demuestra que EventBridge Scheduler utiliza la kms:Decrypt acción mediante una clave gestionada por el cliente.

{
  "eventVersion": "1.08",
  "userIdentity": {
      "type": "AssumedRole",
      "principalId": "ABCDEABCD1AB12ABABAB0:70abcd123a123a12345a1aa12aa1bc12",
      "arn": "arn:aws:sts::123456789012:assumed-role/execution-role/70abcd123a123a12345a1aa12aa1bc12",
      "accountId": "123456789012",
      "accessKeyId": "ABCDEFGHI1JKLMNOP2Q3",
      "sessionContext": {
          "sessionIssuer": {
              "type": "Role",
              "principalId": "ABCDEABCD1AB12ABABAB0",
              "arn": "arn:aws:iam::123456789012:role/execution-role",
              "accountId": "123456789012",
              "userName": "execution-role"
          },
          "webIdFederationData": {},
          "attributes": {
              "creationDate": "2022-10-31T21:03:15Z",
              "mfaAuthenticated": "false"
          }
      }
    },
    "eventTime": "2022-10-31T21:03:15Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "Decrypt",
    "awsRegion": "eu-north-1",
    "sourceIPAddress": "13.50.87.173",
    "userAgent": "aws-sdk-java/2.17.295 Linux/4.14.291-218.527.amzn2.x86_64 OpenJDK_64-Bit_Server_VM/11.0.17+9-LTS Java/11.0.17 kotlin/1.3.72-release-468 (1.3.72) vendor/Amazon.com_Inc. md/internal exec-env/AWS_ECS_FARGATE io/sync http/Apache cfg/retry-mode/standard AwsCrypto/2.4.0",
    "requestParameters": {
        "keyId": "arn:aws:kms:us-west-2:123456789012:key/2321abab-2110-12ab-a123-a2b34c5abc67",
        "encryptionAlgorithm": "SYMMETRIC_DEFAULT",
        "encryptionContext": {
            "aws:scheduler:schedule:arn": "arn:aws:scheduler:us-west-2:123456789012:schedule/default/execution-role"
        }
    },
    "responseElements": null,
    "requestID": "request-id",
    "eventID": "event-id",
    "readOnly": true,
    "resources": [
        {
            "accountId": "123456789012",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:123456789012:key/2321abab-2110-12ab-a123-a2b34c5abc67"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "123456789012",
    "eventCategory": "Management",
    "tlsDetails": {
      "tlsVersion": "TLSv1.3",
      "cipherSuite": "TLS_AES_256_GCM_SHA384",
      "clientProvidedHostHeader": "kms.us-west-2.amazonaws.com"
  }
}