Mengenkripsi log bus acara dengan in AWS KMS EventBridge - Amazon EventBridge
Konteks enkripsi logIzin pencatatan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengenkripsi log bus acara dengan in AWS KMS EventBridge

Saat mengirim log, EventBridge mengenkripsi detail dan error bagian dari setiap catatan log dengan kunci KMS yang ditentukan untuk bus acara. Jika Anda telah menentukan kunci yang dikelola pelanggan untuk bus acara, EventBridge gunakan kunci itu untuk enkripsi dalam perjalanan. Setelah dikirim, catatan didekripsi dan kemudian dienkripsi ulang dengan kunci KMS yang ditentukan untuk tujuan log.

Konteks enkripsi log bus acara

Konteks enkripsi adalah seperangkat pasangan kunci-nilai yang berisi data non-rahasia yang arbitrer. Ketika Anda menyertakan konteks enkripsi dalam permintaan untuk mengenkripsi data, AWS KMS secara kriptografi mengikat konteks enkripsi untuk data terenkripsi tersebut. Untuk mendekripsi data, Anda harus meneruskan konteks enkripsi yang sama.

Anda juga dapat menggunakan konteks enkripsi sebagai syarat untuk otorisasi dalam kebijakan dan hibah.

Jika Anda menggunakan kunci yang dikelola pelanggan untuk melindungi EventBridge sumber daya Anda, Anda dapat menggunakan konteks enkripsi untuk mengidentifikasi penggunaan catatan dan log audit KMS key dalam. Itu juga muncul dalam plaintext di log, seperti AWS CloudTraildan. Amazon CloudWatch Logs

Untuk log bus peristiwa, EventBridge gunakan konteks enkripsi yang sama di semua operasi AWS KMS kriptografi.

"encryptionContext": {
    "kms:EncryptionContext:SourceArn": "arn:partition:logs:region:account:*"
}

AWS KMS izin kebijakan utama untuk pencatatan bus acara

Untuk bus acara yang menggunakan kunci yang dikelola pelanggan, Anda harus menambahkan izin berikut ke kebijakan utama.

  • Izinkan EventBridge untuk mengenkripsi log menggunakan kunci yang dikelola pelanggan.

    {
  "Sid": "Enable log service encryption",
  "Effect": "Allow",
  "Principal": {
    "Service": "events.amazonaws.com"  
  },
  "Action": [
    "kms:GenerateDataKey"
  ],
  "Resource": "*",
  "Condition": {
    "StringLike": {
      "kms:EncryptionContext:SourceArn": "arn:partition:logs:region:account:*"
    }
  }
}

  • Izinkan layanan logging untuk mendekripsi log yang dikirim oleh. EventBridge

    {
  "Sid": "Enable log delivery decryption",
  "Effect": "Allow",
  "Principal": {
    "Service": "delivery.logs.amazonaws.com"
  },
  "Action": [
    "kms:Decrypt",
    "kms:GenerateDataKey"
  ],
  "Resource": "*",
  "Condition": {
    "StringLike": {
      "kms:EncryptionContext:SourceArn": "arn:partition:logs:region:account:*"
    }
  }
}