Enkripsi diam - EventBridge Penjadwal
Artefak enkripsiMengelola kunci KMSCloudTrail contoh acara

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Enkripsi diam

Bagian ini menjelaskan cara Amazon EventBridge Scheduler mengenkripsi dan mendekripsi data Anda saat istirahat. Data saat istirahat adalah data yang disimpan dalam EventBridge Scheduler dan komponen dasar layanan. EventBridge Scheduler terintegrasi dengan AWS Key Management Service (AWS KMS) untuk mengenkripsi dan mendekripsi data Anda menggunakan file. AWS KMS key EventBridge Scheduler mendukung dua jenis kunci KMS: Kunci milik AWS, dan kunci yang dikelola pelanggan.

catatan

EventBridge Scheduler hanya mendukung penggunaan kunci KMS enkripsi simetris.

Kunci milik AWSadalah kunci KMS yang dimiliki dan dikelola AWS layanan untuk digunakan di beberapa AWS akun. Meskipun penggunaan Kunci milik AWS EventBridge Scheduler tidak disimpan di AWS akun Anda, EventBridge Scheduler menggunakannya untuk melindungi data dan sumber daya Anda. Secara default, EventBridge Scheduler mengenkripsi dan mendekripsi semua data Anda menggunakan kunci yang dimiliki. AWS Anda tidak perlu mengelola kebijakan akses Anda Kunci milik AWS atau nya. Anda tidak dikenakan biaya apa pun ketika EventBridge Scheduler menggunakan Kunci milik AWS untuk melindungi data Anda, dan penggunaannya tidak dihitung sebagai bagian dari AWS KMS kuota Anda di akun Anda.

Kunci yang dikelola pelanggan adalah kunci KMS yang disimpan di AWS akun Anda yang Anda buat, miliki, dan kelola. Jika kasus penggunaan khusus Anda mengharuskan Anda mengontrol dan mengaudit kunci enkripsi yang melindungi data Anda di EventBridge Scheduler, Anda dapat menggunakan kunci yang dikelola pelanggan. Jika Anda memilih kunci yang dikelola pelanggan, Anda harus mengelola kebijakan utama Anda. Kunci yang dikelola pelanggan dikenakan biaya bulanan dan biaya untuk penggunaan melebihi tingkat gratis. Menggunakan kunci yang dikelola pelanggan juga dihitung sebagai bagian dari AWS KMS kuota Anda. Untuk informasi lebih lanjut tentang harga, lihat AWS Key Management Service harga.

Artefak enkripsi

Tabel berikut menjelaskan berbagai jenis data yang EventBridge Scheduler mengenkripsi saat istirahat, dan jenis kunci KMS yang didukungnya untuk setiap kategori.

Tipe data Deskripsi Kunci milik AWS kunci yang dikelola pelanggan

Muatan (hingga 256KB)

Data yang Anda tentukan dalam TargetInput parameter jadwal saat Anda mengonfigurasi jadwal yang akan dikirim ke target.

Didukung

Didukung

Pengidentifikasi dan status

Nama unik dan status (aktifkan, nonaktifkan) dari jadwal.

Didukung

Tidak Support

Konfigurasi penjadwalan

Ekspresi penjadwalan, seperti ekspresi rate atau cron untuk jadwal berulang, dan stempel waktu untuk pemanggilan satu kali, serta tanggal mulai jadwal, tanggal akhir, dan zona waktu.

Didukung

Tidak Support

Konfigurasi target

Nama Sumber Daya Amazon (ARN) target, dan detail konfigurasi terkait target lainnya.

Didukung

Tidak Support

Konfigurasi perilaku pemanggilan dan kegagalan

Konfigurasi jendela waktu yang fleksibel, kebijakan coba ulang jadwal, dan detail antrian surat mati yang digunakan untuk pengiriman yang gagal.

Didukung

Tidak Support

EventBridge Scheduler hanya menggunakan kunci terkelola pelanggan Anda saat mengenkripsi dan mendekripsi muatan target, seperti yang dijelaskan dalam tabel sebelumnya. Jika Anda memilih untuk menggunakan kunci yang dikelola pelanggan, EventBridge Scheduler mengenkripsi dan mendekripsi payload dua kali: sekali menggunakan default Kunci milik AWS, dan lain kali menggunakan kunci terkelola pelanggan yang Anda tentukan. Untuk semua tipe data lainnya, EventBridge Scheduler hanya menggunakan default Kunci milik AWS untuk melindungi data Anda saat istirahat.

Gunakan Mengelola kunci KMS bagian berikut untuk mempelajari bagaimana Anda harus mengelola sumber daya IAM dan kebijakan utama agar dapat menggunakan kunci yang dikelola pelanggan dengan EventBridge Scheduler.

Mengelola kunci KMS

Anda dapat secara opsional memberikan kunci yang dikelola pelanggan untuk mengenkripsi dan mendekripsi muatan yang dikirim jadwal Anda ke targetnya. EventBridge Scheduler mengenkripsi dan mendekripsi payload Anda hingga 256KB data. Menggunakan kunci yang dikelola pelanggan menimbulkan biaya bulanan dan biaya melebihi tingkat gratis. Menggunakan kunci yang dikelola pelanggan dihitung sebagai bagian dari AWS KMS kuota Anda. Untuk informasi lebih lanjut tentang harga, lihat AWS Key Management Service harga

EventBridge Scheduler menggunakan izin IAM yang terkait dengan prinsipal yang membuat jadwal untuk mengenkripsi data Anda. Ini berarti Anda harus melampirkan izin AWS KMS terkait yang diperlukan ke pengguna, atau peran, yang memanggil EventBridge Scheduler API. Selain itu, EventBridge Scheduler menggunakan kebijakan berbasis sumber daya untuk mendekripsi data Anda. Ini berarti bahwa peran eksekusi yang terkait dengan jadwal Anda juga harus memiliki izin AWS KMS terkait yang diperlukan untuk memanggil AWS KMS API saat mendekripsi data.

catatan

EventBridge Scheduler tidak mendukung penggunaan hibah untuk izin sementara.

Gunakan bagian berikut untuk mempelajari cara mengelola kebijakan AWS KMS kunci dan izin IAM yang diperlukan untuk menggunakan kunci terkelola pelanggan di EventBridge Scheduler.

Tambahkan izin IAM

Untuk menggunakan kunci terkelola pelanggan, Anda harus menambahkan izin berikut ke prinsipal IAM berbasis identitas yang membuat jadwal, serta peran eksekusi yang Anda kaitkan dengan jadwal.

Izin berbasis identitas untuk kunci yang dikelola pelanggan

Anda harus menambahkan AWS KMS tindakan berikut ke kebijakan izin yang terkait dengan prinsipal (pengguna, grup, atau peran) yang memanggil EventBridge Scheduler API saat membuat jadwal. 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "scheduler:*",
                
                # Required to pass the execution role
                "iam:PassRole",
                
                "kms:DescribeKey",
                "kms:GenerateDataKey",
                "kms:Decrypt"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
    ]
}

  • kms:DescribeKey— Diperlukan untuk memvalidasi bahwa kunci yang Anda berikan adalah kunci KMS enkripsi simetris.

  • kms:GenerateDataKey— Diperlukan untuk menghasilkan kunci data yang digunakan EventBridge Scheduler untuk melakukan enkripsi sisi klien.

  • kms:Decrypt— Diperlukan dekripsi kunci data terenkripsi yang disimpan EventBridge Scheduler bersama dengan data terenkripsi Anda.

Izin peran eksekusi untuk kunci terkelola pelanggan

Anda harus menambahkan tindakan berikut ke kebijakan izin peran eksekusi jadwal Anda untuk menyediakan akses ke EventBridge Scheduler untuk memanggil AWS KMS API saat mendekripsi data Anda. 

{
    "Version": "2012-10-17",
    "Statement" : [
    {
      "Sid" : "Allow EventBridge Scheduler to decrypt data using a customer managed key",
      "Effect" : "Allow",
      "Action" : [
        "kms:Decrypt"
        
      ],
      "Resource": "arn:aws:kms:your-region:123456789012:key/your-key-id"
    }
  ]
}

  • kms:Decrypt— Diperlukan dekripsi kunci data terenkripsi yang disimpan EventBridge Scheduler bersama dengan data terenkripsi Anda.

Jika Anda menggunakan konsol EventBridge Scheduler untuk membuat peran eksekusi baru saat membuat jadwal baru, EventBridge Scheduler akan secara otomatis melampirkan izin yang diperlukan ke peran eksekusi Anda. Namun, jika Anda memilih peran eksekusi yang ada, Anda harus menambahkan izin yang diperlukan ke peran tersebut agar dapat menggunakan kunci terkelola pelanggan Anda.

Kelola kebijakan utama

Saat Anda membuat kunci terkelola pelanggan menggunakan AWS KMS, secara default, kunci Anda memiliki kebijakan kunci berikut untuk menyediakan akses ke peran eksekusi jadwal Anda. 

{
    "Id": "key-policy-1",
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Provide required IAM Permissions",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::123456789012:root"
            },
            "Action": "kms:*",
            "Resource": "*"
        }
    ]
}

Secara opsional, Anda dapat membatasi cakupan kebijakan utama Anda untuk hanya menyediakan akses ke peran eksekusi. Anda dapat melakukan ini jika Anda ingin menggunakan kunci terkelola pelanggan Anda hanya dengan sumber EventBridge Scheduler Anda. Gunakan contoh kebijakan kunci berikut untuk membatasi sumber daya EventBridge Scheduler mana yang dapat menggunakan kunci Anda. 

{
    "Id": "key-policy-2",
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Provide required IAM Permissions",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::695325144837:root"
            },
            "Action": "kms:*",
            "Resource": "*"
        },
        {
            "Sid": "Allow use of the key",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::123456789012:role/schedule-execution-role"
            },
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": "*"
        }
    ]
}

CloudTrail contoh acara

AWS CloudTrail menangkap semua peristiwa panggilan API. Ini termasuk panggilan API setiap kali EventBridge Scheduler menggunakan kunci terkelola pelanggan Anda untuk mendekripsi data Anda. Contoh berikut menunjukkan entri CloudTrail peristiwa yang menunjukkan EventBridge Scheduler menggunakan kms:Decrypt tindakan menggunakan kunci yang dikelola pelanggan. 

{
  "eventVersion": "1.08",
  "userIdentity": {
      "type": "AssumedRole",
      "principalId": "ABCDEABCD1AB12ABABAB0:70abcd123a123a12345a1aa12aa1bc12",
      "arn": "arn:aws:sts::123456789012:assumed-role/execution-role/70abcd123a123a12345a1aa12aa1bc12",
      "accountId": "123456789012",
      "accessKeyId": "ABCDEFGHI1JKLMNOP2Q3",
      "sessionContext": {
          "sessionIssuer": {
              "type": "Role",
              "principalId": "ABCDEABCD1AB12ABABAB0",
              "arn": "arn:aws:iam::123456789012:role/execution-role",
              "accountId": "123456789012",
              "userName": "execution-role"
          },
          "webIdFederationData": {},
          "attributes": {
              "creationDate": "2022-10-31T21:03:15Z",
              "mfaAuthenticated": "false"
          }
      }
    },
    "eventTime": "2022-10-31T21:03:15Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "Decrypt",
    "awsRegion": "eu-north-1",
    "sourceIPAddress": "13.50.87.173",
    "userAgent": "aws-sdk-java/2.17.295 Linux/4.14.291-218.527.amzn2.x86_64 OpenJDK_64-Bit_Server_VM/11.0.17+9-LTS Java/11.0.17 kotlin/1.3.72-release-468 (1.3.72) vendor/Amazon.com_Inc. md/internal exec-env/AWS_ECS_FARGATE io/sync http/Apache cfg/retry-mode/standard AwsCrypto/2.4.0",
    "requestParameters": {
        "keyId": "arn:aws:kms:us-west-2:123456789012:key/2321abab-2110-12ab-a123-a2b34c5abc67",
        "encryptionAlgorithm": "SYMMETRIC_DEFAULT",
        "encryptionContext": {
            "aws:scheduler:schedule:arn": "arn:aws:scheduler:us-west-2:123456789012:schedule/default/execution-role"
        }
    },
    "responseElements": null,
    "requestID": "request-id",
    "eventID": "event-id",
    "readOnly": true,
    "resources": [
        {
            "accountId": "123456789012",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:123456789012:key/2321abab-2110-12ab-a123-a2b34c5abc67"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "123456789012",
    "eventCategory": "Management",
    "tlsDetails": {
      "tlsVersion": "TLSv1.3",
      "cipherSuite": "TLS_AES_256_GCM_SHA384",
      "clientProvidedHostHeader": "kms.us-west-2.amazonaws.com"
  }
}