Seleziona le tue preferenze relative ai cookie

Utilizziamo cookie essenziali e strumenti simili necessari per fornire il nostro sito e i nostri servizi. Utilizziamo i cookie prestazionali per raccogliere statistiche anonime in modo da poter capire come i clienti utilizzano il nostro sito e apportare miglioramenti. I cookie essenziali non possono essere disattivati, ma puoi fare clic su \"Personalizza\" o \"Rifiuta\" per rifiutare i cookie prestazionali.

Se sei d'accordo, AWS e le terze parti approvate utilizzeranno i cookie anche per fornire utili funzionalità del sito, ricordare le tue preferenze e visualizzare contenuti pertinenti, inclusa la pubblicità pertinente. Per continuare senza accettare questi cookie, fai clic su \"Continua\" o \"Rifiuta\". Per effettuare scelte più dettagliate o saperne di più, fai clic su \"Personalizza\".

Preferenze
Contattaci
Feedback
AWS Documentation
Crea un Account AWS

Autorizzazione EventBridge all'uso di un chiave gestita dal cliente

RSS
Modalità Focus
Autorizzazione EventBridge all'uso di un chiave gestita dal cliente - Amazon EventBridge
politica chiave del bus degli eventipolitica Pipe KeyConsiderazioni relative alla sicurezza

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Se utilizzi una password chiave gestita dal cliente nel tuo account per proteggere EventBridge le tue risorse, le relative politiche KMS key devono EventBridge autorizzare l'uso per tuo conto. Fornisci queste autorizzazioni in una politica chiave.

EventBridge non necessita di ulteriori autorizzazioni per utilizzare l'impostazione predefinita Chiave di proprietà di AWS per proteggere le EventBridge risorse del tuo AWS account.

EventBridge richiede le seguenti autorizzazioni per l'uso chiavi gestite dal cliente:

  • kms:DescribeKey

    EventBridge richiede questa autorizzazione per recuperare l' KMS key ARN per l'ID chiave fornito e per verificare che la chiave sia simmetrica.

  • kms:GenerateDataKey

    EventBridge richiede questa autorizzazione per generare una chiave dati come chiave di crittografia per i dati.

  • kms:Decrypt

    EventBridge richiede questa autorizzazione per decrittografare la chiave dati crittografata e archiviata con i dati crittografati.

    EventBridge lo utilizza per la corrispondenza dei modelli di eventi; gli utenti non hanno mai accesso ai dati.

AWS KMS politica chiave per un bus di eventi

Il seguente esempio di politica chiave fornisce le autorizzazioni necessarie per un bus di eventi:

  • kms:DescribeKey

  • kms:GenerateDataKey

  • kms:Decrypt

{
  "Sid": "Allow EventBridge to encrypt events",
  "Effect": "Allow",
  "Principal": {
    "Service": "events.amazonaws.com"
  },
  "Action": [
    "kms:DescribeKey",
    "kms:GenerateDataKey",
    "kms:Decrypt"
  ]
  "Resource": "*",
  "Condition": {
    "StringEquals": {
        "kms:EncryptionContext:aws:events:event-bus:arn": "arn:aws:events:region:account-id:event-bus/event-bus-arn",
        "aws:SourceArn": "arn:aws:events:region:account-id:event-bus/event-bus-name"
    }
  }
}

AWS KMS politica chiave per EventBridge Pipes

La seguente policy chiave di esempio fornisce le autorizzazioni necessarie per una pipe:

  • kms:DescribeKey

  • kms:GenerateDataKey

  • kms:Decrypt

{
  "Id": "CMKKeyPolicy",
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::account-id:role/pipe-execution-role"
      },
      "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt",
        "kms:DescribeKey"
      ],
      "Resource": "*",
      "Condition": {
        "ArnLike": {
          "kms:EncryptionContext:aws:pipe:arn": "arn:aws:pipes:region:account-id:pipe/pipe-name"
        },
        "ForAnyValues:StringEquals": { // Requires that only PipeArn is passed in the encryption context
          "kms:EncryptionContextKeys": [
            "aws:pipe:arn"
          ]
        }
      }
    }
  ]
}

Autorizzazioni per i log delle pipe che includono dati di esecuzione

Se la registrazione delle pipe è stata configurata per includere i dati di esecuzione, la policy chiave deve includere le seguenti autorizzazioni per il servizio di registrazione:

  • kms:Decrypt

  • kms:GenerateDataKey

Per ulteriori informazioni, consulta Inclusione dei dati di esecuzione nei log di EventBridge Pipes.

Il seguente esempio di policy chiave fornisce le autorizzazioni necessarie per la registrazione delle pipe:

{
  "Sid": "Enable log service encryption",
  "Effect": "Allow",
  "Principal": {
    "Service": "delivery.logs.amazonaws.com"
  },
  "Action": [
    "kms:Decrypt",
    "kms:GenerateDataKey"
  ],
  "Resource": "*",
  "Condition": {
    "StringLike": {
      "kms:EncryptionContext:SourceArn": "arn:partition:logs:region:account:*"
    }
  }
}

Inoltre, il ruolo di esecuzione delle pipe richiede l'kms:GenerateDataKeyautorizzazione.

{
  "Sid": "Enable log service encryption",
  "Effect": "Allow",
  "Principal": {
    "AWS": "arn:aws:iam::account:role/pipe-execution-role"
  },
  "Action": [
    "kms:GenerateDataKey"
  ],
  "Resource": "*",
  "Condition": {
    "StringLike": {
      "kms:EncryptionContext:SourceArn": "arn:partition:logs:region:account:*"
    }
  }
}

Il ruolo di esecuzione delle pipe dovrebbe includere anche:

"Action": [
    "kms:GenerateDataKey"
  ],
  "Resource": "key-arn",
  "Condition": {
    "StringLike": {
      "kms:EncryptionContext:SourceArn": "arn:partition:logs:region:account:*"
    }
  }

Sicurezza quando si utilizza chiavi gestite dal cliente per la crittografia del bus degli EventBridge eventi

Come procedura consigliata in materia di sicurezza aws:SourceArnaws:sourceAccount, aggiungi una chiave o una chiave di kms:EncryptionContext:aws:events:event-bus:arn condizione alla policy AWS KMS chiave. La chiave di condizione IAM globale aiuta a garantire che la chiave KMS venga EventBridge utilizzata solo per il bus o l'account specificato.

L'esempio seguente dimostra come seguire questa best practice nella propria IAM politica:

{
      "Sid": "Allow the use of key",
      "Effect": "Allow",
      "Principal": {
        "Service": "events.amazonaws.com"
      },
      "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt"
      ],
      "Resource": "*",
      "Condition" : {
        "StringEquals": {
          "aws:SourceAccount": "arn:aws:events:region:account-id",
          "aws:SourceArn": "arn:aws:events:region:account-id:event-bus/event-bus-name",
          "kms:EncryptionContext:aws:events:event-bus:arn": "arn:aws:events:region:account-id:event-bus/event-bus-arn"
        }
      }

In questa pagina

PrivacyCondizioni del sitoPreferenze cookie
© 2025, Amazon Web Services, Inc. o società affiliate. Tutti i diritti riservati.