AWS KMS キーによるイベントの暗号化 - Amazon EventBridge
イベントバスの作成時の AWS KMS キーの指定イベントバスで使用される AWS KMS キーの更新

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS KMS キーによるイベントの暗号化

をデフォルト AWS 所有のキー として使用するのではなく、 EventBridge を使用して AWS KMS イベントバスに保存されているデータ (カスタムイベントとパートナーイベント) を暗号化するように指定できます。イベントバスを作成または更新 カスタマー管理キー するときに、 を指定できます。デフォルトのイベントバスを更新して、カスタムイベントとパートナーイベント カスタマー管理キー にも を使用することもできます。詳細については、「KMS key オプション」を参照してください。

イベントバス カスタマー管理キー に を指定する場合は、イベントバスにデッドレターキュー (DLQ) を指定するオプションがあります。 EventBridge その後、 は、暗号化エラーまたは復号エラーを生成するカスタムイベントまたはパートナーイベントをその DLQ に配信します。詳細については、「暗号化DLQs 」を参照してください。

イベントバスの作成時に暗号化に使用される AWS KMS キーを指定する

暗号化に使用される AWS KMS キーの選択は、イベントバスの作成の一部です。デフォルトでは、 AWS 所有のキー が提供する が使用されます EventBridge。

イベントバスの作成時に暗号化 カスタマー管理キー 用の を指定するには (コンソール)
イベントバスの作成時に暗号化 カスタマー管理キー 用の を指定するには (CLI)

  • を呼び出すときはcreate-event-buskms-key-identifierオプションを使用して、イベントバスの暗号化 EventBridge に使用する カスタマー管理キー を指定します。

    必要に応じて、 dead-letter-configを使用してデッドレターキュー (DLQ) を指定します。

イベントバスの暗号化に使用される AWS KMS キーの更新

既存のイベントバスの保管時の暗号化に使用されている AWS KMS キーを更新できます。これには、デフォルトから AWS 所有のキー への変更 カスタマー管理キー、 からデフォルトの カスタマー管理キー への変更 AWS 所有のキー、または から別の カスタマー管理キー への変更が含まれます。

イベントバスの暗号化 KMS key に使用される を更新するには (コンソール)

  1. https://console.aws.amazon.com/events/ で Amazon EventBridge コンソールを開きます。

  2. ナビゲーションペインの [Event Buses] (イベントバス) を選択します。

  3. 更新するイベントバスを選択します。

  4. イベントバスの詳細ページで、暗号化タブを選択します。

  5. イベントバス EventBridge に保存されているイベントデータを暗号化するときに使用する KMS key を選択します。

    • の使用 AWS 所有のキー EventBridge を選択して、 を使用してデータを暗号化します AWS 所有のキー。

      これは、 KMS key が複数の AWS アカウントで使用するために EventBridge 所有および管理する AWS 所有のキー です。一般に、リソースを保護する暗号化キーを監査または制御する必要がない限り、 AWS 所有のキー が適しています。

      これがデフォルトです。

    • 使用 カスタマー管理キー を選択して EventBridge 、 カスタマー管理キー 指定した または作成した を使用してデータを暗号化します。

      カスタマーマネージドキー は、ユーザーが作成、所有、管理する AWS アカウント KMS keys にあります。これらの を完全に制御できます KMS keys。

      1. 既存の を指定するか カスタマー管理キー、新しい を作成する KMS keyを選択します。

        EventBridge は、キーステータスと、指定された に関連付けられているキーエイリアスを表示します カスタマー管理キー。

      2. このイベントバスのデッドレターキュー (DLQ) として使用する Amazon SQS キューがあれば選択します。

        EventBridge は、設定されている場合、正常に暗号化されていないイベントを DLQ に送信し、後で処理できるようにします。

イベントバスの暗号化 KMS key に使用される を更新するには (CLI)

  • を呼び出すときはupdate-event-buskms-key-identifierオプションを使用して、イベントバスの暗号化 EventBridge に使用する カスタマー管理キー を指定します。

    必要に応じて、 dead-letter-configを使用してデッドレターキュー (DLQ) を指定します。

を使用して、デフォルトのイベントバスの暗号化 KMS key に使用される を更新するには CloudFormation

はデフォルトのイベントバスを自動的にアカウントに EventBridge プロビジョニングするため、 CloudFormation スタックに含めるリソースの場合と同様に、 CloudFormation テンプレートを使用して作成することはできません。 CloudFormation スタックにデフォルトのイベントバスを含めるには、まずスタックにインポートする必要があります。デフォルトのイベントバスをスタックにインポートしたら、必要に応じてイベントバスのプロパティを更新できます。