EventBridge AWS KMS での によるイベントバスログの暗号化 - Amazon EventBridge
暗号化コンテキストをログに記録するロギングのアクセス権限

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

EventBridge AWS KMS での によるイベントバスログの暗号化

ログを送信すると、EventBridge はイベントバスに指定された KMS キーを使用して各ログレコードの セクションdetailerrorセクションを暗号化します。イベントバスにカスタマーマネージドキーを指定した場合、EventBridge は転送中の暗号化にそのキーを使用します。配信されると、レコードは復号され、ログの送信先に指定された KMS キーで再暗号化されます。

イベントバスログの暗号化コンテキスト

暗号化コンテキスト は、一連のキー値のペアおよび任意非シークレットデータを含みます。データを暗号化するリクエストに暗号化コンテキストを組み込むと、 AWS KMS は暗号化コンテキストを暗号化されたデータに暗号化してバインドします。データを復号するには、同じ暗号化コンテキストに渡す必要があります。

また、暗号化コンテクストはポリシーとグラントの認可用の条件としても使用できます。

カスタマーマネージドキーを使用して EventBridge リソースを保護する場合は、暗号化コンテキストを使用して、監査レコードとログ KMS key での の使用を特定できます。また、AWS CloudTrailAmazon CloudWatch Logs などのログにもプレーンテキストで表示されます。

イベントバスログの場合、 はすべての暗号化オペレーションで同じ AWS KMS 暗号化コンテキスト EventBridge を使用します。

"encryptionContext": {
    "kms:EncryptionContext:SourceArn": "arn:partition:logs:region:account:*"
}

AWS KMS イベントバスログ記録のキーポリシーアクセス許可

カスタマーマネージドキーを使用するイベントバスの場合、キーポリシーに次のアクセス許可を追加する必要があります。

  • EventBridge がカスタマーマネージドキーを使用してログを暗号化できるようにします。

    {
  "Sid": "Enable log service encryption",
  "Effect": "Allow",
  "Principal": {
    "Service": "events.amazonaws.com"  
  },
  "Action": [
    "kms:GenerateDataKey"
  ],
  "Resource": "*",
  "Condition": {
    "StringLike": {
      "kms:EncryptionContext:SourceArn": "arn:partition:logs:region:account:*"
    }
  }
}

  • ログ記録サービスが EventBridge によって送信されたログを復号できるようにします。

    {
  "Sid": "Enable log delivery decryption",
  "Effect": "Allow",
  "Principal": {
    "Service": "delivery.logs.amazonaws.com"
  },
  "Action": [
    "kms:Decrypt",
    "kms:GenerateDataKey"
  ],
  "Resource": "*",
  "Condition": {
    "StringLike": {
      "kms:EncryptionContext:SourceArn": "arn:partition:logs:region:account:*"
    }
  }
}