Criptografando registros do barramento de eventos com o in AWS KMS EventBridge - Amazon EventBridge
Contexto de criptografia de registrosPermissões de arquivo de log

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Criptografando registros do barramento de eventos com o in AWS KMS EventBridge

Ao enviar registros, EventBridge criptografa as error seções detail e de cada registro de log com a chave KMS especificada para o barramento de eventos. Se você especificou uma chave gerenciada pelo cliente para o barramento de eventos, EventBridge use essa chave para criptografia em trânsito. Depois de entregue, o registro é descriptografado e, em seguida, criptografado novamente com a chave KMS especificada para o destino do registro.

Contexto de criptografia dos registros do barramento de eventos

Um contexto de criptografia é um conjunto de pares de chave-valor que contêm dados arbitrários não secretos. Quando você inclui um contexto de criptografia em uma solicitação para criptografar dados, o AWS KMS vincula de forma criptográfica o contexto de criptografia aos dados criptografados. Para descriptografar os dados, você deve passar o mesmo contexto de criptografia.

Você também pode usar o contexto de criptografia como uma condição para autorização em políticas e concessões.

Se você usar uma chave gerenciada pelo cliente para proteger seus EventBridge recursos, poderá usar o contexto de criptografia para identificar o uso da chave KMS key nos registros e registros de auditoria. Ele também é exibido em texto simples em logs, como AWS CloudTrail e Amazon CloudWatch Logs.

Para registros de barramento de eventos, EventBridge usa o mesmo contexto de criptografia em todas as operações AWS KMS criptográficas.

"encryptionContext": {
    "kms:EncryptionContext:SourceArn": "arn:partition:logs:region:account:*"
}

AWS KMS principais permissões de política para registro de barramentos de eventos

Para ônibus de eventos usando uma chave gerenciada pelo cliente, você deve adicionar as seguintes permissões à política de chaves.

  • Permita EventBridge criptografar registros usando a chave gerenciada pelo cliente.

    {
  "Sid": "Enable log service encryption",
  "Effect": "Allow",
  "Principal": {
    "Service": "events.amazonaws.com"  
  },
  "Action": [
    "kms:GenerateDataKey"
  ],
  "Resource": "*",
  "Condition": {
    "StringLike": {
      "kms:EncryptionContext:SourceArn": "arn:partition:logs:region:account:*"
    }
  }
}

  • Permita que o serviço de registro decifre os registros enviados por. EventBridge

    {
  "Sid": "Enable log delivery decryption",
  "Effect": "Allow",
  "Principal": {
    "Service": "delivery.logs.amazonaws.com"
  },
  "Action": [
    "kms:Decrypt",
    "kms:GenerateDataKey"
  ],
  "Resource": "*",
  "Condition": {
    "StringLike": {
      "kms:EncryptionContext:SourceArn": "arn:partition:logs:region:account:*"
    }
  }
}