本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
在 EventBridge 事件总线上配置加密
您可以指定创建或更新事件总线时 EventBridge 要使用的 KMS 密钥。您也可以更新默认事件总线以使用客户管理的密钥。
指定创建事件总线时用于加密的密 AWS KMS 钥
选择用于加密的 AWS KMS 密钥是创建事件总线的一部分。默认为使用 AWS 拥有的密钥 提供的 EventBridge。
在创建事件总线时指定用于加密的客户托管密钥(控制台)
-
按照以下说明进行操作:
在创建事件总线 (CLI) 时指定用于加密的客户托管密钥
-
呼叫时
create-event-bus,使用kms-key-identifier选项指定要在事件总线上进行 EventBridge 加密的客户托管密钥。(可选)使用
dead-letter-config指定一个死信队列(DLQ)。
更新事件总线上用于加密的密 AWS KMS 钥
您可以在现有事件总线上更新用于静态加密的密 AWS KMS 钥。这包括:
-
从默认密钥更改 AWS 拥有的密钥 为客户管理的密钥。
-
从客户管理的密钥更改为默认密钥 AWS 拥有的密钥。
-
从一个客户管理的密钥更改为另一个客户管理的密钥。
更新事件总线以使用其他密 AWS KMS 钥时,会 EventBridge 解密存储在事件总线上的任何数据,然后使用新密钥对其进行加密。
更新事件总线上用于加密的 KMS 密钥(控制台)
打开亚马逊 EventBridge 控制台,网址为https://console.aws.amazon.com/events/
。 -
在导航窗格中,选择 Event Buses (事件总线)。
-
选择要更新的事件总线。
-
在事件总线详细信息页面上,选择加密选项卡。
-
选择加密存储在事件总线上的事件数据时 EventBridge 要使用的 KMS 密钥:
-
选择 “ AWS 拥有的密钥使用” EventBridge 以使用加密数据 AWS 拥有的密钥。
AWS 拥有的密钥 这是一个 KMS 密钥, EventBridge 拥有并管理,可在多个 AWS 账户中使用。通常, AWS 拥有的密钥 是一个不错的选择,除非您需要审计或控制保护资源的加密密钥。
这是默认值。
-
选择 “使用客户托管密钥” EventBridge ,使用您指定或创建的客户托管密钥对数据进行加密。
客户托管密钥是在您的 AWS 账户中由您创建、拥有和管理的 KMS 密钥。您对此类 KMS 密钥拥有完全控制权。
-
指定现有的客户托管密钥,或选择创建新的 KMS 密钥。
EventBridge 显示密钥状态以及与指定客户托管密钥关联的所有密钥别名。
-
选择要用作此事件总线的死信队列(DLQ)的 Amazon SQS 队列(如果有)。
EventBridge 将未成功加密的事件发送到 DLQ(如果已配置),因此您可以稍后对其进行处理。
-
-
在事件总线 (CLI) 上更新用于加密的 KMS 密钥
-
呼叫时
update-event-bus,使用kms-key-identifier选项指定要在事件总线上进行 EventBridge 加密的客户托管密钥。(可选)使用
dead-letter-config指定一个死信队列(DLQ)。
要在默认事件总线上更新用于加密的 KMS 密钥,请使用 CloudFormation
由于 EventBridge 会自动将默认事件总线置备到您的账户中,因此您无法像往常一样使用 CloudFormation 模板来创建它,就像您要包含在 CloudFormation 堆栈中的任何资源一样。要将默认事件总线包含在 CloudFormation 堆栈中,必须先将其导入堆栈。将默认事件总线导入堆栈后,即可根据需要更新事件总线属性。
-
按照以下说明进行操作:
