使用密 AWS KMS 钥对事件进行加密 EventBridge - Amazon EventBridge
事件总线加密上下文事件总线密钥策略

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用密 AWS KMS 钥对事件进行加密 EventBridge

您可以指定 EventBridge 使用 AWS KMS 来加密存储在事件总线上的数据(自定义事件和合作伙伴事件),而不是使用 as AWS 拥有的密钥 作为默认值。您可以在创建或更新事件总线 客户托管式密钥 时指定。您也可以将默认事件总线更新为 客户托管式密钥 用于自定义事件和合作伙伴事件。有关更多信息,请参阅 KMS key 选项

如果 客户托管式密钥 为事件总线指定,则可以选择为事件总线指定死信队列 (DLQ)。 EventBridge 然后向该 DLQ 提供任何生成加密或解密错误的自定义事件或合作伙伴事件。有关更多信息,请参阅 DLQs 用于加密事件

注意

使用客户托管密钥加密的事件总线不支持存档和架构发现。要在事件总线上启用归档或架构发现,请选择使用 AWS 拥有的密钥。有关更多信息,请参阅 KMS key 选项

事件总线加密上下文

加密上下文 是一组包含任意非机密数据的键值对。在请求中包含加密上下文以加密数据时, AWS KMS 以加密方式将加密上下文绑定到加密的数据。要解密数据,您必须传入相同的加密上下文。

您还可以将加密上下文用作在策略和授权中进行授权的条件。

如果您使用客户托管密钥来保护您的 EventBridge 资源,则可以使用加密上下文来识别审计记录和日志 KMS key 中的使用情况。它也以明文形式显示在日志中,例如 AWS CloudTrailAmazon CloudWatch Logs

对于事件总线,在所有加密操作中 EventBridge 使用相同的 AWS KMS 加密上下文。该上下文包括单个键值对,其中包含事件总线 ARN。

"encryptionContext": {
    "kms:EncryptionContext:aws:events:event-bus:arn": "event-bus-arn"
}

AWS KMS 活动总线的密钥策略

以下示例密钥策略提供事件总线所需的权限:

  • kms:DescribeKey

  • kms:GenerateDataKey

  • kms:Decrypt

作为安全最佳实践,我们建议您在密钥策略中包含条件密钥,以帮助确保仅对指定的资源或账户 EventBridge 使用 KMS 密钥。有关更多信息,请参阅 安全性注意事项

{
  "Sid": "Allow EventBridge to validate key permission",
  "Effect": "Allow",
  "Principal": {
    "Service": "events.amazonaws.com"
  },
  "Action": [
    "kms:DescribeKey"
  ]
  "Resource": "*"
},
{
  "Sid": "Allow EventBridge to encrypt events",
  "Effect": "Allow",
  "Principal": {
    "Service": "events.amazonaws.com"
  },
  "Action": [
    "kms:GenerateDataKey",
    "kms:Decrypt"
  ]
  "Resource": "*",
  "Condition": {
    "StringEquals": {
        "kms:EncryptionContext:aws:events:event-bus:arn": "arn:aws:events:region:account-id:event-bus/event-bus-arn",
        "aws:SourceArn": "arn:aws:events:region:account-id:event-bus/event-bus-name"
    }
  }
}