Autorizar el uso EventBridge de una clave gestionada por el cliente - Amazon EventBridge
Consideraciones de seguridad

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Autorizar el uso EventBridge de una clave gestionada por el cliente

Si usa una clave administrada por el cliente en su cuenta para proteger sus EventBridge recursos, las políticas de esa clave de KMS deben dar EventBridge permiso para usarla en su nombre. Proporcione estos permisos en una política de claves.

EventBridge no necesita autorización adicional para usar la predeterminada Clave propiedad de AWS a fin de proteger los EventBridge recursos de su AWS cuenta.

EventBridge requiere los siguientes permisos para usar las claves administradas por el cliente:

  • kms:DescribeKey

    EventBridge requiere este permiso para recuperar el ARN de la clave de KMS correspondiente al identificador de clave proporcionado y para comprobar que la clave es simétrica.

  • kms:GenerateDataKey

    EventBridge requiere este permiso para generar una clave de datos como clave de cifrado de los datos.

  • kms:Decrypt

    EventBridge requiere este permiso para descifrar la clave de datos cifrada y almacenada con los datos cifrados.

    EventBridge lo utiliza para la coincidencia de patrones de eventos; los usuarios nunca tienen acceso a los datos.

Seguridad al utilizar claves administradas por el cliente para el EventBridge cifrado

Como práctica recomendada de seguridad, añada una clave aws:SourceArnaws:sourceAccount, o kms:EncryptionContext:aws:events:event-bus:arn condicionada, a la política de AWS KMS claves. La clave de condición global de IAM ayuda a garantizar que se EventBridge utilice la clave KMS solo para el bus o la cuenta especificados.

En el siguiente ejemplo, se muestra cómo seguir esta práctica recomendada en su política de IAM para un bus de eventos:

{
      "Sid": "Allow the use of key",
      "Effect": "Allow",
      "Principal": {
        "Service": "events.amazonaws.com"
      },
      "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt"
      ],
      "Resource": "*",
      "Condition" : {
        "StringEquals": {
          "aws:SourceAccount": "arn:aws:events:region:account-id",
          "aws:SourceArn": "arn:aws:events:region:account-id:event-bus/event-bus-name",
          "kms:EncryptionContext:aws:events:event-bus:arn": "arn:aws:events:region:account-id:event-bus/event-bus-arn"
        }
      }