Política de claves de conexión Contexto de cifrado Claves multicuentas o regionales Revocar el acceso clave AWS KMS El cliente gestionó los errores clave

Cifrar la autorización de EventBridge conexión con claves AWS KMS

Al crear o actualizar una conexión, puede especificar los parámetros de autorización para esa conexión. EventBridge a continuación, guarda esos parámetros de forma segura en un lugar secreto AWS Secrets Manager. De forma predeterminada, EventBridge utiliza an Clave propiedad de AWS para cifrar y descifrar este secreto. Puede especificar que, en su lugar, EventBridge utilice una clave gestionada por el cliente.

AWS KMS política clave para las conexiones

La política de AWS KMS claves debe conceder EventBridge los siguientes permisos en tu nombre:

kms:DescribeKey
kms:GenerateDataKey
kms:Decrypt

El siguiente ejemplo de política concede todos los AWS KMS permisos.


{
  "Id": "key-policy-example",
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Enable IAM User Permissions",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::012345678901:root"
      },
      "Action": "kms:*",
      "Resource": "*"
    }
  ]
}

EventBridge Para usar una clave administrada por el cliente, debe agregar una etiqueta de recurso a la clave con una clave de EventBridgeApiDestinations y un valor detrue. Para obtener más información sobre las etiquetas de recursos, consulte Añadir etiquetas a una clave de KMS en la Guía para AWS Key Management Service desarrolladores.

Como práctica recomendada de seguridad, le recomendamos que incluya claves de condición en la política de claves para garantizar que EventBridge utilice la clave de KMS solo para el recurso o la cuenta especificados. Para obtener más información, consulte Consideraciones de seguridad.


"Condition": {
  "StringLike": {
    "kms:ViaService": "secretsmanager.*.amazonaws.com",
    "kms:EncryptionContext:SecretARN": [
      "arn:aws:secretsmanager:*:*:secret:events!connection/*"
    ]
  },
  "StringEquals": {
    "aws:ResourceTag/EventBridgeApiDestinations": "true"
  }
}

Contexto de cifrado de conexiones

Un contexto de cifrado es un conjunto de pares de clave-valor que contienen datos no secretos arbitrarios. Cuando se incluye un contexto de cifrado en una solicitud para cifrar datos, AWS KMS vincula criptográficamente el contexto de cifrado a los datos cifrados. Para descifrar los datos, es necesario pasar el mismo contexto de cifrado.

También puede utilizar el contexto de cifrado como condición para la autorización en políticas y concesiones.

Si utiliza una clave gestionada por el cliente para proteger sus EventBridge recursos, puede utilizar el contexto de cifrado para identificar su uso KMS key en los registros y registros de auditoría. También aparece en texto sin formato en registros, como AWS CloudTrail y Amazon CloudWatch Logs.

Para las conexiones, EventBridge utiliza el mismo contexto de cifrado en todas las operaciones AWS KMS criptográficas. El contexto incluye un único par clave-valor, que contiene el ARN secreto.


"encryptionContext": {
    "kms:EncryptionContext:SecretARN": "secret-arn"
}

Uso de claves administradas por el cliente entre cuentas o regiones para las conexiones

Puede permitir que los usuarios o roles de una AWS cuenta diferente usen una clave KMS en su cuenta. El acceso entre cuentas requiere permiso en la política de claves de la clave KMS y en una política de IAM en la cuenta del usuario externo.

Para usar una clave administrada por el cliente de otra cuenta, la cuenta con la clave administrada por el cliente debe incluir la siguiente política:


{
  "Effect": "Allow",
  "Principal": {
    "AWS": "arn:aws:iam::account:role/AmazonEventBridgeApiDestinationsInternalServiceRolePolicy"
  },
  "Action": [
    "kms:Decrypt",
    "kms:DescribeKey"
  ],
  "Resource": "*"
}

Para obtener más información, consulte Permitir que los usuarios de otras cuentas usen una clave KMS en la Guía para AWS Key Management Service desarrolladores.

Revocar el acceso mediante clave gestionada por el cliente a las conexiones

Ten en cuenta que al revocar una clave gestionada por el cliente (al deshabilitar, eliminar, rotar la clave o actualizar la política de claves), es EventBridge posible que el valor de la clave se almacene en caché y, por lo tanto, que esa clave siga conservando el acceso al secreto de una conexión durante un breve período de tiempo.

Para revocar inmediatamente el acceso al secreto de una conexión mediante una clave gestionada por el cliente, desautorízala o elimínala. Para obtener más información, consulte Desautorización de las conexiones y Eliminación de conexiones.

Desautorización de la conexión debido a errores clave gestionados por el cliente

EventBridge desautoriza una conexión si encuentra los siguientes errores al intentar cifrar o descifrar el secreto de la conexión:

Se ha eliminado la clave gestionada por el cliente.
Se ha desactivado la clave gestionada por el cliente.
La conexión no tiene los permisos necesarios para acceder a la clave gestionada por el cliente.

Para obtener más información, consulte Desautorización de las conexiones.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Configuración del cifrado de archivos

Configuración del cifrado de conexiones