Mengenkripsi otorisasi EventBridge koneksi dengan kunci AWS KMS - Amazon EventBridge
Kebijakan kunci koneksiKonteks enkripsiCross-account atau Region kunciMencabut akses kunci AWS KMS Kesalahan kunci yang dikelola pelanggan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengenkripsi otorisasi EventBridge koneksi dengan kunci AWS KMS

Saat Anda membuat atau memperbarui koneksi, Anda dapat menentukan parameter otorisasi untuk koneksi tersebut. EventBridge kemudian dengan aman menyimpan parameter tersebut secara rahasia di AWS Secrets Manager. Secara default, EventBridge menggunakan Kunci milik AWS untuk mengenkripsi dan mendekripsi rahasia ini. Anda dapat menentukan bahwa EventBridge menggunakan kunci yang dikelola pelanggan sebagai gantinya.

AWS KMS kebijakan kunci untuk koneksi

Kebijakan AWS KMS utama harus memberikan izin EventBridge berikut atas nama Anda:

  • kms:DescribeKey

  • kms:GenerateDataKey

  • kms:Decrypt

Contoh kebijakan berikut memberikan semua AWS KMS izin.

{
  "Id": "key-policy-example",
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Enable IAM User Permissions",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::012345678901:root"
      },
      "Action": "kms:*",
      "Resource": "*"
    }
  ]
}

EventBridge Untuk menggunakan kunci yang dikelola pelanggan, Anda harus menambahkan tag sumber daya ke kunci dengan kunci EventBridgeApiDestinations dan nilaitrue. Untuk informasi selengkapnya tentang tag sumber daya, lihat Menambahkan tag ke kunci KMS di Panduan AWS Key Management Service Pengembang.

Sebagai praktik keamanan terbaik, kami sarankan Anda menyertakan kunci kondisi dalam kebijakan kunci untuk membantu memastikan bahwa EventBridge menggunakan kunci KMS hanya untuk sumber daya atau akun yang ditentukan. Untuk informasi selengkapnya, lihat Pertimbangan keamanan.

"Condition": {
  "StringLike": {
    "kms:ViaService": "secretsmanager.*.amazonaws.com",
    "kms:EncryptionContext:SecretARN": [
      "arn:aws:secretsmanager:*:*:secret:events!connection/*"
    ]
  },
  "StringEquals": {
    "aws:ResourceTag/EventBridgeApiDestinations": "true"
  }
}

Konteks enkripsi koneksi

Konteks enkripsi adalah seperangkat pasangan kunci-nilai yang berisi data non-rahasia yang arbitrer. Ketika Anda menyertakan konteks enkripsi dalam permintaan untuk mengenkripsi data, AWS KMS secara kriptografi mengikat konteks enkripsi untuk data terenkripsi tersebut. Untuk mendekripsi data, Anda harus meneruskan konteks enkripsi yang sama.

Anda juga dapat menggunakan konteks enkripsi sebagai syarat untuk otorisasi dalam kebijakan dan hibah.

Jika Anda menggunakan kunci yang dikelola pelanggan untuk melindungi EventBridge sumber daya Anda, Anda dapat menggunakan konteks enkripsi untuk mengidentifikasi penggunaan catatan dan log audit KMS key dalam. Itu juga muncul dalam plaintext di log, seperti AWS CloudTraildan. Amazon CloudWatch Logs

Untuk koneksi, EventBridge gunakan konteks enkripsi yang sama di semua operasi AWS KMS kriptografi. Konteksnya mencakup pasangan kunci-nilai tunggal, yang berisi ARN rahasia. 

"encryptionContext": {
    "kms:EncryptionContext:SecretARN": "secret-arn"
}

Menggunakan kunci terkelola pelanggan lintas akun atau lintas wilayah untuk koneksi

Anda dapat mengizinkan pengguna atau peran di AWS akun lain untuk menggunakan kunci KMS di akun Anda. Akses lintas akun memerlukan izin dalam kebijakan kunci kunci KMS dan dalam kebijakan IAM di akun pengguna eksternal.

Untuk menggunakan kunci yang dikelola pelanggan dari akun lain, akun dengan kunci yang dikelola pelanggan harus menyertakan kebijakan berikut:

{
  "Effect": "Allow",
  "Principal": {
    "AWS": "arn:aws:iam::account:role/AmazonEventBridgeApiDestinationsInternalServiceRolePolicy"
  },
  "Action": [
    "kms:Decrypt",
    "kms:DescribeKey"
  ],
  "Resource": "*"
}

Untuk informasi selengkapnya, lihat Mengizinkan pengguna di akun lain menggunakan kunci KMS di Panduan AWS Key Management Service Pengembang.

Mencabut akses kunci terkelola pelanggan ke koneksi

Ketahuilah bahwa ketika Anda mencabut kunci yang dikelola pelanggan - melalui menonaktifkan, menghapus, atau memutar kunci, atau memperbarui kebijakan kunci - EventBridge mungkin telah menyimpan nilai kunci dalam cache, sehingga kunci tersebut masih dapat mempertahankan akses ke rahasia koneksi untuk jangka waktu singkat.

Untuk segera mencabut akses kunci terkelola pelanggan ke rahasia koneksi, hapus otorisasi atau hapus koneksi. Untuk informasi selengkapnya, lihat Koneksi de-otorisasi dan Menghapus koneksi.

De-otorisasi koneksi karena kesalahan kunci yang dikelola pelanggan

EventBridge membatalkan otorisasi koneksi jika menemukan kesalahan berikut saat mencoba mengenkripsi atau mendekripsi rahasia koneksi:

  • Kunci yang dikelola pelanggan telah dihapus.

  • Kunci yang dikelola pelanggan telah dinonaktifkan.

  • Koneksi tidak memiliki izin yang diperlukan untuk mengakses kunci yang dikelola pelanggan.

Untuk informasi selengkapnya, lihat Koneksi de-otorisasi.

OSZAR »
OSZAR »