AWS KMS キーを使用した EventBridge 接続認可の暗号化 - Amazon EventBridge
接続キーポリシー暗号化コンテキストクロスアカウントキーまたはリージョンキー AWS KMS キーアクセスの取り消しカスタマーマネージドキーエラー

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS KMS キーを使用した EventBridge 接続認可の暗号化

接続を作成または更新するときに、その接続の認可パラメータを指定できます。その後、EventBridge はこれらのパラメータを のシークレットに安全に保存します AWS Secrets Manager。デフォルトでは、EventBridge は を使用してこのシークレット AWS 所有のキー を暗号化および復号します。EventBridge が代わりにカスタマーマネージドキーを使用するように指定できます。

AWS KMS 接続のキーポリシー

AWS KMS キーポリシーは、ユーザーに代わって EventBridge に次のアクセス許可を付与する必要があります。

  • kms:DescribeKey

  • kms:GenerateDataKey

  • kms:Decrypt

次のポリシー例では、すべての AWS KMS アクセス許可を付与します。

{
  "Id": "key-policy-example",
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Enable IAM User Permissions",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::012345678901:root"
      },
      "Action": "kms:*",
      "Resource": "*"
    }
  ]
}

EventBridge がカスタマーマネージドキーを使用するには、キーが EventBridgeApiDestinations、値が のリソースタグをキーに追加する必要がありますtrue。リソースタグの詳細については、 AWS Key Management Service デベロッパーガイド「KMS キーにタグを追加する」を参照してください。

セキュリティのベストプラクティスとして、EventBridge が指定されたリソースまたはアカウントに対してのみ KMS キーを使用するように、キーポリシーに条件キーを含めることをお勧めします。詳細については、「セキュリティに関する考慮事項」を参照してください。

"Condition": {
  "StringLike": {
    "kms:ViaService": "secretsmanager.*.amazonaws.com",
    "kms:EncryptionContext:SecretARN": [
      "arn:aws:secretsmanager:*:*:secret:events!connection/*"
    ]
  },
  "StringEquals": {
    "aws:ResourceTag/EventBridgeApiDestinations": "true"
  }
}

接続暗号化コンテキスト

暗号化コンテキスト は、一連のキー値のペアおよび任意非シークレットデータを含みます。データを暗号化するリクエストに暗号化コンテキストを組み込むと、 AWS KMS は暗号化コンテキストを暗号化されたデータに暗号化してバインドします。データを復号するには、同じ暗号化コンテキストに渡す必要があります。

また、暗号化コンテクストはポリシーとグラントの認可用の条件としても使用できます。

カスタマーマネージドキーを使用して EventBridge リソースを保護する場合は、暗号化コンテキストを使用して、監査レコードとログ KMS key での の使用を特定できます。また、AWS CloudTrailAmazon CloudWatch Logs などのログにもプレーンテキストで表示されます。

接続の場合、EventBridge はすべての暗号化オペレーションで同じ AWS KMS 暗号化コンテキストを使用します。コンテキストには、シークレット ARN を含む単一のキーと値のペアが含まれます。

"encryptionContext": {
    "kms:EncryptionContext:SecretARN": "secret-arn"
}

クロスアカウントまたはクロスリージョンのカスタマーマネージドキーを接続に使用する

別の AWS アカウントのユーザーまたはロールに、アカウントの KMS キーの使用を許可できます。クロスアカウントアクセスには、KMS キーのキーポリシーと、外部ユーザーアカウントの IAM ポリシーのアクセス許可が必要です。

別のアカウントのカスタマーマネージドキーを使用するには、カスタマーマネージドキーを持つアカウントに次のポリシーが含まれている必要があります。

{
  "Effect": "Allow",
  "Principal": {
    "AWS": "arn:aws:iam::account:role/AmazonEventBridgeApiDestinationsInternalServiceRolePolicy"
  },
  "Action": [
    "kms:Decrypt",
    "kms:DescribeKey"
  ],
  "Resource": "*"
}

詳細については、「 AWS Key Management Service デベロッパーガイド」の「他のアカウントのユーザーに KMS キーの使用を許可する」を参照してください。

接続へのカスタマーマネージドキーアクセスの取り消し

カスタマーマネージドキーを取り消してキーを無効化、削除、またはローテーションしたり、キーポリシーを更新したりすると、EventBridge がキー値をキャッシュし、そのキーが接続のシークレットへのアクセスを短期間保持する可能性があることに注意してください。

接続のシークレットへのカスタマーマネージドキーアクセスを直ちに取り消すには、接続の認可を解除または削除します。詳細については、「接続の認証解除」および「接続の削除」を参照してください。

カスタマーマネージドキーエラーによる接続の認可解除

EventBridge は、接続のシークレットを暗号化または復号しようとしたときに次のエラーが発生した場合、接続の承認を解除します。

  • カスタマーマネージドキーが削除されました。

  • カスタマーマネージドキーが無効になっています。

  • 接続には、カスタマーマネージドキーにアクセスするために必要なアクセス許可がありません。

詳細については、「接続の認証解除」を参照してください。

OSZAR »
OSZAR »