Chiffrer des événements avec des AWS KMS clés EventBridge - Amazon EventBridge
Configurer le chiffrement lors de la création d'un bus d'événementsMettre à jour le chiffrement sur un bus d'événements

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Chiffrer des événements avec des AWS KMS clés EventBridge

Vous pouvez spécifier d' EventBridge utiliser a AWS KMS pour chiffrer vos données (événements personnalisés et partenaires) stockées sur un bus d'événements, plutôt que d'utiliser un Clé détenue par AWS as par défaut. Vous pouvez spécifier clé gérée par le client quand vous créez ou mettez à jour un bus d'événements. Vous pouvez également mettre à jour le bus d'événements par défaut afin d'en utiliser un clé gérée par le client pour les événements personnalisés et ceux des partenaires. Pour de plus amples informations, veuillez consulter KMS key options.

Si vous spécifiez un clé gérée par le client pour un bus d'événements, vous avez la possibilité de spécifier une file d'attente de lettres mortes (DLQ) pour le bus d'événements. EventBridge transmet ensuite tous les événements personnalisés ou partenaires qui génèrent des erreurs de chiffrement ou de déchiffrement. DLQ Pour de plus amples informations, veuillez consulter DLQspour les événements chiffrés.

Spécification de la AWS KMS clé utilisée pour le chiffrement lors de la création d'un bus d'événements

Le choix de la AWS KMS clé utilisée pour le chiffrement fait partie de la création d'un bus d'événements. La valeur par défaut est d'utiliser le Clé détenue par AWS paramètre fourni par EventBridge.

Pour spécifier un clé gérée par le client pour le chiffrement lors de la création d'un bus d'événements (console)
Pour spécifier un clé gérée par le client pour le chiffrement lors de la création d'un bus d'événements (CLI)

  • Lors de l'appelcreate-event-bus, utilisez l'kms-key-identifieroption pour spécifier la clé gérée par le client forme EventBridge à utiliser pour le chiffrement sur le bus d'événements.

    Utilisez-le éventuellement dead-letter-config pour spécifier une file d'attente de lettres mortes ()DLQ.

Mise à jour de la AWS KMS clé utilisée pour le chiffrement sur un bus d'événements

Vous pouvez mettre à jour la AWS KMS clé utilisée pour le chiffrement au repos sur un bus d'événements existant. Cela inclut le passage de la valeur par défaut Clé détenue par AWS à a clé gérée par le client, de a clé gérée par le client à la valeur par défaut Clé détenue par AWS ou de l'un clé gérée par le client à l'autre.

Pour mettre à jour le KMS key code utilisé pour le chiffrement sur un bus d'événements (console)

  1. Ouvrez la EventBridge console Amazon à l'adresse https://console.aws.amazon.com/events/.

  2. Dans le volet de navigation, sélectionnez Event Buses (Bus d'événements).

  3. Choisissez le bus d'événements que vous souhaitez mettre à jour.

  4. Sur la page des détails du bus d'événements, choisissez l'onglet Chiffrement.

  5. Choisissez la forme KMS key EventBridge à utiliser lors du chiffrement des données d'événements stockées sur le bus d'événements :

    • Choisissez Utiliser Clé détenue par AWS pour chiffrer EventBridge les données à l'aide d'un Clé détenue par AWS.

      Il s' Clé détenue par AWS agit d'un compte KMS key qui EventBridge possède et gère pour une utilisation dans plusieurs AWS comptes. En général, à moins que vous ne soyez obligé d'auditer ou de contrôler la clé de chiffrement qui protège vos ressources, une Clé détenue par AWS est un bon choix.

      Il s’agit de l’option par défaut.

    • Choisissez Utiliser clé gérée par le client pour chiffrer les données EventBridge à l'aide de celles clé gérée par le client que vous spécifiez ou créez.

      Clés gérées par le client se trouvent KMS keys dans le AWS compte que vous créez, détenez et gérez. Vous en avez le plein contrôle KMS keys.

      1. Spécifiez un existant clé gérée par le client ou choisissez Créer un nouveau KMS key.

        EventBridge affiche le statut de la clé et tous les alias de clé associés à la clé spécifiée clé gérée par le client.

      2. Choisissez la SQS file d'attente Amazon à utiliser comme file d'attente de lettres mortes (DLQ) pour ce bus d'événements, le cas échéant.

        EventBridge envoie les événements qui ne sont pas correctement chiffrés auDLQ, s'il est configuré, afin que vous puissiez les traiter ultérieurement.

Pour mettre à jour le KMS key code utilisé pour le chiffrement sur un bus d'événements (CLI)

  • Lors de l'appelupdate-event-bus, utilisez l'kms-key-identifieroption pour spécifier la clé gérée par le client forme EventBridge à utiliser pour le chiffrement sur le bus d'événements.

    Utilisez-le éventuellement dead-letter-config pour spécifier une file d'attente de lettres mortes ()DLQ.

Pour mettre à jour le KMS key code utilisé pour le chiffrement sur le bus d'événements par défaut, en utilisant CloudFormation

Étant donné EventBridge que le bus d'événements par défaut est automatiquement intégré à votre compte, vous ne pouvez pas le créer à l'aide d'un CloudFormation modèle, comme vous le feriez normalement pour toute ressource que vous souhaitez inclure dans une CloudFormation pile. Pour inclure le bus d'événements par défaut dans une CloudFormation pile, vous devez d'abord l'importer dans une pile. Une fois que vous avez importé le bus d'événements par défaut dans une pile, vous pouvez mettre à jour les propriétés du bus d'événements comme vous le souhaitez.