Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Crittografia EventBridge degli archivi con chiavi AWS KMS
È possibile specificare di EventBridge utilizzare chiave gestita dal cliente a per crittografare gli eventi archiviati in un archivio, anziché utilizzare un Chiave di proprietà di AWS as come impostazione predefinita. È possibile specificare un chiave gestita dal cliente quando si crea o si aggiorna un archivio. Per ulteriori informazioni sui tipi di chiave, vedere[Opzioni chiave KMS](eb-encryption-at-rest-key-options.md).
Questo include:
+ Eventi archiviati nell'archivio
+ Lo schema degli eventi, se presente, specificato per filtrare gli eventi inviati all'archivio
Questo non include i metadati dell'archivio, come la dimensione dell'archivio o il numero di eventi che contiene.
Se si specifica una chiave gestita dal cliente per un archivio, EventBridge crittografa gli eventi prima di inviarli all'archivio, garantendo la crittografia in transito e a riposo.
## Contesto di crittografia dell'archivio
Un [contesto di crittografia](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#encrypt_context) è un set di coppie chiave-valore che contiene dati arbitrari non segreti. Quando si include un contesto di crittografia in una richiesta di crittografia dei dati, AWS KMS lega il contesto di crittografia ai dati crittografati, in modo che lo stesso contesto di crittografia sia necessario per decrittografare i dati.
È inoltre possibile utilizzare il contesto di crittografia come condizione per l'autorizzazione nelle politiche e nelle concessioni.
Se si utilizza una chiave gestita dal cliente per proteggere le EventBridge risorse, è possibile utilizzare il contesto di crittografia per identificare l'utilizzo di tale chiave nei record e KMS key nei registri di controllo. Viene inoltre visualizzato nei log in testo chiaro, ad esempio [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) e [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html).
Per gli archivi degli eventi, EventBridge utilizza lo stesso contesto di crittografia in tutte le operazioni AWS KMS crittografiche. Il contesto include una singola coppia chiave-valore, che contiene l'ARN del bus di eventi.
```
"encryptionContext": {
"kms:EncryptionContext:aws:events:event-bus:arn": "event-bus-arn"
}
```
## AWS KMS politica chiave per gli archivi
La seguente politica chiave di esempio fornisce le autorizzazioni necessarie per un archivio di eventi:
+ `kms:DescribeKey`
+ `kms:GenerateDataKey`
+ `kms:Decrypt`
+ `kms:ReEncrypt`
Come best practice di sicurezza, ti consigliamo di includere le chiavi delle condizioni nella politica chiave per garantire che la chiave KMS venga EventBridge utilizzata solo per la risorsa o l'account specificati. Per ulteriori informazioni, consulta [Considerazioni relative alla sicurezza](eb-encryption-key-policy.md#eb-encryption-event-bus-confused-deputy).
------
#### [ JSON ]
****
```
{
"Id": "CMKKeyPolicy",
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "events.amazonaws.com"
},
"Action": [
"kms:DescribeKey"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Principal": {
"Service": "events.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt",
"kms:ReEncrypt*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:aws:events:event-bus:arn": "arn:aws:events:us-east-1:123456789012:event-bus/event-bus-arn"
}
}
}
]
}
```
------
# Configurazione della crittografia negli archivi
È possibile specificare la chiave KMS EventBridge da utilizzare quando si crea o si aggiorna un archivio.
## Specificare la crittografia durante la creazione di un archivio
La scelta della AWS KMS chiave utilizzata per la crittografia è un'opzione che consente di creare un archivio. L'impostazione predefinita prevede l'utilizzo del Chiave di proprietà di AWS file fornito da EventBridge.
**Specificare un chiave gestita dal cliente metodo di crittografia durante la creazione di un archivio (console)**
+ Segui queste istruzioni:
[Creazione di archivi](eb-archive-event.md).
**Per specificare un metodo chiave gestita dal cliente di crittografia durante la creazione di un archivio (CLI)**
+ Durante la chiamata`[create-archive](https://docs.aws.amazon.com/cli/latest/reference/events/create-archive.html)`, utilizzate l'`kms-key-identifier`opzione per specificare la chiave gestita dal cliente EventBridge da utilizzare per crittografare gli eventi archiviati nell'archivio.
## Aggiornamento della crittografia negli archivi
È possibile aggiornare la AWS KMS chiave utilizzata per la crittografia inattiva su un archivio esistente. Questo include:
+ Passaggio dal valore predefinito Chiave di proprietà di AWS a un chiave gestita dal cliente.
+ Passaggio da a chiave gestita dal cliente a quello predefinito Chiave di proprietà di AWS.
+ Passare da uno chiave gestita dal cliente all'altro.
**Per aggiornare quello KMS key utilizzato per crittografare gli eventi in un archivio (console)**
1. Apri la EventBridge console Amazon all'indirizzo [https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/).
1. Accedi direttamente all'archivio o dal bus degli eventi di origine:
+ Nel riquadro di navigazione, scegliere **Event history (Cronologia eventi)**.
Nella pagina dei dettagli del bus degli eventi, scegli la scheda **Archivi**.
+ Nel riquadro di navigazione, scegli **Archivi**.
1. Scegli l'archivio che desideri aggiornare.
1. Nella pagina dei dettagli dell'archivio, scegli la scheda **Crittografia**.
1. Scegli la KMS key modalità EventBridge da utilizzare per crittografare gli eventi archiviati nell'archivio.
**Importante**
Se hai specificato di EventBridge utilizzare una chiave gestita dal cliente per crittografare il bus degli eventi di origine, ti consigliamo vivamente di specificare anche una chiave gestita dal cliente per tutti gli archivi per il bus degli eventi.
+ Scegli **Usa Chiave di proprietà di AWS** per EventBridge crittografare i dati utilizzando un. Chiave di proprietà di AWS
Si Chiave di proprietà di AWS tratta di un account KMS key che EventBridge possiede e gestisce per l'utilizzo in più AWS account. In generale, a meno che non sia necessario verificare o controllare la chiave di crittografia che protegge le risorse, an Chiave di proprietà di AWS è una buona scelta.
Questa è l’impostazione predefinita.
+ Scegliete **Usa chiave gestita dal cliente** EventBridge per crittografare i dati utilizzando chiave gestita dal cliente quello che avete specificato o creato.
Chiavi gestite dal cliente sono KMS keys nel tuo AWS account che crei, possiedi e gestisci. Hai il pieno controllo su questi KMS keys.
1. Specificane uno esistente chiave gestita dal cliente o scegli **Crea un nuovo KMS key**.
EventBridge visualizza lo stato della chiave e tutti gli alias chiave che sono stati associati a quella specificata chiave gestita dal cliente.
**Per aggiornare gli eventi KMS key utilizzati per la crittografia degli eventi archiviati in un archivio (CLI)**
+ Durante la chiamata`[update-archive](https://docs.aws.amazon.com/cli/latest/reference/events/update-archive.html)`, utilizzate l'`kms-key-identifier`opzione per specificare il modulo EventBridge da utilizzare chiave gestita dal cliente per crittografare gli eventi archiviati nell'archivio.