As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Criptografia em repouso no EventBridge Scheduler
Esta seção descreve como o Amazon EventBridge Scheduler criptografa e descriptografa seus dados em repouso. Os dados em repouso são dados armazenados no EventBridge Scheduler e nos componentes subjacentes do serviço. EventBridge O Scheduler se integra com AWS Key Management Service (AWS KMS) para criptografar e descriptografar seus dados usando um AWS KMS key. EventBridge O Scheduler suporta dois tipos de KMS chaves: Chaves pertencentes à AWSe chaves gerenciadas pelo cliente.
nota
EventBridge O Scheduler só suporta o uso de chaves de criptografia KMSsimétricas.
Chaves pertencentes à AWSsão KMS chaves que um AWS o serviço possui e gerencia para uso em vários AWS contas. Embora o Chaves pertencentes à AWS EventBridge Os usos do agendador não são armazenados em seu AWS conta, o EventBridge Scheduler os usa para proteger seus dados e recursos. Por padrão, o EventBridge Scheduler criptografa e descriptografa todos os seus dados usando um AWS chave de propriedade. Você não precisa gerenciar seu Chave pertencente à AWS ou sua política de acesso. Você não incorre em nenhuma taxa quando o EventBridge Scheduler usa Chaves pertencentes à AWS para proteger seus dados, e seu uso não conta como parte de seu AWS KMS cotas em sua conta.
As chaves gerenciadas pelo cliente são KMS chaves armazenadas em seu AWS conta que você cria, possui e gerencia. Se seu caso de uso específico exigir que você controle e audite as chaves de criptografia que protegem seus dados no EventBridge Scheduler, você pode usar uma chave gerenciada pelo cliente. Se você escolher uma chave gerenciada pelo cliente, será necessário gerenciar sua política de chave. Chaves gerenciadas pelo cliente geram uma taxa mensal e uma taxa para uso que excede o nível gratuito. Usar uma chave gerenciada pelo cliente também conta como parte de sua AWS KMS cota. Para obter mais informações sobre preços, consulte AWS Key Management Service preços
Artefatos de criptografia
A tabela a seguir descreve os diferentes tipos de dados que o EventBridge Scheduler criptografa em repouso e que tipo de KMS chave ele suporta para cada categoria.
Tipo de dados | Descrição | Chave pertencente à AWS | chave gerenciada pelo cliente |
---|---|---|---|
Carga útil (até 256 KB) |
Os dados que você especifica no parâmetro |
Compatível |
Compatível |
Identificador e estado |
O nome exclusivo e o estado (ativar, desativar) da agenda. |
Compatível |
Sem compatibilidade |
Configuração de agendamento. |
A expressão de agendamento, como a expressão cron ou rate para agendamentos recorrentes, e o carimbo de data/hora para invocações únicas, bem como a data de início, a data de término e o fuso horário do agendamento. |
Compatível |
Sem compatibilidade |
Configurações de destino |
O Amazon Resource Name (ARN) do alvo e outros detalhes de configuração relacionados ao destino. |
Compatível |
Sem compatibilidade |
Configuração de invocação e comportamento de falha |
Configuração de janela de tempo flexível, a política de repetição do agendamento e os detalhes da fila de mensagens não entregues usados para entregas malsucedidas. |
Compatível |
Sem compatibilidade |
EventBridge O Scheduler usa suas chaves gerenciadas pelo cliente somente ao criptografar e descriptografar a carga de destino, conforme descrito na tabela anterior. Se você optar por usar uma chave gerenciada pelo cliente, o EventBridge Scheduler criptografará e descriptografará a carga duas vezes: uma vez usando o padrão Chave pertencente à AWS e outra vez usando a chave gerenciada pelo cliente que você especifica. Para todos os outros tipos de dados, o EventBridge Scheduler usa apenas o padrão Chave pertencente à AWS para proteger seus dados em repouso.
Use a Gerenciando KMS chaves seção a seguir para saber como você deve gerenciar seus IAM recursos e políticas principais para usar uma chave gerenciada pelo cliente com o EventBridge Scheduler.
Gerenciando KMS chaves
Opcionalmente, você pode fornecer uma chave gerenciada pelo cliente para criptografar e descriptografar a carga útil que sua agenda entrega ao destino. EventBridge O Scheduler criptografa e descriptografa sua carga útil de até 256 KB de dados. Utilizar uma chave gerenciada pelo cliente gera uma taxa mensal e uma taxa que excede o nível gratuito. O uso de uma chave gerenciada pelo cliente conta como parte de sua AWS KMS cota. Para obter mais informações sobre preços, consulte AWS Key Management Service preços
EventBridge O agendador usa IAM permissões associadas ao diretor que cria um cronograma para criptografar seus dados. Isso significa que você deve anexar o necessário AWS KMS permissões relacionadas ao usuário, ou função, que chama o EventBridge Agendador. API Além disso, o EventBridge Scheduler usa políticas baseadas em recursos para descriptografar seus dados. Isso significa que a função de execução associada ao seu cronograma também deve ter o necessário AWS KMS permissões relacionadas para chamar o AWS KMS APIao descriptografar dados.
nota
EventBridge O Scheduler não suporta o uso de concessões para permissões temporárias.
Use a seção a seguir para saber como você pode gerenciar seu AWS KMS política de chaves e IAM permissões necessárias para usar uma chave gerenciada pelo cliente no EventBridge Scheduler.
Adicionar IAM permissões
Para usar uma chave gerenciada pelo cliente, você deve adicionar as seguintes permissões ao IAM principal baseado em identidade que cria um cronograma, bem como à função de execução que você associa ao cronograma.
Permissões baseadas em identidade para chaves gerenciadas pelo cliente
Você deve adicionar o seguinte AWS KMS ações para a política de permissão associada a qualquer diretor (usuários, grupos ou funções) que chame o EventBridge Agendador API ao criar um agendamento.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "scheduler:*", # Required to pass the execution role "iam:PassRole", "kms:DescribeKey", "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "*", "Effect": "Allow" }, ] }
-
kms:DescribeKey
— Necessário para validar se a chave fornecida é uma chave de criptografia KMSsimétrica. -
kms:GenerateDataKey
— Necessário para gerar a chave de dados que o EventBridge Scheduler usa para realizar a criptografia do lado do cliente. -
kms:Decrypt
— É necessário descriptografar a chave de dados criptografada que o EventBridge Scheduler armazena junto com seus dados criptografados.
Permissões da função de execução para chaves gerenciadas pelo cliente
Você deve adicionar a seguinte ação à política de permissões da função de execução da sua agenda para fornecer acesso ao EventBridge Agendador para chamar o AWS KMS APIao descriptografar seus dados.
{ "Version": "2012-10-17", "Statement" : [ { "Sid" : "Allow EventBridge Scheduler to decrypt data using a customer managed key", "Effect" : "Allow", "Action" : [ "kms:Decrypt" ], "Resource": "arn:aws:kms:
your-region
:123456789012:key/your-key-id
" } ] }
-
kms:Decrypt
— É necessário descriptografar a chave de dados criptografada que o EventBridge Scheduler armazena junto com seus dados criptografados.
Se você usar o console do EventBridge Scheduler para criar uma nova função de execução ao criar um novo EventBridge agendamento, o Scheduler anexará automaticamente a permissão necessária à sua função de execução. No entanto, se você escolher uma função de execução existente, deverá adicionar as permissões necessárias à função para poder usar suas chaves gerenciadas pelo cliente.
Gerenciar a política de chave
Quando você cria uma chave gerenciada pelo cliente usando AWS KMS, por padrão, sua chave tem a seguinte política de chaves para fornecer acesso às funções de execução de seus agendamentos.
{ "Id": "
key-policy-1
", "Version": "2012-10-17", "Statement": [ { "Sid": "Provide required IAM Permissions", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::123456789012
:root" }, "Action": "kms:*", "Resource": "*" } ] }
Opcionalmente, você pode limitar o escopo da sua política de chave para fornecer acesso somente à função de execução. Você pode fazer isso se quiser usar sua chave gerenciada pelo cliente somente com os recursos do EventBridge Scheduler. Use o exemplo de política de chaves a seguir para limitar quais recursos do EventBridge Scheduler podem usar sua chave.
{ "Id": "
key-policy-2
", "Version": "2012-10-17", "Statement": [ { "Sid": "Provide required IAM Permissions", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::695325144837:root" }, "Action": "kms:*", "Resource": "*" }, { "Sid": "Allow use of the key", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::123456789012:role/schedule-execution-role
" }, "Action": [ "kms:Decrypt" ], "Resource": "*" } ] }
CloudTrail exemplo de evento
AWS CloudTrail captura todos os eventos de API chamadas. Isso inclui API chamadas sempre que o EventBridge Scheduler usa sua chave gerenciada pelo cliente para descriptografar seus dados. O exemplo a seguir mostra uma entrada de CloudTrail evento que demonstra o EventBridge Scheduler usando a kms:Decrypt
ação usando uma chave gerenciada pelo cliente.
{ "eventVersion": "1.08", "userIdentity": { "type": "AssumedRole", "principalId": "ABCDEABCD1AB12ABABAB0:70abcd123a123a12345a1aa12aa1bc12", "arn": "arn:aws:sts::123456789012:assumed-role/
execution-role
/70abcd123a123a12345a1aa12aa1bc12", "accountId": "123456789012", "accessKeyId": "ABCDEFGHI1JKLMNOP2Q3", "sessionContext": { "sessionIssuer": { "type": "Role", "principalId": "ABCDEABCD1AB12ABABAB0", "arn": "arn:aws:iam::123456789012:role/execution-role
", "accountId": "123456789012", "userName": "execution-role
" }, "webIdFederationData": {}, "attributes": { "creationDate": "2022-10-31T21:03:15Z", "mfaAuthenticated": "false" } } }, "eventTime": "2022-10-31T21:03:15Z", "eventSource": "kms.amazonaws.com", "eventName": "Decrypt", "awsRegion": "eu-north-1", "sourceIPAddress": "13.50.87.173", "userAgent": "aws-sdk-java/2.17.295 Linux/4.14.291-218.527.amzn2.x86_64 OpenJDK_64-Bit_Server_VM/11.0.17+9-LTS Java/11.0.17 kotlin/1.3.72-release-468 (1.3.72) vendor/Amazon.com_Inc. md/internal exec-env/AWS_ECS_FARGATE io/sync http/Apache cfg/retry-mode/standard AwsCrypto/2.4.0", "requestParameters": { "keyId": "arn:aws:kms:us-west-2:123456789012:key/2321abab-2110-12ab-a123-a2b34c5abc67", "encryptionAlgorithm": "SYMMETRIC_DEFAULT", "encryptionContext": { "aws:scheduler:schedule:arn": "arn:aws:scheduler:us-west-2:123456789012:schedule/default/execution-role
" } }, "responseElements": null, "requestID": "request-id
", "eventID": "event-id
", "readOnly": true, "resources": [ { "accountId": "123456789012", "type": "AWS::KMS::Key", "ARN": "arn:aws:kms:us-west-2:123456789012:key/2321abab-2110-12ab-a123-a2b34c5abc67" } ], "eventType": "AwsApiCall", "managementEvent": true, "recipientAccountId": "123456789012", "eventCategory": "Management", "tlsDetails": { "tlsVersion": "TLSv1.3", "cipherSuite": "TLS_AES_256_GCM_SHA384", "clientProvidedHostHeader": "kms.us-west-2.amazonaws.com" } }