使用密 AWS KMS 钥加密事件 EventBridge - Amazon EventBridge
在创建事件总线时指定 AWS KMS 密钥更新事件总线上使用的 AWS KMS 密钥

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用密 AWS KMS 钥加密事件 EventBridge

您可以指定 EventBridge 使用 AWS KMS 来加密存储在事件总线上的数据(自定义事件和合作伙伴事件),而不是使用 as AWS 拥有的密钥 作为默认值。您可以在创建或更新事件总线 客户托管式密钥 时指定。您也可以将默认事件总线更新为 客户托管式密钥 用于自定义事件和合作伙伴事件。有关更多信息,请参阅 KMS key 选项

如果 客户托管式密钥 为事件总线指定,则可以选择为事件总线指定死信队列 (DLQ)。 EventBridge 然后向其发送任何会生成加密或解密错误的自定义事件或合作伙伴事件。DLQ有关更多信息,请参阅 DLQs用于加密事件

指定创建事件总线时用于加密的密 AWS KMS 钥

选择用于加密的 AWS KMS 密钥是创建事件总线的一部分。默认为使用 AWS 拥有的密钥 提供的 EventBridge。

在创建事件总线时指定 客户托管式密钥 用于加密(控制台)
要在创建事件总线时指定 客户托管式密钥 用于加密 (CLI)

  • 调用时create-event-bus,使用kms-key-identifier选项指定 客户托管式密钥 用于在事件总线上 EventBridge 进行加密的 for。

    (可选)使用dead-letter-config来指定死信队列 () DLQ。

更新事件总线上用于加密的密 AWS KMS 钥

您可以在现有事件总线上更新用于静态加密的密 AWS KMS 钥。这包括从默认值更改 AWS 拥有的密钥 为 a 客户托管式密钥、从 a 更改 客户托管式密钥 为默认值 AWS 拥有的密钥或从一个更改 客户托管式密钥 为另一个。

在事件总线(控制台)上更新 KMS key 用于加密的

  1. 打开亚马逊 EventBridge 控制台,网址为https://console.aws.amazon.com/events/

  2. 在导航窗格中,选择 Event Buses (事件总线)

  3. 选择要更新的事件总线。

  4. 在事件总线详细信息页面上,选择加密选项卡。

  5. 选择加密存储在 KMS key 事件总线上的事件数据时 EventBridge 要使用的:

    • 选择 “ AWS 拥有的密钥使用” EventBridge 以使用加密数据 AWS 拥有的密钥。

      AWS 拥有的密钥 这是一 KMS key 款 EventBridge 拥有并管理多个账户的 AWS 账户。通常,除非要求您审核或控制保护资源的加密密钥, AWS 拥有的密钥 否则不妨选择。

      这是默认模式。

    • 选择 “用 客户托管式密钥 EventBridge 于”,使用您指定或创建 客户托管式密钥 的对数据进行加密。

      客户自主管理型密钥 KMS keys 位于您创建、拥有和管理的 AWS 账户中。你可以完全控制这些 KMS keys。

      1. 指定现有的 客户托管式密钥,或选择 “新建” KMS key。

        EventBridge 显示密钥状态以及与指定 客户托管式密钥密钥关联的所有密钥别名。

      2. 选择要用作此事件总线的死信队列 (DLQ) 的 Amazon SQS 队列(如果有)。

        EventBridge 将未成功加密的事件发送到(如果已配置),因此您可以稍后对其进行处理。DLQ

更新事件总线上 KMS key 用于加密的 (CLI)

  • 调用时update-event-bus,使用kms-key-identifier选项指定 客户托管式密钥 用于在事件总线上 EventBridge 进行加密的 for。

    (可选)使用dead-letter-config来指定死信队列 () DLQ。

要在默认事件总线上更新 KMS key 用于加密的,请使用 CloudFormation

由于 EventBridge 会自动将默认事件总线置备到您的账户中,因此您无法像往常一样使用 CloudFormation 模板来创建它,就像您要包含在 CloudFormation 堆栈中的任何资源一样。要将默认事件总线包含在 CloudFormation 堆栈中,必须先将其入堆栈。将默认事件总线导入堆栈后,即可根据需要更新事件总线属性。