在 EventBridge 中使用 AWS KMS 金鑰加密事件 - Amazon EventBridge
建立事件匯流排時設定加密更新事件匯流排上的加密

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

在 EventBridge 中使用 AWS KMS 金鑰加密事件

您可以指定 EventBridge 使用 AWS KMS 來加密存放在事件匯流排上的資料 (自訂和合作夥伴事件),而不是使用 AWS 擁有的金鑰 作為預設值。您可以在建立或更新事件匯流排 客戶受管金鑰 時指定 。您也可以更新預設事件匯流排,以將 客戶受管金鑰 用於自訂和合作夥伴事件。如需詳細資訊,請參閱KMS key 選項

如果您 客戶受管金鑰 為事件匯流排指定 ,您可以選擇為事件匯流排指定無效字母佇列 (DLQ)。 EventBridge 然後, 會交付任何產生加密或解密錯誤的自訂或合作夥伴事件至該 DLQ。如需詳細資訊,請參閱加密事件DLQs

指定建立事件匯流排時用於加密的 AWS KMS 金鑰

選擇用於加密的 AWS KMS 金鑰是建立事件匯流排的一部分。預設為使用 AWS 擁有的金鑰 提供的 EventBridge。

在建立事件匯流排時指定 客戶受管金鑰 用於加密的 (主控台)
在建立事件匯流排 (CLI) 時指定 客戶受管金鑰 用於加密的

  • 呼叫 時create-event-bus,請使用 kms-key-identifier選項指定 EventBridge 客戶受管金鑰 供 在事件匯流排上使用加密。

    或者,使用 dead-letter-config指定無效字母佇列 (DLQ)。

更新用於在事件匯流排上加密的 AWS KMS 金鑰

您可以更新用於現有事件匯流排上靜態加密的 AWS KMS 金鑰。這包括從預設值 AWS 擁有的金鑰 變更為 客戶受管金鑰、從 客戶受管金鑰 變更為預設值 AWS 擁有的金鑰,或從一個 客戶受管金鑰 變更為另一個。

更新 KMS key 用於在事件匯流排上加密的 (主控台)

  1. 訪問 https://console.aws.amazon.com/events/ 開啟 Amazon EventBridge 主控台。

  2. 在導覽窗格中,選擇事件匯流排

  3. 選擇您要更新的事件匯流排。

  4. 在事件匯流排詳細資訊頁面上,選擇加密索引標籤。

  5. 選擇 KMS key 用於 的 EventBridge ,用於加密存放在事件匯流排上的事件資料:

    • 選擇使用 AWS 擁有的金鑰 EventBridge 以使用 加密資料 AWS 擁有的金鑰。

      AWS 擁有的金鑰 這是 KMS key EventBridge 擁有和管理用於多個 AWS 帳戶的 。一般而言,除非您需要稽核或控制保護資源的加密金鑰,否則 AWS 擁有的金鑰 是不錯的選擇。

      此為預設值。

    • 選擇使用 客戶受管金鑰 EventBridge ,以使用您指定或建立 客戶受管金鑰 的 來加密資料。

      客戶受管金鑰 KMS keys 位於您建立、擁有和管理的 AWS 帳戶中。您可以完全控制這些項目 KMS keys。

      1. 指定現有的 客戶受管金鑰,或選擇建立新的 KMS key

        EventBridge 會顯示金鑰狀態,以及與指定 相關聯的任何金鑰別名 客戶受管金鑰。

      2. 如果有的話,請選擇要用作此事件匯流排無效字母佇列 (DLQ) 的 Amazon SQS 佇列。

        EventBridge 如果已設定, 會將未成功加密的事件傳送至 DLQ,以便您稍後處理。

更新 KMS key 用於事件匯流排加密的 (CLI)

  • 呼叫 時update-event-bus,請使用 kms-key-identifier選項來指定 EventBridge 客戶受管金鑰 供 在事件匯流排上使用加密。

    或者,使用 dead-letter-config指定無效字母佇列 (DLQ)。

若要更新預設事件匯流排上 KMS key 用於加密的 ,請使用 CloudFormation

由於 會自動將預設事件匯流排 EventBridge 佈建至您的帳戶,因此您無法使用 CloudFormation 範本建立它,就像您通常想要包含在 CloudFormation 堆疊中的任何資源一樣。若要在 CloudFormation 堆疊中包含預設事件匯流排,您必須先將其匯入堆疊。將預設事件匯流排匯入堆疊後,您可以視需要更新事件匯流排屬性。