Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Mengenkripsi data EventBridge Pipa dengan kunci AWS KMS
Anda dapat menentukan bahwa EventBridge menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data pipa yang disimpan saat istirahat, daripada menggunakan Kunci milik AWS as is default. Anda dapat menentukan kunci yang dikelola pelanggan saat membuat atau memperbarui pipa. Untuk informasi selengkapnya tentang tipe kunci, lihat[Opsi kunci KMS](eb-encryption-at-rest-key-options.md).
Data pipa yang EventBridge dienkripsi saat istirahat meliputi:
+ [Pola acara](eb-event-patterns.md)
+ [Transformator masukan](eb-pipes-input-transformation.md)
Peristiwa yang mengalir melalui pipa tidak pernah disimpan saat istirahat.
## EventBridge Konteks enkripsi pipa
[Konteks enkripsi](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#encrypt_context) adalah seperangkat pasangan kunci-nilai yang berisi data non-rahasia yang arbitrer. Ketika Anda menyertakan konteks enkripsi dalam permintaan untuk mengenkripsi data, AWS KMS secara kriptografi mengikat konteks enkripsi untuk data terenkripsi tersebut. Untuk mendekripsi data, Anda harus meneruskan konteks enkripsi yang sama.
Anda juga dapat menggunakan konteks enkripsi sebagai syarat untuk otorisasi dalam kebijakan dan hibah.
Jika Anda menggunakan kunci yang dikelola pelanggan untuk melindungi EventBridge sumber daya Anda, Anda dapat menggunakan konteks enkripsi untuk mengidentifikasi penggunaan catatan dan log audit KMS key dalam. Itu juga muncul dalam plaintext di log, seperti [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)dan. [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html)
Untuk EventBridge Pipes, EventBridge menggunakan konteks enkripsi yang sama di semua operasi AWS KMS kriptografi. Konteksnya mencakup pasangan kunci-nilai tunggal, yang berisi pipa ARN.
```
"encryptionContext": {
"kms:EncryptionContext:aws:pipes:arn": "pipe-arn"
}
```
Untuk log vended, EventBridge gunakan konteks enkripsi berikut.
```
"encryptionContext": {
"kms:EncryptionContext:SourceArn": "arn:partition:logs:region:account:*"
}
```
## AWS KMS kebijakan utama untuk EventBridge Pipa
Contoh kebijakan kunci berikut memberikan izin yang diperlukan untuk pipa:
+ `kms:DescribeKey`
+ `kms:GenerateDataKey`
+ `kms:Decrypt`
Sebagai praktik keamanan terbaik, kami sarankan Anda menyertakan kunci kondisi dalam kebijakan kunci untuk membantu memastikan bahwa hanya EventBridge menggunakan AWS KMS kunci untuk sumber daya atau akun yang ditentukan. Untuk informasi selengkapnya, lihat [Pertimbangan keamanan](eb-encryption-key-policy.md#eb-encryption-event-bus-confused-deputy).
------
#### [ JSON ]
****
```
{
"Id": "CMKKeyPolicy",
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:role/pipe-execution-role"
},
"Action": [
"kms:DescribeKey"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:role/pipe-execution-rolee"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "*",
"Condition": {
"ArnLike": {
"kms:EncryptionContext:aws:pipe:arn": "arn:aws:pipes:us-east-1:123456789012:pipe/pipe-name"
},
"ForAnyValue:StringEquals": {
"kms:EncryptionContextKeys": [
"aws:pipe:arn"
]
}
}
}
]
}
```
------
### Izin untuk log pipa yang menyertakan data eksekusi
Jika Anda telah mengonfigurasi pencatatan pipa untuk menyertakan data eksekusi, kebijakan utama harus menyertakan izin berikut untuk layanan logging:
+ `kms:Decrypt`
+ `kms:GenerateDataKey`
Untuk informasi selengkapnya, lihat [Termasuk data eksekusi di log EventBridge Pipes](eb-pipes-logs.md#eb-pipes-logs-execution-data).
Contoh kebijakan kunci berikut memberikan izin yang diperlukan untuk logging pipa:
```
{
"Sid": "Enable log service encryption",
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:EncryptionContext:SourceArn": "arn:partition:logs:region:account:*"
}
}
}
```
Selain itu, peran eksekusi pipa membutuhkan `kms:GenerateDataKey` permisson.
```
{
"Sid": "Enable log service encryption",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::account:role/pipe-execution-role"
},
"Action": [
"kms:GenerateDataKey"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:EncryptionContext:SourceArn": "arn:partition:logs:region:account:*"
}
}
}
```
Peran eksekusi pipa juga harus mencakup:
```
"Action": [
"kms:GenerateDataKey"
],
"Resource": "key-arn",
"Condition": {
"StringLike": {
"kms:EncryptionContext:SourceArn": "arn:partition:logs:region:account:*"
}
}
```
# Mengkonfigurasi enkripsi di Pipa EventBridge
Anda dapat menentukan kunci KMS EventBridge untuk digunakan ketika Anda membuat atau memperbarui pipa.
## Menentukan AWS KMS kunci yang digunakan untuk enkripsi saat membuat pipa
Memilih AWS KMS kunci yang digunakan untuk enkripsi adalah opsi membuat pipa. Defaultnya adalah menggunakan yang Kunci milik AWS disediakan oleh EventBridge.
**Untuk menentukan kunci terkelola pelanggan untuk enkripsi saat membuat pipa (konsol)**
+ Ikuti petunjuk ini:
[Membuat pipa](eb-pipes-create.md).
**Untuk menentukan kunci yang dikelola pelanggan untuk enkripsi saat membuat pipa (CLI)**
+ Saat menelepon`[create-pipe](https://docs.aws.amazon.com/cli/latest/reference/pipes/create-pipe.html)`, gunakan `kms-key-identifier` opsi untuk menentukan kunci yang dikelola pelanggan EventBridge untuk digunakan untuk enkripsi pada bus acara.
## Memperbarui AWS KMS kunci yang digunakan untuk enkripsi pada EventBridge Pipa
Anda dapat memperbarui AWS KMS kunci yang digunakan untuk enkripsi saat istirahat pada pipa yang ada. Hal ini mencakup:
+ Mengubah dari default Kunci milik AWS ke kunci yang dikelola pelanggan.
+ Mengubah dari kunci yang dikelola pelanggan ke default Kunci milik AWS.
+ Mengubah dari satu kunci yang dikelola pelanggan ke yang lain.
Saat Anda memperbarui pipa untuk menggunakan AWS KMS kunci yang berbeda, EventBridge dekripsi data apa pun yang tersimpan di pipa dan kemudian mengenkripsi menggunakan kunci baru.
**Untuk memperbarui kunci KMS yang digunakan untuk enkripsi pada pipa (konsol)**
1. Buka EventBridge konsol Amazon di [https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/).
1. Di panel navigasi, pilih **Pipa**.
1. Pilih pipa yang ingin Anda perbarui.
1. Pada halaman detail bus pipa, pilih tab **Enkripsi**.
1. Pilih kunci KMS EventBridge untuk digunakan saat mengenkripsi data yang disimpan di pipa:
+ Pilih **Gunakan Kunci milik AWS** EventBridge untuk mengenkripsi data menggunakan file Kunci milik AWS.
Ini Kunci milik AWS adalah kunci KMS yang EventBridge memiliki dan mengelola untuk digunakan di beberapa AWS akun. Secara umum, kecuali Anda diminta untuk mengaudit atau mengontrol kunci enkripsi yang melindungi sumber daya Anda, a Kunci milik AWS adalah pilihan yang baik.
Ini adalah opsi default.
+ Pilih **Gunakan kunci terkelola pelanggan** EventBridge untuk mengenkripsi data menggunakan kunci terkelola pelanggan yang Anda tentukan atau buat.
Kunci yang dikelola pelanggan adalah kunci KMS di AWS akun Anda yang Anda buat, miliki, dan kelola. Anda memiliki kontrol penuh atas kunci KMS ini.
1. Tentukan kunci terkelola pelanggan yang sudah ada, atau pilih **Buat kunci KMS baru**.
EventBridge menampilkan status kunci dan alias kunci apa pun yang telah dikaitkan dengan kunci terkelola pelanggan yang ditentukan.
**Untuk memperbarui kunci KMS yang digunakan untuk enkripsi pada pipa (CLI)**
+ Saat menelepon`[update-pipe](https://docs.aws.amazon.com/cli/latest/reference/pipes/update-pipe.html)`, gunakan `kms-key-identifier` opsi untuk menentukan kunci yang dikelola pelanggan EventBridge untuk digunakan untuk mengenkripsi data pipa.