翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# EventBridge に対するカスタマーマネージドキーの使用の承認
<a name="eb-encryption-key-policy"></a>

アカウントでカスタマーマネージドキーを使って EventBridge リソースを保護する場合は、その KMS キーのポリシーで、ユーザーに代わってキーを使用するための EventBridge アクセス許可を付与する必要があります。これらのアクセス許可は[キーポリシー](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html)で付与します。

EventBridge は、 AWS アカウントの EventBridge リソースを保護するためにデフォルトを使用する AWS 所有のキー ための追加の認可を必要としません。

EventBridge では、カスタマーマネージドキーを使用するために次のアクセス許可が必要です。
+ [https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)

  EventBridge では、指定されたキー ID の KMS キー ARN を取得し、キーが対称であることを確認するためにこのアクセス許可が必要です。
+ [https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)

  EventBridge では、データの暗号化キーとしてデータキーを生成するためにこのアクセス許可が必要です。
+ [https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html)

  EventBridge では、暗号化され、暗号化されたデータとともに保存されているデータキーを復号するためにこのアクセス許可が必要です。

  EventBridge はイベントパターンのマッチングにこれを使用します。ユーザーはこのデータにアクセスできません。

## EventBridge の暗号化にカスタマーマネージドキーを使用する場合のセキュリティ
<a name="eb-encryption-event-bus-confused-deputy"></a>

セキュリティのベストプラクティスとして、`aws:SourceArn`、`aws:sourceAccount`、または `kms:EncryptionContext:aws:events:event-bus:arn`条件キーを AWS KMS キーポリシーに追加します。IAM グローバル条件キーは、EventBridge が指定されたバスまたはアカウントに対してのみ KMS キーを使用することを保証するのに役立ちます。

次の例は、イベントバスの IAM ポリシーでこのベストプラクティスに従う方法を示しています。

```
{
      "Sid": "Allow the use of key",
      "Effect": "Allow",
      "Principal": {
        "Service": "events.amazonaws.com"
      },
      "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt"
      ],
      "Resource": "*",
      "Condition" : {
        "StringEquals": {
          "aws:SourceAccount": "arn:aws:events:{{region}}:{{account-id}}",
          "aws:SourceArn": "arn:aws:events:{{region}}:{{account-id}}:event-bus/{{event-bus-name}}",
          "kms:EncryptionContext:aws:events:event-bus:arn": "arn:aws:events:{{region}}:{{account-id}}:event-bus/{{event-bus-arn}}"
        }
      }
```