翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# EventBridge AWS KMS での によるイベントバスログの暗号化
ログを送信すると、EventBridge はイベントバスに指定された KMS キーを使用して各ログレコードの `detail` および `error` セクションを暗号化します。イベントバスにカスタマーマネージドキーを指定した場合、EventBridge は転送中の暗号化にそのキーを使用します。配信されると、レコードは復号され、ログの送信先に指定された KMS キーで再度暗号化されます。
## イベントバスログの暗号化コンテキスト
[暗号化コンテキスト](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#encrypt_context)は、一連のキー値のペアおよび任意非シークレットデータを含みます。データを暗号化するリクエストに暗号化コンテキストを組み込むと、 AWS KMS は暗号化コンテキストを暗号化されたデータに暗号化してバインドします。データを復号するには、同じ暗号化コンテキストに渡す必要があります。
また、暗号化コンテクストはポリシーとグラントの認可用の条件としても使用できます。
カスタマーマネージドキーを使用して EventBridge リソースを保護する場合は、暗号化コンテキストを使用して、監査レコードとログ KMS key での の使用を特定できます。また、[AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) や [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) などのログにもプレーンテキストで表示されます。
イベントバスログの場合、 はすべての暗号化オペレーションで同じ AWS KMS 暗号化コンテキスト EventBridge を使用します。
```
"encryptionContext": {
"kms:EncryptionContext:SourceArn": "arn:{{partition}}:logs:{{region}}:{{account}}:*"
}
```
## AWS KMS イベントバスログ記録のキーポリシーアクセス許可
カスタマーマネージドキーを使用するイベントバスの場合、キーポリシーに次のアクセス許可を追加する必要があります。
+ EventBridge がカスタマーマネージドキーを使用してログを暗号化できるようにします。
```
{
"Sid": "Enable log service encryption",
"Effect": "Allow",
"Principal": {
"Service": "events.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:EncryptionContext:SourceArn": "arn:{{partition}}:logs:{{region}}:{{account}}:*"
}
}
}
```
+ ログ記録サービスが EventBridge によって送信されたログを復号できるようにします。
```
{
"Sid": "Enable log delivery decryption",
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:EncryptionContext:SourceArn": "arn:{{partition}}:logs:{{region}}:{{account}}:*"
}
}
}
```