As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Autorizando o uso EventBridge de uma chave gerenciada pelo cliente
<a name="eb-encryption-key-policy"></a>

Se você usa uma chave gerenciada pelo cliente em sua conta para proteger seus EventBridge recursos, as políticas dessa chave KMS devem dar EventBridge permissão para usá-la em seu nome. Você fornece essas permissões em uma [política de chave](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html). 

EventBridge não precisa de autorização adicional para usar o padrão Chave pertencente à AWS para proteger os EventBridge recursos em sua AWS conta.

EventBridge requer as seguintes permissões para usar as chaves gerenciadas pelo cliente:
+ [https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)

  EventBridge requer essa permissão para recuperar o ARN da chave KMS para o ID de chave fornecido e para verificar se a chave é simétrica.
+ [https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)

  EventBridge requer essa permissão para gerar uma chave de dados como chave de criptografia para os dados.
+ [https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html)

  EventBridge requer essa permissão para descriptografar a chave de dados criptografada e armazenada com os dados criptografados.

  EventBridge usa isso para correspondência de padrões de eventos; os usuários nunca têm acesso aos dados.

## Segurança ao usar chaves gerenciadas pelo cliente para EventBridge criptografia
<a name="eb-encryption-event-bus-confused-deputy"></a>

Como prática recomendada de segurança, adicione uma `aws:SourceArn` chave de `kms:EncryptionContext:aws:events:event-bus:arn` condição ou à política de AWS KMS chaves. `aws:sourceAccount` A chave de condição global do IAM ajuda a garantir que a chave KMS seja EventBridge usada somente para o barramento ou a conta especificada.

O seguinte exemplo demonstra como seguir essa prática recomendada na política do IAM para um barramento de eventos:

```
{
      "Sid": "Allow the use of key",
      "Effect": "Allow",
      "Principal": {
        "Service": "events.amazonaws.com"
      },
      "Action": [
        "kms:GenerateDataKey",
        "kms:Decrypt"
      ],
      "Resource": "*",
      "Condition" : {
        "StringEquals": {
          "aws:SourceAccount": "arn:aws:events:{{region}}:{{account-id}}",
          "aws:SourceArn": "arn:aws:events:{{region}}:{{account-id}}:event-bus/{{event-bus-name}}",
          "kms:EncryptionContext:aws:events:event-bus:arn": "arn:aws:events:{{region}}:{{account-id}}:event-bus/{{event-bus-arn}}"
        }
      }
```