As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Criptografando registros do barramento de eventos com o in AWS KMS EventBridge
Ao enviar registros, EventBridge criptografa as `error` seções `detail` e de cada registro de log com a chave KMS especificada para o barramento de eventos. Se você especificou uma chave gerenciada pelo cliente para o barramento de eventos, EventBridge use essa chave para criptografia em trânsito. Depois de entregue, o registro será descriptografado e, em seguida, recriptografado com a chave KMS especificada para o destino do log.
## Contexto de criptografia dos logs do barramento de eventos
Um [contexto de criptografia](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#encrypt_context) é um conjunto de pares de chave-valor que contêm dados arbitrários não secretos. Quando você inclui um contexto de criptografia em uma solicitação para criptografar dados, o AWS KMS vincula de forma criptográfica o contexto de criptografia aos dados criptografados. Para descriptografar os dados, é necessário passar o mesmo contexto de criptografia.
Você também pode usar o contexto de criptografia como uma condição para autorização em políticas e concessões.
Se você usar uma chave gerenciada pelo cliente para proteger seus EventBridge recursos, poderá usar o contexto de criptografia para identificar o uso da chave KMS key nos registros e registros de auditoria. Ele também é exibido em texto simples em logs, como [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) e [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html).
Para registros de barramento de eventos, EventBridge usa o mesmo contexto de criptografia em todas as operações AWS KMS criptográficas.
```
"encryptionContext": {
"kms:EncryptionContext:SourceArn": "arn:{{partition}}:logs:{{region}}:{{account}}:*"
}
```
## AWS KMS principais permissões de política para registro de barramentos de eventos
Para barramentos de eventos que usam uma chave gerenciada pelo cliente, você deve adicionar as permissões a seguir à política de chave.
+ Permita EventBridge criptografar registros usando a chave gerenciada pelo cliente.
```
{
"Sid": "Enable log service encryption",
"Effect": "Allow",
"Principal": {
"Service": "events.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:EncryptionContext:SourceArn": "arn:{{partition}}:logs:{{region}}:{{account}}:*"
}
}
}
```
+ Permita que o serviço de registro decifre os registros enviados por. EventBridge
```
{
"Sid": "Enable log delivery decryption",
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:EncryptionContext:SourceArn": "arn:{{partition}}:logs:{{region}}:{{account}}:*"
}
}
}
```