本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 在 EventBridge 事件总线上配置加密
<a name="eb-encryption-event-bus-cmkey-configure"></a>

您可以指定创建或更新事件总线时 EventBridge 要使用的 KMS 密钥。您还可以更新默认事件总线，使其使用客户自主管理型密钥。

## 指定创建事件总线时用于加密的密 AWS KMS 钥
<a name="eb-encryption-event-bus-cmkey-create"></a>

选择用于加密的 AWS KMS 密钥是创建事件总线的一部分。默认为使用 AWS 拥有的密钥 提供的 EventBridge。

**在创建事件总线时指定客户自主管理型密钥进行加密（控制台）**
+ 按照以下说明进行操作：

  [创建事件总线](eb-create-event-bus.md).

**在创建事件总线时指定客户自主管理型密钥进行加密（CLI）**
+ 呼叫时`[create-event-bus](https://docs.aws.amazon.com/cli/latest/reference/events/create-event-bus.html)`，使用`kms-key-identifier`选项指定要在事件总线上进行 EventBridge 加密的客户托管密钥。

  （可选）使用 `dead-letter-config` 指定一个死信队列（DLQ）。

## 更新事件总线上用于加密的密 AWS KMS 钥
<a name="eb-encryption-event-bus-cmkey-update"></a>

您可以在现有事件总线上更新用于静态加密的密 AWS KMS 钥。这包括：
+ 从默认密钥更改 AWS 拥有的密钥 为客户管理的密钥。
+ 从客户管理的密钥更改为默认密钥 AWS 拥有的密钥。
+ 从一个客户自主管理型密钥更改为另一个客户自主管理型密钥。

更新事件总线以使用其他密 AWS KMS 钥时，会 EventBridge 解密存储在事件总线上的任何数据，然后使用新密钥对其进行加密。

**更新在事件总线上用于加密的 KMS 密钥（控制台）**

1. 打开 Amazon EventBridge 控制台，网址为[https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/)。

1. 在导航窗格中，选择**事件总线**。

1. 选择要更新的事件总线。

1. 在事件总线详细信息页面上，选择**加密**选项卡。

1. 选择加密存储在事件总线上的事件数据时 EventBridge 要使用的 KMS 密钥：
   + 选择 “** AWS 拥有的密钥使用**” EventBridge 以使用加密数据 AWS 拥有的密钥。

      AWS 拥有的密钥 这是一个 KMS 密钥， EventBridge 拥有并管理，可在多个 AWS 账户中使用。通常， AWS 拥有的密钥 是一个不错的选择，除非您需要审计或控制保护资源的加密密钥。

     这是默认值。
   + 选择 “**使用客户托管密钥**” EventBridge ，使用您指定或创建的客户托管密钥对数据进行加密。

     客户托管密钥是在您的 AWS 账户中由您创建、拥有和管理的 KMS 密钥。您对此类 KMS 密钥拥有完全控制权。

     1. 指定现有的客户自主管理型密钥，或选择**创建新的 KMS 密钥**。

        EventBridge 显示密钥状态以及与指定客户托管密钥关联的所有密钥别名。

     1. 选择要用作此事件总线的死信队列（DLQ）的 Amazon SQS 队列（如果有）。

        EventBridge 将未成功加密的事件发送到 DLQ（如果已配置），因此您可以稍后对其进行处理。

**更新在事件总线上用于加密的 KMS 密钥（CLI）**
+ 呼叫时`[update-event-bus](https://docs.aws.amazon.com/cli/latest/reference/events/create-event-bus.html)`，使用`kms-key-identifier`选项指定要在事件总线上进行 EventBridge 加密的客户托管密钥。

  （可选）使用 `dead-letter-config` 指定一个死信队列（DLQ）。

**要在默认事件总线上更新用于加密的 KMS 密钥，请使用 CloudFormation**

由于 EventBridge 会自动将默认事件总线置备到您的账户中，因此您无法像往常一样使用 CloudFormation 模板来创建它，就像您要包含在 CloudFormation 堆栈中的任何资源一样。要将默认事件总线包含在 CloudFormation 堆栈中，必须先将其*导*入堆栈。将默认事件总线导入堆栈后，即可根据需要更新事件总线属性。
+ 按照以下说明进行操作：

  [使用更新默认总线 CloudFormation](event-bus-update-default-cfn.md).