本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# Amazon 的数据保护 EventBridge
<a name="eb-data-protection"></a>

分 Amazon [分担责任模型](https://www.amazonaws.cn/compliance/shared-responsibility-model/)适用于中的数据保护 Amazon EventBridge。如本模型所述 Amazon ，负责保护运行所有内容的全球基础架构 Amazon Web Services 云。您负责维护对托管在此基础结构上的内容的控制。您还负责您所使用的 Amazon Web Services 服务 的安全配置和管理任务。有关数据隐私的更多信息，请参阅[数据隐私常见问题](https://www.amazonaws.cn/compliance/data-privacy-faq/)。

出于数据保护目的，我们建议您保护 Amazon Web Services 账户 凭证并使用 Amazon IAM Identity Center 或 Amazon Identity and Access Management (IAM) 设置个人用户。这样，每个用户只获得履行其工作职责所需的权限。还建议您通过以下方式保护数据：
+ 对每个账户使用多重身份验证（MFA）。
+ 用于 SSL/TLS 与 Amazon 资源通信。我们要求使用 TLS 1.2，建议使用 TLS 1.3。
+ 使用设置 API 和用户活动日志 Amazon CloudTrail。有关使用 CloudTrail 跟踪捕获 Amazon 活动的信息，请参阅《*Amazon CloudTrail 用户指南》*中的[使用跟 CloudTrail 踪](https://docs.amazonaws.cn/awscloudtrail/latest/userguide/cloudtrail-trails.html)。
+ 使用 Amazon 加密解决方案以及其中的所有默认安全控件 Amazon Web Services 服务。
+ 使用高级托管安全服务（例如 Amazon Macie），它有助于发现和保护存储在 Amazon S3 中的敏感数据。
+ 如果您在 Amazon 通过命令行界面或 API 进行访问时需要经过 FIPS 140-3 验证的加密模块，请使用 FIPS 端点。有关可用的 FIPS 端点的更多信息，请参阅《美国联邦信息处理标准（FIPS）第 140-3 版》[https://www.amazonaws.cn/compliance/fips/](https://www.amazonaws.cn/compliance/fips/)。

强烈建议您切勿将机密信息或敏感信息（如您客户的电子邮件地址）放入标签或自由格式文本字段（如**名称**字段）。这包括您使用控制台、API EventBridge 或以其他 Amazon Web Services 服务 方式使用控制台 Amazon CLI、API 或时 Amazon SDKs。在用于名称的标签或自由格式文本字段中输入的任何数据都可能会用于计费或诊断日志。如果您向外部服务器提供 URL，强烈建议您不要在网址中包含凭证信息来验证对该服务器的请求。

## 中的数据加密 EventBridge
<a name="eb-data-encryption"></a>

EventBridge 提供*静态加密*和*传输加密以*保护您的数据：
+ 静态加密

  EventBridge 与 Amazon Key Management Service (KMS) 集成以加密存储的数据。默认情况下， EventBridge Amazon 拥有的密钥 使用加密数据。您也可以指定改 EventBridge 为使用客户管理的密钥来实现特定功能。
+ 传输中加密

  EventBridge 使用传输层安全 (TLS) 对在与其他服务之间 EventBridge 传递的数据进行加密。

  对于事件总线，这包括向 EventBridge事件发送期间以及向规则目标 EventBridge 发送事件的时间。

## Amazon 中的静态加密 EventBridge
<a name="eb-encryption-at-rest"></a>

EventBridge 通过与 Amazon Key Management Service (KMS) 集成，提供透明的服务器端加密。默认情况下，静态数据加密有助于降低保护敏感数据的操作开销和复杂性。同时，它还支持构建符合严格加密合规性和监管要求的安全应用程序。

默认情况下， EventBridge Amazon 拥有的密钥 使用加密数据。您可以指定改 EventBridge 为使用客户托管密钥来管理特定资源。

下表按资源列出了静 EventBridge 态加密的工件：


| **资源** | **详细信息** | **Amazon 拥有的密钥** | **客户托管密钥** | 
| --- | --- | --- | --- | 
| [API 目标](eb-api-destinations.md) | 连接授权参数存储在 Amazon Secrets Manager 密钥中。 | 支持 | [支持的](encryption-connections.md) | 
| [归档](eb-archive.md) |  | 支持 | [支持的](encryption-archives.md) | 
| [连接](eb-target-connection.md) | 连接授权参数存储在 Amazon Secrets Manager 密钥中。 | 支持 | [支持的](encryption-connections.md) | 
|  [事件总线](eb-event-bus.md)  |  包含： [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/eventbridge/latest/userguide/eb-data-protection.html)  | 支持 | [支持的](eb-encryption-event-bus-cmkey.md) | 
| [管道](eb-pipes.md) |  包含： [\[See the AWS documentation website for more details\]](http://docs.amazonaws.cn/eventbridge/latest/userguide/eb-data-protection.html) 流经管道的事件从不会静态存储。  | 支持 | [支持的](eb-encryption-pipes-cmkey.md) | 

**重要**  
我们强烈建议您不要在以下构件中输入机密或敏感信息，因为它们不是静态加密的：  
事件总线名称
规则名称
共享资源，例如标签