本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# Amazon 中用于数据加密的 KMS 密钥选项 EventBridge
<a name="eb-encryption-at-rest-key-options"></a>

EventBridge 使用 Amazon 拥有的密钥 对存储在资源中的数据进行加密。对于每种资源，您可以选择 EventBridge 用于加密数据的 KMS 密钥类型：
+ **Amazon 拥有的密钥**

  默认情况下，使用 256 位高级 EventBridge 加密标准 (AES-256) 对数据进行加密 Amazon 拥有的密钥，这有助于保护您的数据免遭未经授权的访问。

  您无法查看、管理 Amazon 拥有的密钥、使用或审核其使用情况。但是，无需采取任何措施或更改任何计划即可保护用于加密数据的密钥。

  通常，除非要求您审核或控制保护资源的加密密钥， Amazon 拥有的密钥 否则不妨选择。 Amazon 拥有的密钥 完全免费（无月费或使用费），且不计入您账户的 Amazon KMS 配额。您不必创建或维护该密钥或其密钥策略。

  有关更多信息，请参阅《*Amazon Key Management Service 开发人员指南*》中的 [Amazon 拥有密钥](https://docs.amazonaws.cn/kms/latest/developerguide/concepts.html#aws-owned-cmk)。
+ **客户托管密钥**

  EventBridge 支持使用由您创建、拥有和管理的对称客户托管密钥。由于您对这类 KMS 密钥拥有完全控制权，因此可以执行如下任务：
  + 制定和维护关键策略
  + 建立和维护 IAM 策略和授权
  + 启用和禁用密钥策略
  + 轮换加密材料
  + 添加 标签
  + 创建密钥别名
  + 安排密钥删除

  有关更多信息，请参阅《Amazon Key Management Service 开发人员指南》**中的[客户托管密钥](https://docs.amazonaws.cn/kms/latest/developerguide/concepts.html#customer-cmk)。

  EventBridge 支持[多区域密钥](https://docs.amazonaws.cn/kms/latest/developerguide/multi-region-keys-overview.html)和[跨账户访问密钥。](https://docs.amazonaws.cn/kms/latest/developerguide/key-policy-modifying-external-accounts.html)

  客户托管密钥会产生月费。有关详细信息，请参阅《Amazon Key Management Service 开发人员指南》**中的 [Amazon Key Management Service 定价](https://www.amazonaws.cn/kms/pricing/)和[配额](https://docs.amazonaws.cn/kms/latest/developerguide/limits.html)。
**注意**  
EventBridge 不支持在使用加密的事件总线上[发现架构](eb-schema.md) 客户自主管理型密钥。