本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 配置归档的加密设置
<a name="encryption-archive-configure"></a>

您可以指定创建或更新档案时 EventBridge 要使用的 KMS 密钥。

## 创建归档时指定加密
<a name="encryption-archive-create"></a>

选择用于加密的 Amazon KMS 密钥是创建档案的一个选项。默认为使用 Amazon 拥有的密钥 提供的 EventBridge。

**在创建档案时指定 客户托管式密钥 用于加密（控制台）**
+ 按照以下说明进行操作：

  [创建归档](eb-archive-event.md).

**在创建档案时指定 客户托管式密钥 用于加密 (CLI)**
+ 调用时`[create-archive](https://docs.amazonaws.cn/cli/latest/reference/events/create-archive.html)`，使用`kms-key-identifier`选项指定用于 EventBridge 加密存档中存储的事件的客户托管密钥。

## 更新归档的加密设置
<a name="encryption-archive-update"></a>

您可以更新现有存档上用于静态加密的密 Amazon KMS 钥。这包括：
+ 从默认值 Amazon 拥有的密钥 更改为 客户托管式密钥.
+ 从 a 更改 客户托管式密钥 为默认值 Amazon 拥有的密钥。
+ 从一个变 客户托管式密钥 为另一个。

**更新 KMS key 用于加密存档中事件的（控制台）**

1. 打开 Amazon EventBridge 控制台，网址为[https://console.aws.amazon.com/events/](https://console.amazonaws.cn/events/)。

1. 直接导航至归档，或从源事件总线进入：
   + 在导航窗格中，选择**事件总线**。

     在事件总线详细信息页面上，选择**归档**选项卡。
   + 在导航窗格中，选择**归档**。

1. 选择要更新的归档。

1. 在归档详细信息页面上，选择**加密**选项卡。

1. 选择加密 KMS key 存档中存储的事件时 EventBridge 要使用的。
**重要**  
如果您已指定 EventBridge 使用客户托管密钥对源事件总线进行加密，我们强烈建议您同时为事件总线的任何存档指定客户托管密钥。
   + 选择 “** Amazon 拥有的密钥使用**” EventBridge 以使用加密数据 Amazon 拥有的密钥。

      Amazon 拥有的密钥 这是一 KMS key 款 EventBridge 拥有和管理的账户，可在多个 Amazon 账户中使用。通常，除非要求您审核或控制保护资源的加密密钥， Amazon 拥有的密钥 否则不妨选择。

     这是默认值。
   + 选择 “**用 客户托管式密钥** EventBridge 于”，使用您指定或创建 客户托管式密钥 的对数据进行加密。

     客户自主管理型密钥 KMS keys 位于您创建、拥有和管理的 Amazon 账户中。您对这些 KMS keys拥有完全控制权。

     1. 指定现有的 客户托管式密钥，或选择 “**新建**” KMS key。

       EventBridge 显示密钥状态以及与指定 客户托管式密钥密钥关联的所有密钥别名。

**更新 KMS key 用于加密存档中存储的事件 (CLI)**
+ 调用时`[update-archive](https://docs.amazonaws.cn/cli/latest/reference/events/update-archive.html)`，使用`kms-key-identifier`选项指定 客户托管式密钥 EventBridge 用于加密存档中存储的事件的。