Verwenden der Verschlüsselung mit dem Amazon S3-Ereignis-Crawler

In diesem Abschnitt wird die Verwendung der Verschlüsselung nur für SQS oder sowohl auf SQS als auch auf Amazon S3 beschrieben.

Verschlüsselung nur für SQS aktivieren

Amazon SQS bietet standardmäßig eine Verschlüsselung während der Übertragung. Um Ihrer Warteschlange optionale serverseitige Verschlüsselung (SSE) hinzuzufügen, können Sie im Bearbeitungsbereich einen Kundenhauptschlüssel (Customer Master Key, CMK) anfügen. Dies bedeutet, dass SQS alle Kundendaten auf SQS-Servern verschlüsselt.

Erstellen Sie einen Kundenmasterschlüssel (CMK)

1. Klicken Sie auf Key Management Service (KMS) > Vom Kunden verwaltete Schlüssel > Erstellen eines Schlüssels.

2. Führen Sie die Schritte aus, um Ihren eigenen Alias und eine eigene Beschreibung hinzuzufügen.

3. Fügen Sie die entsprechenden IAM-Rollen hinzu, die diesen Schlüssel verwenden können sollen.

4. Fügen Sie in der Schlüsselrichtlinie eine weitere Anweisung zur Liste „Statement“ hinzu, damit Ihre Benutzerdefinierte Schlüsselrichtliniedem Amazon SNS ausreichende Berechtigungen zur Schlüsselnutzung erteilt.

    "Statement": [
           {
               "Effect": "Allow",
               "Principal": {
                   "Service": "sns.amazonaws.com"
               },
               "Action": [
                   "kms:GenerateDataKey",
                   "kms:Decrypt"
               ],
               "Resource": "*"
           }
    ]
   				

Aktivieren der serverseitigen Verschlüsselung (SSE) in Ihrer Warteschlange

1. Klicken Sie aufAmazon SQS > Queues (Warteschlangen) > sqs_queue_name > Registerkarte Encryption (Verschlüsselung).

2. Klicken Sie auf Bearbeiten und scrollen Sie nach unten bis zum Drop-Down-Menü Verschlüsselung.

3. Wählen Sie Enabled (Aktiviert) aus, um SSE hinzuzufügen.

4. Wählen Sie das zuvor erstellte CMK und nicht den Standardschlüssel mit dem Namen aus alias/aws/sqs.

   

   Nachdem Sie dies hinzugefügt haben, wird die Registerkarte „Verschlüsselung“ mit dem hinzugefügten Schlüssel aktualisiert.

   

Anmerkung

Amazon SQS löscht Nachrichten automatisch, die sich länger als den maximalen Aufbewahrungszeitraum für Nachrichten in einer Warteschlange befunden haben. Der Standardaufbewahrungszeitraum für Nachrichten beträgt 4 Tage. Um fehlende Ereignisse zu vermeiden, ändern Sie MessageRetentionPeriodfür SQS auf maximal 14 Tage.

Aktivieren der Verschlüsselung sowohl in SQS als auch Amazon S3

Aktivieren der serverseitigen Verschlüsselung (SSE) in SQS

1. Führen Sie die Schritte unter Verschlüsselung nur für SQS aktivieren aus.

2. Geben Sie Amazon S3 im letzten Schritt der CMK-Einrichtung ausreichende Berechtigungen zur Schlüsselnutzung ein.

   Fügen Sie Folgendes in die Liste „Statement“ ein:

    "Statement": [
           {
               "Effect": "Allow",
               "Principal": {
                   "Service": "s3.amazonaws.com"
               },
               "Action": [
                   "kms:GenerateDataKey",
                   "kms:Decrypt"
               ],
               "Resource": "*"
           }
    ]
   		  

Aktivieren der serverseitigen Verschlüsselung (SSE) in Ihrem Amazon S3-Bucket

1. Führen Sie die Schritte unter Verschlüsselung nur für SQS aktivieren aus.

2. Führen Sie eine der folgenden Aktionen aus:

   • Um SSE für Ihren gesamten S3-Bucket zu aktivieren, navigieren Sie zur Registerkarte Eigenschaften in Ihrem Ziel-Bucket.

     Hier können Sie SSE aktivieren und den Verschlüsselungstyp auswählen, den Sie verwenden möchten. Amazon S3 bietet einen Verschlüsselungsschlüssel, den Amazon S3 für Sie erstellt, verwaltet und verwendet, oder Sie können auch einen Schlüssel aus KMS auswählen.

     

   • Um SSE für einen bestimmten Ordner zu aktivieren, klicken Sie auf das Kontrollkästchen neben Ihrem Zielordner und wählen Sie Bearbeiten der serverseitigen Verschlüsselung unter dem Drop-Down-Menü Aktionen aus.

     

Häufig gestellte Fragen

Warum werden Nachrichten, die ich in meinem Amazon SNS-Thema veröffentliche, nicht an meine abonnierte Amazon SQS-Warteschlange geliefert, bei der serverseitige Verschlüsselung (SSE) aktiviert ist?

Überprüfen Sie noch einmal, ob Ihre Amazon SQS-Warteschlange Folgendes verwendet:

1. Einen Kundenmasterschlüssel (CMK), der vom Kunden verwaltet wird. Nicht den, der von SQS standardmäßig bereitgestellt wird.

2. Ihr CMK von (1) beinhaltet eine Benutzerdefinierte Schlüsselrichtlinie, die Amazon SNS ausreichende Berechtigungen zur Schlüsselnutzung erteilt.

Weitere Informationen finden Sie in diesem Artikel im Knowledge Center.

Ich habe E-Mail-Benachrichtigungen abonniert, erhalte aber keine E-Mail-Updates, wenn ich meinen Amazon S3-Bucket bearbeite.

Stellen Sie sicher, dass Sie Ihre E-Mail-Adresse bestätigt haben, indem Sie in Ihrer E-Mail auf den Link „Abonnement bestätigen“ klicken. Sie können den Status Ihrer Bestätigung überprüfen, indem Sie die Abonnements-Tabelle unter Ihrem SNS-Thema prüfen.

Klicken Sie auf Amazon SNS > Themen > sns_topic_name > Tabelle „Abonnements“.

Wenn Sie unserem Voraussetzungsskript gefolgt sind, werden Sie feststellen, dass der sns_topic_name Ihrem sqs_queue_name entspricht. Das sollte bei Ihnen ähnlich wie im folgenden Bild aussehen:

Nur einige der Ordner, die ich hinzugefügt habe, werden in meiner Tabelle angezeigt, nachdem die serverseitige Verschlüsselung in meiner SQS-Warteschlange aktiviert wurde. Warum fehlen mir ein paar Parquets?

Wenn die Amazon S3 Bucket-Änderungen vorgenommen wurden, bevor SSE in Ihrer SQS-Warteschlange aktiviert wurde, werden sie möglicherweise nicht vom Crawler aufgenommen. Um sicherzustellen, dass Sie alle Updates für Ihren S3-Bucket gecrawlt haben, führen Sie den Crawler erneut im Listing-Modus aus („Alle Ordner crawlen“). Eine andere Möglichkeit besteht darin, neu zu beginnen, indem Sie einen neuen Crawler mit aktivierten S3-Ereignissen erstellen.