Wählen Sie Ihre Cookie-Einstellungen aus

Wir verwenden essentielle Cookies und ähnliche Tools, die für die Bereitstellung unserer Website und Services erforderlich sind. Wir verwenden Performance-Cookies, um anonyme Statistiken zu sammeln, damit wir verstehen können, wie Kunden unsere Website nutzen, und Verbesserungen vornehmen können. Essentielle Cookies können nicht deaktiviert werden, aber Sie können auf „Anpassen“ oder „Ablehnen“ klicken, um Performance-Cookies abzulehnen.

Wenn Sie damit einverstanden sind, verwenden AWS und zugelassene Drittanbieter auch Cookies, um nützliche Features der Website bereitzustellen, Ihre Präferenzen zu speichern und relevante Inhalte, einschließlich relevanter Werbung, anzuzeigen. Um alle nicht notwendigen Cookies zu akzeptieren oder abzulehnen, klicken Sie auf „Akzeptieren“ oder „Ablehnen“. Um detailliertere Entscheidungen zu treffen, klicken Sie auf „Anpassen“.

Präferenzen
Kontakt
Feedback
AWS Documentation
AWS-Konto erstellen

Amazon SNS SNS-Themenverschlüsselung mit verschlüsseltem Amazon SQS SQS-Warteschlangenabonnement einrichten

PDF
RSS
Fokusmodus
Amazon SNS SNS-Themenverschlüsselung mit verschlüsseltem Amazon SQS SQS-Warteschlangenabonnement einrichten - Amazon Simple Notification Service
Schritt 1: Erstellen eines benutzerdefinierten KMS-SchlüsselsSchritt 2: Erstellen eines verschlüsselten Amazon SNS-ThemasSchritt 3: Erstellen und Abonnieren verschlüsselter Amazon-SQS-WarteschlangenSchritt 4: Veröffentlichen einer Nachricht in Ihrem verschlüsselten ThemaSchritt 5: Überprüfen der Zustellung Ihrer Nachrichten

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Sie können die serverseitige Verschlüsselung (SSE) für ein Thema aktivieren, um die entsprechenden Daten zu schützen. Damit Amazon SNS Nachrichten an verschlüsselte Amazon-SQS-Warteschlangen senden kann, muss der mit der Amazon-SQS-Warteschlange verknüpfte verwaltete Schlüssel über eine Richtlinienanweisung verfügen, die dem Amazon-SNS-Dienstprinzipal Zugriff auf die AWS KMS -API-Aktionen GenerateDataKey und Decrypt gewährt. Weitere Informationen zur Verwendung von der SSE finden Sie unter Sicherung von Amazon SNS SNS-Daten mit serverseitiger Verschlüsselung.

In diesem Thema wird erklärt, wie Sie SSE für ein Amazon SNS SNS-Thema mit einem verschlüsselten Amazon SQS SQS-Warteschlangenabonnement mithilfe von aktivieren. AWS Management Console

Schritt 1: Erstellen eines benutzerdefinierten KMS-Schlüssels

  1. Melden Sie sich bei der AWS KMS -Konsole mit einem Benutzer an, der mindestens über die AWSKeyManagementServicePowerUser-Richtlinie verfügt.

  2. Klicken Sie auf Create a key.

  3. Um einen KMS-Schlüssel mit symmetrischer Verschlüsselung zu erstellen, wählen Sie für Key type (Schlüsseltyp) die Option Symmetric (Symmetrisch) aus.

    Weitere Informationen zum Erstellen eines asymmetrischen KMS-Schlüssels in der AWS KMS -Konsole finden Sie unter Erstellen asymmetrischer KMS-Schlüssel (Konsole).

  4. Unter Key usage (Schlüsselverwendung) ist die Option Encrypt and decrypt (Verschlüsseln und Entschlüsseln) für Sie ausgewählt.

    Weitere Informationen wie Sie KMS-Schlüssel erstellen, die MAC-Codes generieren und überprüfen, finden Sie unter Erstellen von HMAC-KMS-Schlüssel.

    Weitere Hinweise zu den Erweiterten Optionen finden Sie unter Schlüssel für spezielle Zwecke.

  5. Wählen Sie Weiter.

  6. Geben Sie einen Alias für den Replikatschlüssel ein. Der Aliasname darf nicht mit aws/ beginnen. Das aws/ Präfix ist von Amazon Web Services reserviert, um es Von AWS verwaltete Schlüssel in Ihrem Konto darzustellen.

    Anmerkung

    Wenn Sie einen Alias hinzufügen, löschen oder aktualisieren, wird dadurch möglicherweise eine Berechtigung für den KMS-Schlüssel erteilt oder verweigert. Einzelheiten finden Sie unter ABAC für AWS KMS und Verwenden von Aliassen zur Steuerung des Zugriffs auf KMS-Schlüssel.

    Ein Alias ist ein Anzeigename, den Sie verwenden können, um einen KMS-Schlüssel zu identifizieren. Wir empfehlen, dass Sie einen Alias wählen, der auf die Art von Daten, die Sie schützen möchten, oder die Anwendung, die Sie mit dem KMS-Schlüssel verwenden möchten, hindeutet.

    Zum Erstellen eines KMS-Schlüssels in der Konsole benötigen Sie Aliase AWS Management Console. Sie sind optional, wenn Sie den CreateKeyVorgang verwenden.

  7. (Optional) Geben Sie eine Beschreibung für den KMS-Schlüssel ein.

    Sie können jetzt eine Beschreibung hinzufügen oder sie jederzeit aktualisieren, es sei denn, der Schlüsselstatus lautet Pending Deletion oder Pending Replica Deletion. Um die Beschreibung eines vorhandenen, vom Kunden verwalteten Schlüssels hinzuzufügen, zu ändern oder zu löschen, bearbeiten Sie die Beschreibung im AWS Management Console oder verwenden Sie den UpdateKeyDescriptionVorgang.

  8. (Optional) Geben Sie einen Tag-Schlüssel und einen optionalen Tag-Wert ein. Wählen Sie Add tag (Tag hinzufügen), wenn Sie mehr als ein Tag zum KMS-Schlüssel hinzufügen möchten.

    Anmerkung

    Wenn Sie einen KMS-Schlüssel markieren oder entmarkieren, wird dadurch möglicherweise die Berechtigung für den KMS-Schlüssel erteilt oder verweigert. Einzelheiten finden Sie unter ABAC für AWS KMS und Verwenden von Tags zur Steuerung des Zugriffs auf KMS-Schlüssel.

    Wenn Sie Ihren AWS Ressourcen Tags hinzufügen, AWS wird ein Kostenverteilungsbericht generiert, in dem die Nutzung und die Kosten nach Stichwörtern zusammengefasst sind. Markierungen können auch verwendet werden, um den Zugriff auf einen KMS-Schlüssel zu steuern. Weitere Informationen über das Markieren von KMS-Schlüsseln finden Sie unter Markieren von Schlüsseln und ABAC für AWS KMS.

  9. Wählen Sie Weiter.

  10. Wählen Sie die IAM-Benutzer und -Rollen aus, die den KMS-Schlüssel verwalten können.

    Anmerkung

    Diese Schlüsselrichtlinie ermöglicht die AWS-Konto vollständige Kontrolle über diesen KMS-Schlüssel. Kontoadministratoren können damit anderen Prinzipalen mithilfe von IAM-Richtlinien die Berechtigung zum Verwalten des KMS-Schlüssels erteilen. Details dazu finden Sie unter Standardschlüsselrichtlinie.

     

    Bewährte IAM-Methoden raten von der Verwendung von IAM-Benutzern mit langfristigen Anmeldeinformationen ab. Verwenden Sie nach Möglichkeit IAM-Rollen, die temporäre Anmeldeinformationen bereitstellen. Weitere Informationen finden Sie unter Bewährte Methoden für die Sicherheit in IAM im IAM-Benutzerhandbuch.

  11. (Optional) Um zu verhindern, dass die ausgewählten IAM-Benutzer und -Rollen diesen KMS-Schlüssel löschen, deaktivieren Sie unten auf der Seite im Abschnitt Key deletion (Schlüssellöschung) das Kontrollkästchen Allow key administrators to delete this key (Administratoren erlauben, diesen Schlüssel zu löschen).

  12. Wählen Sie Weiter.

  13. Wählen Sie die IAM-Benutzer und -Rollen aus, die den KMS-Schlüssel für kryptographische Operationen verwenden können. Wählen Sie Weiter.

  14. Fügen Sie auf der Seite Review and edit key policy (Schlüsselrichtlinie überprüfen und bearbeiten) die folgende Anweisung zur Schlüsselrichtlinie hinzu. Wählen Sie anschließend Finish (Fertig stellen) aus.

    {
    "Sid": "Allow Amazon SNS to use this key",
    "Effect": "Allow",
    "Principal": {
        "Service": "sns.amazonaws.com"
    },
    "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey*"
    ],
    "Resource": "*"
}

Ihr neues benutzerdefinierter kundenverwalteter Schlüssel wird in der Liste der Schlüssel angezeigt.

Schritt 2: Erstellen eines verschlüsselten Amazon SNS-Themas

  1. Melden Sie sich bei der Amazon-SNS-Konsole an.

  2. Wählen Sie im Navigationsbereich Topics (Themen) aus.

  3. Wählen Sie Thema erstellen aus.

  4. Geben Sie auf der Seite Create new topic (Neues Thema erstellen) in Topic name (Name des Themas) einen Namen für das Thema ein (z. B. MyEncryptedTopic). Wählen Sie anschließend Create topic (Thema erstellen) aus.

  5. Erweitern Sie den Abschnitt Encryption (Verschlüsselung) und gehen Sie wie folgt vor:

    1. Wählen Sie Enable server-side encryption.

    2. Erstellen des kundenverwalteten Schlüssels. Weitere Informationen finden Sie unter Wichtige Begriffe.

      Für jeden kundenverwalteten Schlüsseltyp werden die Beschreibung, das Konto und der ARN des kundenverwalteten Schlüssels angezeigt.

      Wichtig

      Wenn Sie nicht der Besitzer des kundenverwalteten Schlüssels sind oder wenn Sie sich mit einem Konto anmelden, das über keine kms:ListAliases- und kms:DescribeKey-Berechtigungen verfügt, können Sie auf der Amazon-SNS-Konsole keine Informationen über den kundenverwalteten Schlüssel aufrufen.

      Bitten Sie den Inhaber des kundenverwalteten Schlüssels, Ihnen diese Berechtigungen zu erteilen. Beispiele und weitere Informationen zu AWS KMS -Berechtigungen finden Sie unter API-Berechtigungen: Referenztabelle für Aktionen und Ressourcen im AWS Key Management Service Benutzerhandbuch.

    3. Wählen Sie für den vom Kunden verwalteten Schlüssel den Schlüssel aus MyCustomKey, den Sie zuvor erstellt haben, und wählen Sie dann Serverseitige Verschlüsselung aktivieren aus.

  6. Wählen Sie Änderungen speichern.

    SSE ist für Ihr Thema aktiviert und die MyTopicSeite wird angezeigt.

    Auf der Registerkarte Verschlüsselung werden der Verschlüsselungsstatus des Themas, das AWS -Konto, der kundenverwaltete Schlüssel, der CMK-ARN und die Beschreibung angezeigt.

Ihr neues verschlüsseltes Thema wird in der Themenliste angezeigt.

Schritt 3: Erstellen und Abonnieren verschlüsselter Amazon-SQS-Warteschlangen

  1. Melden Sie sich bei der Amazon-SQS-Konsole an.

  2. Klicken Sie auf Create New Queue (Neue Queue erstellen).

  3. Führen Sie auf der Seite Create New Queue (Neue Queue erstellen) die folgenden Schritte aus:

    1. Geben Sie einen Queue Name (Queuesname) ein (z. B. MyEncryptedQueue1).

    2. Klicken Sie auf Standard Queue (StandardQueue) und wählen Sie dann Configure Queue (Queue konfigurieren) aus.

    3. Wählen Sie Use SSE.

    4. Wählen Sie für AWS KMS key, MyCustomKeywelches Sie zuvor erstellt haben, und wählen Sie dann Warteschlange erstellen aus.

  4. Wiederholen Sie den Vorgang, um eine zweite Queue (z. B. namens ) zu erstellen. MyEncryptedQueue2).

    Ihre neuen verschlüsselten Queues werden in der Liste der Queues angezeigt.

  5. Wählen Sie in der Amazon SQS-Konsole MyEncryptedQueue1 und MyEncryptedQueue2 aus. Wählen Sie anschließend (Queuesaktionen) und Subscribe Queues to SNS Topic (Abonniere SNS-Thema für Queues erstellen) aus.

  6. Wählen Sie im Dialogfeld „Thema abonnieren“ die Option Thema auswählen aus und wählen Sie MyEncryptedTopicdann Abonnieren aus.

    Die Abonnements Ihrer verschlüsselten Queues für Ihr verschlüsseltes Thema werden im Dialogfeld Topic Subscription Result (Ergebnis für Thema-Abonnement angezeigt.

  7. Wählen Sie OK aus.

Schritt 4: Veröffentlichen einer Nachricht in Ihrem verschlüsselten Thema

  1. Melden Sie sich bei der Amazon-SNS-Konsole an.

  2. Wählen Sie im Navigationsbereich Topics (Themen) aus.

  3. Wählen Sie aus der Themenliste die Option Nachricht veröffentlichen aus MyEncryptedTopicund klicken Sie dann auf Nachricht veröffentlichen.

  4. Führen Sie auf der Seite Publish a message (Ziel auswählen) folgende Schritte durch:

    1. (Optional) Geben Sie im Abschnitt Message details (Nachrichtendetails) den Subject (Betreff) ein (z. B. Testing message publishing).

    2. Geben Sie im Abschnitt Message body (Nachrichtentext) den Nachrichtentext ein (z. B. My message body is encrypted at rest.).

    3. Wählen Sie Publish message (Nachricht veröffentlichen) aus.

Ihre Nachricht wird in Ihren abonnierten verschlüsselten Queues veröffentlicht.

Schritt 5: Überprüfen der Zustellung Ihrer Nachrichten

  1. Melden Sie sich bei der Amazon-SQS-Konsole an.

  2. Wählen Sie aus der Liste der Warteschlangen MyEncryptedQueue1 aus und wählen Sie dann Nachrichten senden und empfangen aus.

  3. Wählen Sie auf der Seite Nachrichten senden und empfangen in MyEncryptedQueue 1 die Option Umfrage für Nachrichten aus.

    Die Nachricht die Sie zuvor gesendet haben wird angezeigt.

  4. Wählen Sie Weitere Details, um Ihre Nachricht anzuzeigen.

  5. Wählen Sie Close, wenn Sie fertig sind.

  6. Wiederholen Sie den Vorgang für MyEncryptedQueue2.

Auf dieser Seite

DatenschutzNutzungsbedingungen für die WebsiteCookie-Einstellungen
© 2025, Amazon Web Services, Inc. oder Tochtergesellschaften. Alle Rechte vorbehalten.