Verschlüsselung im Ruhezustand - Amazon Simple Notification Service

Verschlüsselungsumfang Wichtige Begriffe

Mit der serverseitigen Verschlüsselung (SSE) können Sie sensible Daten in verschlüsselten Themen speichern, indem Sie den Inhalt von Nachrichten in Amazon SNSThemen mithilfe von Schlüsseln schützen, die in AWS Key Management Service () verwaltet werdenAWS KMS.

SSE verschlüsselt Nachrichten, sobald sie bei Amazon SNS eingehen. Die Nachrichten werden in verschlüsselter Form gespeichert und nur entschlüsselt, wenn sie gesendet werden.

Informationen zum Verwalten von SSE über die AWS Management Console oder den AWS SDK for Java (durch Festlegen des Attributs KmsMasterKeyId über die API-Aktionen CreateTopic und SetTopicAttributes) finden Sie unter Aktivieren der serverseitigen Verschlüsselung (SSE) für ein Amazon-SNS-Thema.
Informationen zum Erstellen von verschlüsselten Themen mit AWS CloudFormation (durch Setzen der Eigenschaft KmsMasterKeyId mit der Ressource AWS::SNS::Topic) finden Sie unter AWS CloudFormation-Benutzerhandbuch.

Wichtig

Alle Anfragen zu Themen mit aktiviertem SSE müssen HTTPS und Signature Version 4 verwenden.

Weitere Informationen zur Kompatibilität anderer Dienste mit verschlüsselten Themen finden Sie in Ihrer Service-Dokumentation.

Amazon SNS unterstützt nur KMS-Schlüssel mit symmetrischer Verschlüsselung. Sie können keinen anderen KMS-Schlüsseltyp für die Verschlüsselung Ihre Service-Ressourcen verwenden. Wie Sie feststellen, ob ein KMS-Schlüssel ein symmetrisch Verschlüsselungsschlüssel ist, erfahren Sie unter Erkennen asymmetrischer Schlüssel.

AWS KMS kombiniert sichere, hoch verfügbare Hard- und Software, um ein System für die Schlüsselverwaltung bereitzustellen, das für die Cloud skaliert ist. Wenn Sie Amazon SNS mit AWS KMS, verwenden, werden die Datenschlüssel, mit denen Ihre Nachrichtendaten verschlüsselt werden, ebenfalls verschlüsselt und mit den Daten, die sie schützen, gespeichert.

Vorteile von AWS KMS:

Sie können den AWS KMS key selbst erstellen und verwalten.
Sie können auch AWS-verwaltete KMS-Schlüssel für Amazon SNS verwenden, die für jedes Konto und jede Region eindeutig sind.
Die Sicherheitsstandards von AWS KMS tragen dazu bei, dass Sie Ihre Compliance-Anforderungen bezüglich der Verschlüsselung erfüllen.

Weitere Informationen finden Sie unter Was ist AWS Key Management Service? im AWS Key Management Service-Entwicklerhandbuch.

Verschlüsselungsumfang

SSE verschlüsselt den Nachrichtentext in einer Amazon SNS-Thema.

Folgendes wird von SSE nicht verschlüsselt:

Themenmetadaten (Name und Attribute des Themas)
Metadaten der Nachrichten (Betreff, ID, Zeitstempel und Attribute)
Datenschutzrichtlinie
Metriken nach Themen

Anmerkung

Eine Nachricht ist nur dann verschlüsselt, wenn sie gesendet wurde, nachdem die Verschlüsselung einer Queue aktiviert wurde. Amazon SNS verschlüsselt keine Nachrichten, die sich bereits in der Queue befinden.
Verschlüsselte Nachrichten bleiben auch dann verschlüsselt, wenn die Verschlüsselung des Themas deaktiviert wird.

Wichtige Begriffe

Die folgenden wichtigen Begriffe vermitteln Ihnen ein besseres Verständnis für die Funktionalität von SSE. Detaillierte Beschreibungen finden Sie in derAmazon Simple Notification Service-API-Referenz.

Datenschlüssel

Der Datenverschlüsselungsschlüssel (Data Encryption Key, DEK), der dafür zuständig ist, den Inhalt von Amazon SNS-Nachrichten zu verschlüsseln.

Weitere Informationen finden Sie unter Datenschlüssel im AWS Key Management ServiceEntwicklerhandbuch und Envelope-Verschlüsselung im AWS Encryption SDKEntwicklerhandbuch.

AWS KMS key--ID

Der Alias, Alias ARN, die Schlüssel-ID oder der Schlüssel-ARN von einem AWS KMS key oder einem benutzerdefinierten AWS KMS in Ihrem Konto oder in einem anderen Konto. Während der Alias des von AWS verwalteten AWS KMS für Amazon SNS immer alias/aws/sns ist, kann der Alias eines benutzerdefinierten AWS KMS beispielsweise alias/MyAlias lauten. Sie können diese AWS KMS-Schlüssel zum Schutz der Nachrichten in Amazon-SNS-Themen verwenden.

Anmerkung

Beachten Sie Folgendes:

Wenn Sie die AWS Management Console das erste Mal nutzen, um den AWS-verwalteten KMS für Amazon SNS für ein Thema anzugeben, erstellt AWS KMS den AWS-verwalteten KMS für Amazon SNS.
Alternativ erstellt AWS KMS bei der ersten Verwendung der Publish-Aktion zu einem Thema mit aktivierter SSE den AWS-verwalteten KMS für Amazon SNS.

Sie können AWS KMS-Schlüssel erstellen, die Richtlinien, die die Verwendung von AWS KMS-Schlüsseln steuern, definieren und die AWS KMS-Nutzung mithilfe des Abschnitts AWS KMS keys der der AWS KMS-Konsole oder der CreateKey AWS KMS-Aktion überprüfen. Weitere Informationen finden Sie unter AWS KMS keys und Erstellen von Schlüsseln im AWS Key Management Service-Entwicklerhandbuch. Weitere Beispiele für AWS KMS Kennungen finden Sie unter KeyId in der APIAWS Key Management Service-Referenz zu . Weitere Informationen zum Suchen von AWS KMS-IDs finden Sie unter Suchen der Schlüssel-ID und des ARN im AWS Key Management Service-Entwicklerhandbuch.

Wichtig

Für AWS KMS fallen zusätzliche Gebühren an. Weitere Informationen finden Sie unter Einschätzen der AWS KMS-Kosten und AWS Key Management Service-Preise.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Datenverschlüsselung

Schlüsselverwaltung