Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Verschlüsselung im Ruhezustand
Mit der serverseitigen Verschlüsselung (SSE) können Sie sensible Daten in verschlüsselten Themen speichern, indem Sie den Inhalt von Nachrichten in Amazon SNSThemen mithilfe von Schlüsseln schützen, die in AWS Key Management Service () verwaltet werdenAWS KMS.
SSE verschlüsselt Nachrichten, sobald sie bei Amazon SNS eingehen. Die Nachrichten werden in verschlüsselter Form gespeichert und nur entschlüsselt, wenn sie gesendet werden.
-
Informationen zum Verwalten von SSE über die AWS Management Console oder den AWS SDK for Java (durch Festlegen des Attributs
KmsMasterKeyId
über die API-AktionenCreateTopic
undSetTopicAttributes
) finden Sie unter Aktivieren der serverseitigen Verschlüsselung (SSE) für ein Amazon-SNS-Thema. -
Informationen zum Erstellen von verschlüsselten Themen mit AWS CloudFormation (durch Setzen der Eigenschaft
KmsMasterKeyId
mit der RessourceAWS::SNS::Topic
) finden Sie unter AWS CloudFormation-Benutzerhandbuch.
Wichtig
Alle Anfragen zu Themen mit aktiviertem SSE müssen HTTPS und Signature Version 4 verwenden.
Weitere Informationen zur Kompatibilität anderer Dienste mit verschlüsselten Themen finden Sie in Ihrer Service-Dokumentation.
Amazon SNS unterstützt nur KMS-Schlüssel mit symmetrischer Verschlüsselung. Sie können keinen anderen KMS-Schlüsseltyp für die Verschlüsselung Ihre Service-Ressourcen verwenden. Wie Sie feststellen, ob ein KMS-Schlüssel ein symmetrisch Verschlüsselungsschlüssel ist, erfahren Sie unter Erkennen asymmetrischer Schlüssel.
AWS KMS kombiniert sichere, hoch verfügbare Hard- und Software, um ein System für die Schlüsselverwaltung bereitzustellen, das für die Cloud skaliert ist. Wenn Sie Amazon SNS mit AWS KMS, verwenden, werden die Datenschlüssel, mit denen Ihre Nachrichtendaten verschlüsselt werden, ebenfalls verschlüsselt und mit den Daten, die sie schützen, gespeichert.
Vorteile von AWS KMS:
-
Sie können den AWS KMS key selbst erstellen und verwalten.
-
Sie können auch AWS-verwaltete KMS-Schlüssel für Amazon SNS verwenden, die für jedes Konto und jede Region eindeutig sind.
-
Die Sicherheitsstandards von AWS KMS tragen dazu bei, dass Sie Ihre Compliance-Anforderungen bezüglich der Verschlüsselung erfüllen.
Weitere Informationen finden Sie unter Was ist AWS Key Management Service? im AWS Key Management Service-Entwicklerhandbuch.
Verschlüsselungsumfang
SSE verschlüsselt den Nachrichtentext in einer Amazon SNS-Thema.
Folgendes wird von SSE nicht verschlüsselt:
-
Themenmetadaten (Name und Attribute des Themas)
-
Metadaten der Nachrichten (Betreff, ID, Zeitstempel und Attribute)
-
Datenschutzrichtlinie
-
Metriken nach Themen
Anmerkung
-
Eine Nachricht ist nur dann verschlüsselt, wenn sie gesendet wurde, nachdem die Verschlüsselung einer Queue aktiviert wurde. Amazon SNS verschlüsselt keine Nachrichten, die sich bereits in der Queue befinden.
-
Verschlüsselte Nachrichten bleiben auch dann verschlüsselt, wenn die Verschlüsselung des Themas deaktiviert wird.
Wichtige Begriffe
Die folgenden wichtigen Begriffe vermitteln Ihnen ein besseres Verständnis für die Funktionalität von SSE. Detaillierte Beschreibungen finden Sie in derAmazon Simple Notification Service-API-Referenz.
- Datenschlüssel
-
Der Datenverschlüsselungsschlüssel (Data Encryption Key, DEK), der dafür zuständig ist, den Inhalt von Amazon SNS-Nachrichten zu verschlüsseln.
Weitere Informationen finden Sie unter Datenschlüssel im AWS Key Management ServiceEntwicklerhandbuch und Envelope-Verschlüsselung im AWS Encryption SDKEntwicklerhandbuch.
- AWS KMS key--ID
-
Der Alias, Alias ARN, die Schlüssel-ID oder der Schlüssel-ARN von einem AWS KMS key oder einem benutzerdefinierten AWS KMS in Ihrem Konto oder in einem anderen Konto. Während der Alias des von AWS verwalteten AWS KMS für Amazon SNS immer
alias/aws/sns
ist, kann der Alias eines benutzerdefinierten AWS KMS beispielsweisealias/
lauten. Sie können diese AWS KMS-Schlüssel zum Schutz der Nachrichten in Amazon-SNS-Themen verwenden.MyAlias
Anmerkung
Beachten Sie Folgendes:
-
Wenn Sie die AWS Management Console das erste Mal nutzen, um den AWS-verwalteten KMS für Amazon SNS für ein Thema anzugeben, erstellt AWS KMS den AWS-verwalteten KMS für Amazon SNS.
-
Alternativ erstellt AWS KMS bei der ersten Verwendung der
Publish
-Aktion zu einem Thema mit aktivierter SSE den AWS-verwalteten KMS für Amazon SNS.
Sie können AWS KMS-Schlüssel erstellen, die Richtlinien, die die Verwendung von AWS KMS-Schlüsseln steuern, definieren und die AWS KMS-Nutzung mithilfe des Abschnitts AWS KMS keys der der AWS KMS-Konsole oder der
CreateKey
AWS KMS-Aktion überprüfen. Weitere Informationen finden Sie unter AWS KMS keys und Erstellen von Schlüsseln im AWS Key Management Service-Entwicklerhandbuch. Weitere Beispiele für AWS KMS Kennungen finden Sie unter KeyId in der APIAWS Key Management Service-Referenz zu . Weitere Informationen zum Suchen von AWS KMS-IDs finden Sie unter Suchen der Schlüssel-ID und des ARN im AWS Key Management Service-Entwicklerhandbuch.Wichtig
Für AWS KMS fallen zusätzliche Gebühren an. Weitere Informationen finden Sie unter Einschätzen der AWS KMS-Kosten und AWS Key Management Service-Preise
. -