Amazon Simple Queue Service (Amazon SQS) - Erstellen von Architekturen für HIPAA-Sicherheit und -Compliance in Amazon Web Services

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Amazon Simple Queue Service (Amazon SQS)

Kunden sollten die folgenden Schlüsselverschlüsselungsanforderungen verstehen, um Amazon SQS mit PHI verwenden zu können.

  • Die Kommunikation mit der Amazon SQS-Warteschlange über die Abfrageanforderung muss mit HTTPS verschlüsselt werden. Weitere Informationen zum Senden von SQS-Anforderungen finden Sie unter Senden von Abfrage-API-Anforderungen.

  • Amazon SQS unterstützt die serverseitige Verschlüsselung, die in integriert ist AWS KMS , um Data-at-Rest zu schützen. Durch die zusätzliche serverseitige Verschlüsselung können Kunden vertrauliche Daten mit der erhöhten Sicherheit der Verwendung verschlüsselter Warteschlangen übertragen und empfangen. Die serverseitige Amazon-Amazon SQS-Verschlüsselung verwendet den 256-Bit Advanced Encryption Standard (AES-256-GCM-Algorithmus), um den Text jeder Nachricht zu verschlüsseln. Die Integration mit AWS KMS ermöglicht es Kunden, die Schlüssel, die Amazon SQS-Nachrichten schützen, zusammen mit Schlüsseln, die ihre anderen AWS Ressourcen schützen, zentral zu verwalten. AWS KMS protokolliert jede Verwendung von Verschlüsselungsschlüsseln, um regulatorische und Compliance-Anforderungen AWS CloudTrail zu erfüllen. Weitere Informationen und um die Region auf Verfügbarkeit für SSE für Amazon SQS zu überprüfen, finden Sie unter Verschlüsselung im Ruhezustand.

  • Wenn keine serverseitige Verschlüsselung verwendet wird, muss die Nachrichtennutzlast selbst verschlüsselt werden, bevor sie an SQS gesendet wird. Eine Möglichkeit, die Nachrichtennutzlast zu verschlüsseln, besteht darin, den Amazon SQS Extended Client zusammen mit dem Amazon S3-Verschlüsselungsclient zu verwenden. Weitere Informationen zur Verwendung der clientseitigen Verschlüsselung finden Sie unter Verschlüsseln von Nachrichtennutzlasten mit dem Amazon SQS Extended Client und dem Amazon S3 Encryption Client.

Amazon SQS verwendet CloudTrail, einen Service, der API-Aufrufe protokolliert, die von oder im Namen von Amazon SQS im AWS Konto eines Kunden getätigt wurden, und die Protokolldateien an den angegebenen Amazon S3-Bucket. CloudTrail captures-API-Aufrufe über die Amazon SQS-Konsole oder über die Amazon SQS-API übermittelt. Kunden können anhand der von gesammelten Informationen CloudTrail bestimmen, welche Anforderungen an Amazon SQS gestellt werden, von welcher Quell-IP-Adresse die Anforderung gestellt wird, wer die Anforderung gestellt hat, wann sie gestellt wird usw. Weitere Informationen zum Protokollieren von SQS-Operationen finden Sie unter Protokollieren von Amazon SQS-API-Aufrufen mit AWS CloudTrail.