Cifrado en reposo - Amazon Simple Queue Service

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Cifrado en reposo

El cifrado del lado del servidor (SSE) le permite transferir información confidencial en colas cifradas. SSE protege el contenido de los mensajes de las colas de mediante claves de cifrado administradas por SQS (SSE-SQS) o claves administradas en elAWS Key Management Service(SSE-KM). Para obtener información sobre la administración de SSE mediante laAWS Management Console, consulte lo siguiente:

Para obtener información sobre la administración de SSE mediante laAWS SDK for Java(y elCreateQueue,SetQueueAttributes, yGetQueueAttributesactions), consulte los siguientes ejemplos:

SSE cifra los mensajes en cuanto Amazon SQS los recibe. Los mensajes se almacenan cifrados y Amazon SQS los descifra únicamente cuando se envían a un consumidor autorizado.

importante

Todas las solicitudes hechas a las colas con SSE habilitado deben usar HTTPS ySignature Version 4.

Uncola cifradaque utiliza la clave predeterminada de (AWSclave de KMS administrada para Amazon SQS) no puede invocar una función de Lambda en otroCuenta de AWS.

Algunas características deAWSservicios que pueden enviar notificaciones a Amazon SQS mediante elAWS Security Token Service AssumeRolela acción es compatible con SSE pero funcionasolo con colas estándar:

Para obtener información acerca de la compatibilidad de otros servicios con colas cifradas de, consulteConfigurar permisos de KMS para servicios de AWSy la documentación de servicio.

AWS KMS combina hardware y software seguros de alta disponibilidad para ofrecer un sistema de administración de claves adaptado a la nube. Cuando usa Amazon SQS conAWS KMS, elclaves de datosque cifran los datos de los mensajes de los mensajes también se cifran y almacenan con los datos que protegen.

A continuación, se describen los beneficios de usar AWS KMS:

  • Puede crear y administrarAWS KMS keyssí mismo.

  • También puede utilizar laAWSclave de KMS administrada por Amazon SQS, que es única para cada cuenta y región.

  • Los estándares de seguridad de AWS KMS pueden ayudarle a cumplir los requisitos de conformidad relacionados con el cifrado.

Para obtener más información, consulte ¿Qué es AWS Key Management Service? en la Guía para desarrolladores de AWS Key Management Service.

Ámbito de cifrado

SSE cifra el cuerpo de un mensaje en una cola de Amazon SQS.

SSE no cifra lo siguiente:

  • Metadatos de la cola (atributos y nombre de la cola)

  • Metadatos del mensaje (ID de mensaje, marca temporal y atributos)

  • Métricas por cola

El cifrado de un mensaje evita que usuarios no autorizados o anónimos obtengan acceso a su contenido. Esto no afecta al funcionamiento normal de Amazon SQS:

  • Un mensaje se cifra únicamente si se envía con posterioridad a la habilitación del cifrado de una cola. Amazon SQS no cifra mensajes atrasados.

  • Cualquier mensaje cifrado permanece en dicho estado aunque el cifrado de su cola esté deshabilitado.

Mover un mensaje a una cola de mensajes fallidos no afecta a su cifrado:

  • Cuando Amazon SQS mueve un mensaje de una cola de origen cifrado a una cola de mensajes fallidos sin cifrar, el mensaje permanece cifrado.

  • Cuando Amazon SQS mueve un mensaje de una cola de origen sin cifrar a una cola de mensajes fallidos cifrada, el mensaje permanece sin cifrar.

Términos clave

Los siguientes términos clave pueden ayudarle a comprender mejor la funcionalidad de SSE. Para ver descripciones detalladas, consulte laReferencia de la API de Amazon Simple Que.

Clave de datos

La clave (DEK) responsable de cifrar el contenido de los mensajes de Amazon SQS.

Para obtener más información, consulteClaves de datosen laAWS Key Management ServiceGuía para desarrolladoresen laAWS Encryption SDKGuía para desarrolladores.

Periodo de reutilización de la clave de datos

Período de tiempo, en segundos, durante el cual Amazon SQS puede reutilizar una clave de datos para cifrar o descifrar mensajes antes de llamarAWS KMSde nuevo. Un entero que representa segundos, entre 60 segundos (1 minuto) y 86 400 segundos (24 horas). El valor predeterminado es 300 (5 minutos). Para obtener más información, consulte Descripción del período de reutilización de la clave de datos.

nota

En el improbable caso de no poder alcanzarAWS KMS, Amazon SQS continúa utilizando la clave de datos almacenada en caché hasta que se restablezca la conexión.

El ID de la clave

Alias, ARN de alias, ARN de alias, ARN de alias, ARN de alias, ARN deAWSclave de KMS administrada o una clave de KMS personalizada, en su cuenta o en otra cuenta. Mientras que el alias delAWSla clave de KMS administrada para Amazon SQS siemprealias/aws/sqs, el alias de una clave KMS personalizada puede ser, por ejemplo,alias/MyAlias. Puede utilizar estas claves de KMS para proteger los mensajes que se encuentran en las colas de Amazon SQS.

nota

Tenga en cuenta lo siguiente:

  • Si no especifica una clave de KMS personalizada, Amazon SQS utiliza laAWSclave de KMS administrada para Amazon SQS.

  • La primera vez que utilice elAWS Management Consolepara especificar elAWSclave de KMS administrada para Amazon SQS para una cola,AWS KMScrea elAWSclave de KMS administrada para Amazon SQS.

  • Como alternativa, la primera vez que utilice elSendMessageoSendMessageBatchacción en una cola con SSE habilitado,AWS KMScrea elAWSclave de KMS administrada para Amazon SQS.

Puede crear claves de KMS, definir las políticas que controlan cómo se pueden utilizar las claves de KMS y auditar el uso de las claves de KMS mediante laClaves administradas por el clienteSección sobre de laAWS KMSconsola de o laCreateKey AWS KMSaction. Para obtener más información, consulteClaves de KMSyCreación de clavesen laAWS Key Management ServiceGuía para desarrolladores. Para obtener más ejemplos de identificadores de clave KMS, consulteKeyIden laAWS Key Management ServiceReferencia de la API. Para obtener información sobre la búsqueda de identificadores de clave KMS, consulteEncuentre el ARN y el ARN de la claveen laAWS Key Management ServiceGuía para desarrolladores.

importante

La utilización de AWS KMS conlleva cargos adicionales. Para obtener más información, consulte Estimación de los costos de AWS KMS y Precios de AWS Key Management Service.

Cifrado de sobre

La seguridad de los datos cifrados depende en parte de la protección de la clave de datos que permite descifrarlos. Amazon SQS utiliza la clave de KMS para cifrar la clave de datos y, a continuación, la clave de datos cifrada se almacena con el mensaje cifrado. Esta práctica de utilizar una clave de KMS para cifrar claves de datos se denomina cifrado de sobres.

Para obtener más información, consulte Cifrado de envoltura en la Guía del desarrollador de AWS Encryption SDK.