Habilitación del cifrado del lado del servidor (SSE) para un tema de Amazon SNS con una cola cifrada de Amazon SQS suscrita

Puede habilitar el cifrado del lado del servidor (SSE) para un tema con el fin de proteger sus datos. Para permitir que Amazon SNS envíe mensajes a colas de Amazon SQS cifradas, la clave administrada por el cliente asociada a la cola de Amazon SQS debe tener una instrucción de política que conceda a la entidad principal de servicio de Amazon SNS acceso a las acciones de la API de AWS KMS GenerateDataKey y Decrypt. Para obtener más información acerca del uso de SSE, consulte Cifrado en reposo.

En esta página, se muestra cómo puede habilitar SSE para un tema de Amazon SNS al que se ha suscrito una cola de Amazon SQS cifrada mediante la AWS Management Console.

Paso 1: Crear una clave de KMS personalizada

1. Inicie sesión en la consola de AWS KMS con un usuario que tenga al menos la política AWSKeyManagementServicePowerUser.

2. Elija Create a key (Crear clave).

3. Para crear una clave KMS de cifrado simétrica, para Key type (Tipo de clave) seleccione Symmetric (Simétrica).

   Para obtener información acerca de cómo crear una clave de KMS asimétrica en la consola de AWS KMS, consulte Creación de claves de KMS asimétricas (consola).

4. En Key usage (Uso de claves), se selecciona la opción Encrypt and decrypt (Cifrar y descifrar) para usted.

   Para obtener información acerca de cómo crear claves de KMS que generan y verifican códigos MAC, consulte Creación de claves de KMS HMAC.

   Para obtener más información acerca de las Opciones avanzadas, consulte Claves para fines especiales.

5. Elija Next (Siguiente).

6. Escriba un alias para la clave KMS. El nombre del alias no puede empezar por aws/. El prefijo aws/ está reservado para Amazon Web Services y representa las Claves administradas por AWS de su cuenta.

   nota

   Agregar, eliminar o actualizar un alias puede permitir o denegar el permiso a la clave KMS. Para obtener más información, consulte ABAC para AWS KMS y Uso de alias para controlar el acceso a las claves de KMS.

   Un alias es un nombre de visualización que puede usar para identificar a una clave KMS. Le recomendamos que elija un alias que indique el tipo de datos que piensa proteger o la aplicación que piensa usar con la clave KMS.

   Los alias son necesarios para crear una clave KMS en la AWS Management Console. Se emplean en la operación CreateKey.

7. (Opcional) Escriba una descripción de la clave KMS.

   Puede agregar una descripción ahora o actualizarla en cualquier momento, a menos que el estado de la clave sea Pending Deletion o Pending Replica Deletion. Para agregar, cambiar o eliminar la descripción de una clave KMS administrada por el cliente existente, edite la descripción en la AWS Management Console o utilice la operación UpdateKeyDescription.

8. (Opcional) Escriba una clave de etiqueta y un valor de etiqueta opcional. Para agregar más de una etiqueta a la clave KMS, elija Add tag (Agregar etiqueta).

   nota

   Etiquetar o quitar las etiquetas de la clave KMS puede permitir o denegar permiso a la clave KMS. Para obtener más información, consulte ABAC para AWS KMS y Uso de etiquetas para controlar el acceso a las claves de KMS.

   Cuando se agregan etiquetas a los recursos de AWS, AWS genera un informe de asignación de costos con el uso y los costos agregados por etiquetas. Las etiquetas también pueden utilizarse para controlar el acceso a una clave KMS. Para obtener información acerca del etiquetado de claves de KMS, consulte Etiquetado de claves y ABAC para AWS KMS.

9. Elija Next (Siguiente).

10. Seleccione los usuarios y roles de IAM que pueden administrar la clave KMS.

    nota

    Esta política de claves proporciona a la Cuenta de AWS control total de esta clave KMS. Permite a los administradores de cuentas utilizar las políticas de IAM para dar permiso a otras entidades principales para administrar la clave KMS. Para obtener más detalles, consulte Política de claves predeterminada.

     

    Las prácticas recomendadas de IAM desalientan el uso de usuarios de IAM con credenciales a largo plazo. Siempre que sea posible, utilice los roles de IAM, que proporcionan credenciales temporales. Para obtener más información, consulte Prácticas recomendadas de seguridad de IAM en la Guía del usuario de IAM.

11. (Opcional) Para evitar que los usuarios y los roles de IAM seleccionados eliminen esta clave KMS, en la sección Key deletion (Eliminación de clave) situada en la parte inferior de la página, desactive la casilla Allow key administrators to delete this key (Permitir a los administradores de claves eliminar esta clave).

12. Elija Next (Siguiente).

13. Seleccione los usuarios y roles de IAM que pueden usar la clave en operaciones criptográficas. Elija Next (Siguiente).

14. En la página Review and edit key policy (Revisar y editar política de claves), agregue la instrucción siguiente a la política de claves y, a continuación, elija Finish (Finalizar).

    {
        "Sid": "Allow Amazon SNS to use this key",
        "Effect": "Allow",
        "Principal": {
            "Service": "sns.amazonaws.com"
        },
        "Action": [
            "kms:Decrypt",
            "kms:GenerateDataKey*"
        ],
        "Resource": "*"
    }

La nueva clave administrada por el cliente aparece en la lista de claves.

Mostrar másMostrar menos

Paso 2: Crear un tema de Amazon SNS cifrado

1. Inicie sesión en la consola de Amazon SNS.

2. En el panel de navegación, elija Topics (Temas).

3. Elija Create new topic (Crear nuevo tema).

4. En la página Create new topic (Crear nuevo tema), en Name (Nombre), escriba un nombre para el tema (por ejemplo, MyEncryptedTopic) y, a continuación, elija Create topic (Crear tema).

5. Expanda la sección Encryption (Cifrado) y haga lo siguiente:

   1. Elija Enable server-side encryption (Habilitar cifrado del lado del servidor).

   2. Especifique la clave administrada por el cliente. Para obtener más información, consulte Términos clave.

      Para cada tipo de clave administrada por el cliente, se muestran la Descripción, la Cuenta y el ARN de la clave administrada por el cliente.

      importante

      Si no es el propietario de la clave administrada por el cliente o si ha iniciado sesión con una cuenta que no tiene los permisos kms:ListAliases y kms:DescribeKey, no podrá ver la información sobre la clave administrada por el cliente en la consola de Amazon SNS.

      Pida al propietario de la clave administrada por el cliente que le conceda estos permisos. Para obtener más información, consulte Permisos API de AWS KMS: referencia de recursos y acciones en la Guía para desarrolladores de AWS Key Management Service.

   3. En clave administrada por el cliente, elija MyCustomKey que creó antes y, a continuación, elija Habilitar cifrado del lado del servidor.

6. Elija Save changes (Guardar cambios).

   SSE está habilitado para su tema y se muestra la página MiTema.

   El estado Cifrado del tema, la Cuenta de AWS, la clave administrada por el cliente, el ARN de la clave administrada por el cliente y la Descripción del tema se muestran en la pestaña Cifrado.

El nuevo tema cifrado aparecerá en la lista de temas.

Paso 3: Crear colas de Amazon SQS cifradas y suscribirse a ellas

1. Inicie sesión en la consola de Amazon SQS.

2. Elija Create New Queue (Crear nueva cola).

3. En la página Create New Queue (Crear nueva cola), haga lo siguiente:

   1. Escriba un nombre en Queue Name (Nombre de cola) (por ejemplo, MyEncryptedQueue1).

   2. Seleccione Standard Queue (Cola estándar) y, a continuación, elija Configure Queue (Configurar cola).

   3. Elija Use SSE (Usar SSE).

   4. En AWS KMS key, elija MyCustomKey que creó antes y, a continuación, elija Crear cola.

4. Repita el proceso para crear una segunda cola (por ejemplo, denominada MyEncryptedQueue2).

   Las nuevas colas cifradas aparecerán en la lista de colas.

5. En la consola de Amazon SQS, seleccione MyEncryptedQueue1 y MyEncryptedQueue2. A continuación, elija Acciones de colas, Suscribir colas al tema de SNS.

6. En el cuadro de diálogo Subscribe to a Topic (Suscribir a un tema), en Choose a Topic (Elegir un tema) seleccione MyEncryptedTopic y, a continuación, haga clic en Subscribe (Suscribir).

   Las suscripciones de las colas cifradas al tema cifrado se muestran en el cuadro de diálogo Topic Subscription Result (Resultado de suscripción al tema).

7. Seleccione OK (Aceptar).

Paso 4: Publicar un mensaje en el tema cifrado

1. Inicie sesión en la consola de Amazon SNS.

2. En el panel de navegación, elija Topics (Temas).

3. En la lista de temas, seleccione MyEncryptedTopic. A continuación, elija Publish message (Publicar mensaje).

4. En la página Publish a message (Publicar mensaje) haga lo siguiente:

   1. (Opcional) En la sección Message details (Detalles del mensaje), introduzca el Subject (Asunto) (por ejemplo, Testing message publishing).

   2. En la sección Message body (Cuerpo del mensaje), introduzca el cuerpo del mensaje (por ejemplo, My message body is encrypted at rest.).

   3. Elija Publish message (Publicar mensaje).

El mensaje se publica en las colas cifradas suscritas.

Paso 5: Verificar la entrega de mensajes

1. Inicie sesión en la consola de Amazon SQS.

2. En la lista de colas, elija MyEncryptedQueue1 y, a continuación, elija Send and receive messages (Enviar y recibir mensajes).

3. En la página Send and receive messages in MyEncryptedQueue1 (Enviar y recibir mensajes en MyEncryptedQueue1), elija Poll for messages (Sondear en busca de mensajes).

   Aparecerá el mensaje que envió antes.

4. Elija More Details (Más información) para ver el mensaje.

5. Cuando haya finalizado, elija Close (Cerrar).

6. Repita el proceso para MyEncryptedQueue2.