Habilitación del cifrado del lado del servidor (SSE) para un tema de Amazon SNS - Amazon Simple Notification Service
Habilite el SSE mediante el AWS Management ConsoleTema de Amazon SNS con cifrado del servidorImpacto en los consumidores

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Habilitación del cifrado del lado del servidor (SSE) para un tema de Amazon SNS

Con el cifrado del servidor (SSE), puede almacenar información confidencial en temas cifrados. SSE protege el contenido de los mensajes en temas de Amazon SNS mediante claves que se administran en AWS Key Management Service (AWS KMS). Para obtener más información acerca del cifrado del servidor con Amazon SNS, consulte Cifrado en reposo. Para obtener más información sobre la creación de AWS KMS claves, consulte Creación de claves en la Guía para AWS Key Management Service desarrolladores.

importante

Todas las solicitudes hechas a los temas con SSE habilitado deben usar HTTPS y Signature Version 4.

Habilite el cifrado del lado del servidor (SSE) para un tema de Amazon SNS mediante el AWS Management Console

  1. Inicie sesión en la consola de Amazon SNS.

  2. En el panel de navegación, elija Topics (Temas).

  3. En la página Topics (Temas), seleccione un tema y elija Actions (Acciones), Edit (Editar).

  4. Expanda la sección Cifrado y haga lo siguiente:

    1. Elija Habilitar el cifrado.

    2. Especifique la AWS KMS clave. Para obtener más información, consulte Términos clave.

      Se muestran los valores de Description (Descripción), Account (Cuenta) y KMS ARN (ARN de KMS) de cada tipo de KMS.

      importante

      Si no es el propietario de la KMS o si ha iniciado sesión con una cuenta que no tiene los permisos kms:ListAliases y kms:DescribeKey, no podrá ver la información sobre la KMS en la consola de Amazon SNS.

      Pida al propietario de la KMS que le conceda estos permisos. Para obtener más información, consulte Permisos API de AWS KMS : referencia de recursos y acciones en la Guía para desarrolladores de AWS Key Management Service .

      • El alias aws/sns de KMS AWS gestionado para Amazon SNS (predeterminado) está seleccionado de forma predeterminada.

        nota

        Tenga en cuenta lo siguiente:

        • La primera vez que utilice AWS Management Console para especificar el KMS AWS administrado para Amazon SNS para un tema, AWS KMS crea el KMS AWS administrado para Amazon SNS.

        • Como alternativa, la primera vez que utilice la Publish acción en un tema con SSE habilitado, AWS KMS creará el KMS AWS administrado para Amazon SNS.

      • Para usar un KMS personalizado de su AWS cuenta, elija el campo clave de KMS y, a continuación, elija el KMS personalizado de la lista.

        nota

        Para obtener instrucciones acerca de cómo crear KMS personalizadas, consulte Creación de claves en la Guía para desarrolladores de AWS Key Management Service .

      • Para usar un ARN de KMS personalizado de su AWS cuenta o de otra AWS cuenta, introdúzcalo en el campo de clave de KMS.

  5. Elija Guardar cambios.

    El SSE está activado para su tema y se muestra la MyTopicpágina.

    El estado Encryption (Cifrado), la Account (Cuenta) de AWS , la Customer master key (CMK) [Clave maestra del cliente (CMK)], el CMK ARN (ARN de la CMK) y la Description (Descripción) del tema se muestran en la pestaña Encryption (Cifrado).

Configurar un tema de Amazon SNS con cifrado del servidor

Al crear la clave de KMS, utilice la siguiente política de claves de KMS:

{ 
    "Effect": "Allow", 
    "Principal": { 
        "Service": "service.amazonaws.com" 
     },
    "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey"
    ],
    "Resource": "*",
    "Condition": {
        "ArnLike": { 
            "aws:SourceArn": "arn:aws:service:region:customer-account-id:resource-type/customer-resource-id" 
        },
        "StringEquals": { 
            "kms:EncryptionContext:aws:sns:topicArn": "arn:aws:sns:your_region:customer-account-id:your_sns_topic_name" 
        }
    }
}

Impacto en los consumidores

Cuando se habilita el SSE para un tema de Amazon SNS, el proceso de consumo de mensajes permanece inalterado para los suscriptores. AWS gestiona el proceso de cifrado y descifrado mediante KMS. Por lo tanto, los suscriptores no necesitan realizar ningún cambio en su configuración actual para gestionar los mensajes cifrados. AWS garantiza que los mensajes se cifran en reposo y se descifran automáticamente antes de entregarlos a los suscriptores. Esto significa que los suscriptores seguirán recibiendo y procesando los mensajes como lo hacían antes de activar el cifrado, sin necesidad de configuración ni lógica de descifrado adicionales. Además, AWS recomienda utilizar HTTPS para garantizar la transmisión segura de los mensajes.