Configuración del cifrado de temas de Amazon SNS con cifrado del servidor - Amazon Simple Notification Service
Habilite el SSE mediante AWS Management ConsoleOpción 2: habilitar el cifrado mediante AWS CDKInformación adicionalImpacto en los consumidores

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configuración del cifrado de temas de Amazon SNS con cifrado del servidor

Amazon SNS admite el cifrado del lado del servidor (SSE) para proteger el contenido de los mensajes mediante (). AWS Key Management Service AWS KMS Siga las instrucciones que aparecen a continuación para habilitar SSE mediante la consola Amazon SNS o la CDK.

Opción 1: Habilite el cifrado mediante AWS Management Console

  1. Inicie sesión en la consola de Amazon SNS.

  2. Navegue a la página de temas, seleccione su tema y elija Editar.

  3. Expanda la sección Cifrado y haga lo siguiente:

    • Active el cifrado para activarlo.

    • Seleccione el gestionado AWS SNS Clave (alias/aws/sns) como clave de cifrado. Está seleccionada de manera predeterminada.

  4. Elija Guardar cambios.

nota

  • Clave administrada de AWS Se crea automáticamente si aún no existe.

  • Si no ve la clave o no tiene permisos suficientes, pida al administrador que le pida kms:ListAliases ykms:DescribeKey.

Opción 2: habilitar el cifrado mediante AWS CDK

Para utilizar el gestionado AWS SNS clave en su aplicación CDK, añada el siguiente fragmento:

import software.amazon.awscdk.services.sns.*;
import software.amazon.awscdk.services.kms.*;
import software.amazon.awscdk.core.*;

public class SnsEncryptionExample extends Stack {
    public SnsEncryptionExample(final Construct scope, final String id) {
        super(scope, id);

        // Define the managed SNS key
        IKey snsKey = Alias.fromAliasName(this, "helloKey", "alias/aws/sns");

        // Create the SNS Topic with encryption enabled
        Topic.Builder.create(this, "MyEncryptedTopic")
            .masterKey(snsKey)
            .build();
    }
}

Información adicional

  • Clave KMS personalizada: puede especificar una clave personalizada si es necesario. En la consola de Amazon SNS, seleccione su clave de KMS personalizada de la lista o introduzca el ARN.

  • Permisos para claves de KMS personalizadas: si utiliza una clave de KMS personalizada, incluya lo siguiente en la política de claves para que Amazon SNS pueda cifrar y descifrar los mensajes:

{ 
    "Effect": "Allow", 
    "Principal": { 
        "Service": "sns.amazonaws.com" 
     },
    "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey"
    ],
    "Resource": "*",
    "Condition": {
        "ArnLike": { 
            "aws:SourceArn": "arn:aws:service:region:customer-account-id:resource-type/customer-resource-id" 
        },
        "StringEquals": { 
            "kms:EncryptionContext:aws:sns:topicArn": "arn:aws:sns:your_region:customer-account-id:your_sns_topic_name" 
        }
    }
}

Impacto en los consumidores

Habilitar el SSE no cambia la forma en que los suscriptores consumen los mensajes. AWS gestiona el cifrado y el descifrado de forma transparente. Los mensajes permanecen cifrados en reposo y se descifran automáticamente antes de entregarlos a los suscriptores. Para una seguridad óptima, AWS recomienda habilitar HTTPS en todos los puntos finales para garantizar la transmisión segura de los mensajes.