Amazon Simple Queue Service (Amazon SQS) - Arquitectura de seguridad de HIPAA y cumplimiento de servicios Amazon Web

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Amazon Simple Queue Service (Amazon SQS)

Los clientes deben comprender los siguientes requisitos de cifrado de claves para poder utilizar Amazon SQS con PHI.

  • La comunicación con Amazon SQS Queue a través de la solicitud de consulta debe cifrarse con HTTPS. Para obtener más información sobre cómo realizar solicitudes de SQS, consulte Realizar solicitudes a la API de Query.

  • Amazon SQS admite el cifrado del lado del servidor integrado con el AWS KMS para proteger los datos en reposo. La incorporación del cifrado del lado del servidor permite a los clientes transmitir y recibir datos confidenciales con la mayor seguridad que supone el uso de colas cifradas. El cifrado del lado del servidor de Amazon SQS utiliza el estándar de cifrado avanzado de 256 bits (algoritmo AES-256 GCM) para cifrar el cuerpo de cada mensaje. La integración con AWS KMS permite a los clientes gestionar de forma centralizada las claves que protegen los mensajes de Amazon SQS junto con las claves que protegen sus demás AWS recursos. AWS KMS registra cada uso de las claves de cifrado para ayudar AWS CloudTrail a satisfacer las necesidades normativas y de conformidad. Para obtener más información y comprobar la disponibilidad de SSE para Amazon SQS en la región, consulte Encryption at Rest.

  • Si no se utiliza el cifrado del lado del servidor, la carga útil del mensaje en sí debe cifrarse antes de enviarse a SQS. Una forma de cifrar la carga útil del mensaje consiste en utilizar el Amazon SQS Extended Client junto con el cliente de cifrado Amazon S3. Para obtener más información sobre el uso del cifrado del lado del cliente, consulte Cifrado de cargas útiles de mensajes mediante Amazon SQS Extended Client y Amazon S3 Encryption Client.

Amazon SQS utiliza CloudTrail un servicio que registra las llamadas a la API realizadas por Amazon SQS o en su nombre en la cuenta de un cliente y entrega los archivos AWS de registro al bucket de Amazon S3 especificado. CloudTrail captura las llamadas a la API realizadas desde la consola de Amazon SQS o desde la API de Amazon SQS. Los clientes pueden usar la información recopilada CloudTrail para determinar qué solicitudes se realizan a Amazon SQS, la dirección IP de origen desde la que se realiza la solicitud, quién la realizó, cuándo se realizó, etc. Para obtener más información sobre el registro de las operaciones de SQS, consulte Registrar las llamadas a la API de Amazon SQS mediante. AWS CloudTrail