Utilisation du chiffrement avec le crawler d'événements Amazon S3 - AWS Glue
Activation du chiffrement sur SQS uniquementActivation du chiffrement à la fois sur SQS et S3FAQ

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation du chiffrement avec le crawler d'événements Amazon S3

Cette section décrit l'utilisation du chiffrement sur SQS uniquement ou sur SQS et Amazon S3.

Activation du chiffrement sur SQS uniquement

Amazon SQS fournit par défaut un chiffrement en transit. Pour ajouter un chiffrement côté serveur (SSE) à votre file d'attente, vous pouvez attacher une clé principale client (CMK) dans le panneau d'édition. Cela signifie que SQS chiffre toutes les données client au repos sur les serveurs SQS.

Créez une clé principale client (CMK).

  1. Choisissez Service de gestion des clés (KMS) > Clés gérées par le client > Créer une clé.

  2. Suivez les étapes pour ajouter votre propre alias et votre description.

  3. Ajoutez les rôles IAM respectifs auxquels vous souhaitez accorder le droit d'utiliser cette clé.

  4. Dans la politique de clés, ajoutez une autre instruction à la liste « Instruction » afin que votre Politique de clés personnalisée donne à Amazon SNS des autorisations suffisantes pour l'utilisation des clés.

     "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "sns.amazonaws.com"
            },
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt"
            ],
            "Resource": "*"
        }
 ]
Activer le chiffrement côté serveur (SSE) dans votre file d'attente

  1. Choisissez l'onglet Amazon SQS > Files d'attente > sqs_queue_name > Chiffrement.

  2. Choisissez Modifier, puis faites défiler l'écran jusqu'au menu déroulant Chiffrement.

  3. Sélectionnez Activé pour ajouter SSE.

  4. Sélectionnez la CMK que vous avez créée précédemment, et non la clé par défaut portant le nom alias/aws/sqs.

    Après l'avoir ajoutée, votre onglet Chiffrement est mis à jour avec la clé que vous avez ajoutée.

Note

Amazon SQS supprime automatiquement d'une file d'attente les messages qui dépassent la période maximale de conservation des messages. La période de conservation des messages par défaut est de 4 jours. Pour ne pas manquer d'événements, modifiez la MessageRetentionPeriod du SQS jusqu'à la durée maximale de 14 jours.

Activation du chiffrement à la fois sur SQS et S3

Activer le chiffrement côté serveur (SSE) sur SQS

  1. Suivez les étapes de Activation du chiffrement sur SQS uniquement.

  2. Lors de la dernière étape de la configuration de CMK, accordez à Amazon S3 des autorisations suffisantes pour l'utilisation des clés.

    Collez ce qui suit dans la liste « Instruction » :

     "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "s3.amazonaws.com"
            },
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt"
            ],
            "Resource": "*"
        }
 ]
Activer le chiffrement côté serveur (SSE) sur votre compartiment S3

  1. Suivez les étapes de Activation du chiffrement sur SQS uniquement.

  2. Effectuez l'une des actions suivantes :

    • Afin d'activer SSE pour l'intégralité de votre compartiment S3, accédez à l'onglet Propriétés dans votre compartiment cible.

      Vous pouvez activer SSE et choisir le type de chiffrement que vous souhaitez utiliser. Amazon S3 fournit une clé de chiffrement qu'Amazon S3 crée, gère et utilise pour vous. Vous pouvez également choisir une clé à partir de KMS.

    • Pour activer SSE sur un dossier spécifique, cochez la case située à côté de votre dossier cible et choisissez Modifier le chiffrement côté serveur sous le menu déroulant Actions.

FAQ

Pourquoi les messages que je publie sur ma rubrique Amazon SNS ne sont-ils pas livrés à ma file d'attente Amazon SQS abonnée dont le chiffrement côté serveur (SSE) est activé ?

Vérifiez que votre file d'attente Amazon SQS utilise :

  1. Une clé principale client (CMK) qui est gérée par le client. Il ne s'agit pas de celle fournie par défaut par SQS.

  2. Votre CMK de (1) comprend une politique de clés personnalisée qui donne à Amazon SNS des autorisations suffisantes pour l'utilisation des clés.

Pour plus d'informations, consultez cet article dans le Centre de connaissances.

Je suis abonné aux notifications par e-mail, mais je ne reçois aucune mise à jour par e-mail lorsque je modifie mon compartiment Amazon S3.

Assurez-vous d'avoir confirmé votre adresse e-mail en cliquant sur le lien « Confirmer l'abonnement » dans votre e-mail. Vous pouvez valider l'état de votre confirmation en vérifiant le tableau Abonnements sous votre rubrique SNS.

Choisissez Amazon SNS > Rubriques > sns_topic_name > Tableau des abonnements.

Si vous avez suivi notre script de condition préalable, vous constaterez que le sns_topic_name est égal à votre sqs_queue_name. Il doit ressembler à l'exemple ci-dessous.

Seuls certains des dossiers que j'ai ajoutés apparaissent dans ma table après avoir activé le chiffrement côté serveur dans ma file d'attente SQS. Pourquoi est-ce que je manque des parquets ?

Si les modifications du compartiment Amazon S3 ont été apportées avant d'activer SSE dans votre file d'attente SQS, il se peut que le crawler ne les reprenne pas. Pour vous assurer que vous avez analysé toutes les mises à jour de votre compartiment S3, exécutez à nouveau l'crawler en mode de liste (« Analyser tous les dossiers »). Une autre option consiste à redémarrer en créant un nouvel crawler en ayant les événements S3 activés.