Activation du chiffrement côté serveur (SSE) pour une rubrique Amazon SNS avec une file d'attente Amazon SQS chiffrée abonnée - Amazon Simple Notification Service

Activation du chiffrement côté serveur (SSE) pour une rubrique Amazon SNS avec une file d'attente Amazon SQS chiffrée abonnée

Vous pouvez activer le chiffrement côté serveur (SSE) pour une rubrique afin de protéger ses données. Pour permettre à Amazon SNS d'envoyer des messages à des files d'attente Amazon SQS chiffrées, la clé principale client (CMK) associée à la file d'attente Amazon SQS doit avoir un énoncé de politique qui accorde l'accès au principal du service Amazon SNS aux actions d'API AWS KMS GenerateDataKey et Decrypt. Étant donné que les clés CMK gérées par AWS ne prennent pas en charge les modifications de politique, vous devez utiliser une clé CMK personnalisée. Pour plus d'informations sur l'utilisation du chiffrement SSE, consultez la section Chiffrement au repos.

Cette page vous montre comment activer le chiffrement SSE à l'aide de la pour une rubrique Amazon SNS à laquelle une file d'attente Amazon SQS chiffrée est abonnée AWS Management Console.

Étape 1 : Pour créer une clé CMK personnalisée

  1. Connectez-vous à la console AWS KMS avec un utilisateur disposant au minimum de la politique AWSKeyManagementServicePowerUser.

  2. Sélectionnez Create a key (Créer une clé).

  3. Sur la page Add alias and description (Ajouter un alias et une description), saisissez un alias pour votre clé (par exemple, MyCustomCMK), puis choisissez Next (Suivant).

  4. Sur la page Add tags (Ajouter des balises), choisissez Next (Suivant).

  5. Sur la page Définir des autorisations d'administration de clé, dans la section Administrateurs de clés, sélectionnez un rôle IAM ou un utilisateur IAM, puis choisissez Suivant.

  6. Sur la page Définir des autorisations d'utilisation de clé, dans la section Ce compte, sélectionnez un rôle IAM ou un utilisateur IAM, puis choisissez Suivant.

  7. Sur la page Review and edit key policy (Vérifier et modifier la politique de clé), ajoutez l'instruction suivante dans la politique de clé, puis choisissez Finish (Terminer).

    { "Sid": "Allow Amazon SNS to use this key", "Effect": "Allow", "Principal": { "Service": "sns.amazonaws.com" }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey*" ], "Resource": "*" }

Votre nouvelle clé CMK personnalisée s'affiche dans la liste des clés.

Étape 2 : Pour créer une rubrique Amazon SNS chiffrée

  1. Connectez-vous à la console Amazon SNS.

  2. Dans le panneau de navigation, choisissez Rubriques.

  3. Choisissez Create topic.

  4. Sur la page Create new topic (Créer une rubrique), dans Name (Nom), tapez le nom de la rubrique (par exemple, MyEncryptedTopic), puis choisissez Create topic (Créer une rubrique).

  5. Développez la section Encryption (Chiffrement) et effectuez les opérations suivantes :

    1. Choisissez Enable server-side encryption (Activer le chiffrement côté serveur).

    2. Spécifiez la clé principale client (CMK). Pour de plus amples informations, consultez la section Termes clés.

      Pour chaque type de CMK, les champs Description, Account (Compte) et CMK ARN (ARN CMK) s'affichent.

      Important

      Si vous n'êtes pas le propriétaire de la clé CMK, ou si vous vous connectez avec un compte n'ayant pas les autorisations kms:ListAliases et kms:DescribeKey, vous ne pouvez pas afficher les informations relatives au CMK sur la console Amazon SNS.

      Demandez au propriétaire du CMK de vous accorder ces autorisations. Pour plus d'informations, consultez la rubrique Autorisations d'API AWS KMS : référence des actions et ressources dans le Guide du développeur AWS Key Management Service.

    3. Pour Clé principale client (CMK), choisissez MyCustomCMK que vous avez créée précédemment, puis choisissez Activer le chiffrement côté serveur.

  6. Choisissez Enregistrer les modifications.

    SSE est activé pour votre rubrique et la page MaRubrique s'affiche.

    Le statut Encryption (Chiffrement) de la rubrique, Account (Compte) AWS, Customer master key (CMK) (Clé principale client [CMK]), CMK ARN (ARN CMK) et Description s’affichent dans l’onglet Encryption (Chiffrement).

Votre nouvelle rubrique chiffrée apparaît dans la liste des rubriques.

Étape 3 : Pour créer et abonner des files d'attente Amazon SQS chiffrées

  1. Connectez-vous à la console Amazon SQS.

  2. Choisissez Create New Queue (Créer une file d'attente).

  3. Sur la page Create New Queue (Créer une file d'attente), procédez comme suit :

    1. Saisissez un nom de file d'attente (par exemple, MyEncryptedQueue1).

    2. Sélectionnez Standard Queue (File d'attente standard), puis Configure Queue (Configurer la file d'attente).

    3. Sélectionnez Use SSE (Utiliser le chiffrement SSE).

    4. Pour Clé principale client (CMK) AWS KMS, choisissez MyCustomCMK que vous avez créée précédemment, puis choisissez Créer une file d'attente.

  4. Répétez l'opération pour créer une deuxième file d'attente (par exemple, MyEncryptedQueue2).

    Vos nouvelles files d'attente chiffrées s'affichent dans la liste des files d'attente.

  5. Sur la console Amazon SQS, sélectionnez MyEncryptedQueue1 et MyEncryptedQueue2, puis choisissez Actions sur la file d'attente, Abonner la file d'attente à la rubrique SNS.

  6. Dans la boîte de dialogue S'abonner à une rubrique, pour Choisir une rubrique, sélectionné MyEncryptedTopic, puis choisissez S'abonner.

    Les abonnements de vos files d'attente chiffrées à votre rubrique chiffrée s'affichent dans la boîte de dialogue Résultat de l'abonnement à la rubrique.

  7. Choisissez OK.

Étape 4 : Pour publier un message dans votre rubrique chiffrée

  1. Connectez-vous à la console Amazon SNS.

  2. Dans le panneau de navigation, choisissez Rubriques.

  3. Dans la liste des rubriques, sélectionnez MyEncryptedTopic, puis choisissez Publish message (Publier un message).

  4. Sur la page Publier un message, procédez comme suit :

    1. (Facultatif) Dans la section Message details (Détails du message), saisissez le Subject (Objet) (for example, Testing message publishing).

    2. Dans la section Message body (Corps du message), saisissez le corps du message (par exemple, My message body is encrypted at rest.).

    3. Choisissez Publier le message.

Votre message est publié dans vos files d'attente chiffrées souscrites.

Étape 5 : Pour vérifier la livraison du message

  1. Connectez-vous à la console Amazon SQS.

  2. Depuis la liste des files d'attente, sélectionnez MyEncryptedQueue1, puis choisissez Actions sur la file d'attente, Afficher/Supprimer les Messages.

  3. Dans la boîte de dialogue Afficher/Supprimer des messages dans MyEncryptedQueue1, choisissez Commencer la recherche de messages.

    Le message que vous avez envoyé précédemment s'affiche.

  4. Choisissez Plus de détails pour afficher votre message.

  5. Lorsque vous avez terminé, choisissez Fermer.

  6. Répétez l'opération pour MyEncryptedQueue2.