Activation du chiffrement côté serveur (SSE) pour une rubrique Amazon SNS avec une file d'attente Amazon SQS chiffrée abonnée

Vous pouvez activer le chiffrement côté serveur (SSE) pour une rubrique afin de protéger ses données. Pour permettre à Amazon SNS d'envoyer des messages à des files d'attente Amazon SQS chiffrées, la clé gérée par le client associée à la file d'attente Amazon SQS doit avoir un énoncé de politique qui accorde l'accès au principal du service Amazon SNS aux actions d'API AWS KMS GenerateDataKey et Decrypt. Pour plus d'informations sur l'utilisation du chiffrement SSE, consultez la section Chiffrement au repos.

Cette page vous montre comment activer le chiffrement SSE à l'aide de la AWS Management Console pour une rubrique Amazon SNS à laquelle une file d'attente Amazon SQS chiffrée est abonnée.

Étape 1 : Créer une clé KMS personnalisée

1. Connectez-vous à la console AWS KMS avec un utilisateur disposant au minimum de la politique AWSKeyManagementServicePowerUser.

2. Sélectionnez Create a key (Créer une clé).

3. Pour créer une clé KMS de chiffrement symétrique, pour Key type (Type de clé), choisissez Symmetric (Symétrique).

   Pour de plus amples informations sur la création d'une clé KMS asymétrique dans la console AWS KMS, consultez Création de clés KMS asymétriques (console).

4. Dans Key usage (Utilisation de la clé), l'option Encrypt and decrypt (Chiffrer et déchiffrer) est sélectionnée pour vous.

   Pour plus d'informations sur la création de clés KMS qui génèrent et vérifient des codes MAC, consultez Création de clés KMS HMAC.

   Pour de plus amples informations sur les Options avancées, consultez Clés à usage spécial.

5. Choisissez Next (Suivant).

6. Saisissez un alias pour la clé KMS. Le nom d'alias ne peut pas commencer par aws/. Le préfixe aws/ est réservé par Amazon Web Services pour représenter Clés gérées par AWS dans votre compte.

   Note

   L'ajout, la suppression ou la mise à jour d'un alias peut permettre d'accorder ou de refuser l'autorisation d'utiliser la clé KMS. Pour plus de détails, consultez ABAC pour AWS KMS et Utilisation d'alias pour contrôler l'accès aux clés KMS.

   Un alias est un nom d'affichage que vous pouvez utiliser pour identifier facilement la clé KMS. Nous vous conseillons de choisir un alias qui indique le type de données que vous envisagez de protéger ou l'application que vous pensez utiliser avec la clé KMS.

   Les alias sont requis lorsque vous créez une clé KMS dans la AWS Management Console. Ils sont facultatifs lorsque vous utilisez l'opération CreateKey.

7. (Facultatif) Saisissez une description pour la clé KMS.

   Vous pouvez ajouter une description maintenant ou la mettre à jour à tout moment, sauf si l'état de la clé est Pending Deletion ou Pending Replica Deletion. Pour ajouter, modifier ou supprimer la description d'une clé gérée par un client existante, modifiez la description dans la AWS Management Console ou utilisez l'opération UpdateKeyDescription.

8. (Facultatif) Saisissez une clé de balise et une valeur de balise facultative. Pour ajouter plus d'une balise à la clé KMS, sélectionnez Add tag (Ajouter une balise).

   Note

   L'ajout ou la suppression d'une balise sur une KMS permet d'accorder ou de refuser l'autorisation d'utilisation de cette clé KMS. Pour plus de détails, consultez ABAC pour AWS KMS et Utilisation d'étiquettes pour contrôler l'accès aux clés KMS.

   Lorsque vous ajoutez des balises à vos ressources AWS, AWS génère un rapport de répartition des coûts faisant apparaître la consommation et les coûts regroupés par balises. Les balises peuvent également être utilisées pour contrôler l'accès à une clé KMS. Pour de plus amples informations sur l'étiquetage des clés KMS, veuillez consulter Étiquetage de clés et ABAC pour AWS KMS.

9. Choisissez Next (Suivant).

10. Sélectionnez les utilisateurs et les rôles IAM qui peuvent administrer la clé KMS.

    Note

    Cette politique de clé donne au Compte AWS le contrôle total de cette clé KMS. Il permet aux administrateurs de compte d'utiliser des politiques IAM pour autoriser d'autres principals à gérer la clé KMS. Pour plus d'informations, consultez Stratégie de clé par défaut.

     

    Les bonnes pratiques IAM déconseillent d'avoir recours à des utilisateurs IAM dotés d'informations d'identification à long terme. Dans la mesure du possible, utilisez des rôles IAM, qui fournissent des informations d'identification temporaires. Pour plus d'informations, consultez Bonnes pratiques de sécurité dans IAM dans le Guide de l'utilisateur IAM.

11. (Facultatif) Pour empêcher les utilisateurs et les rôles IAM sélectionnés de supprimer cette clé KMS, dans la section Key deletion (Suppression de la clé) en bas de la page, décochez la case Allow key administrators to delete this key (Autoriser les administrateurs de clé à supprimer cette clé).

12. Choisissez Next (Suivant).

13. Sélectionnez les utilisateurs et les rôles IAM qui peuvent utiliser la clé dans les opérations de chiffrement. Choisissez Next (Suivant).

14. Sur la page Review and edit key policy (Vérifier et modifier la politique de clé), ajoutez l'instruction suivante dans la politique de clé, puis choisissez Finish (Terminer).

    {
        "Sid": "Allow Amazon SNS to use this key",
        "Effect": "Allow",
        "Principal": {
            "Service": "sns.amazonaws.com"
        },
        "Action": [
            "kms:Decrypt",
            "kms:GenerateDataKey*"
        ],
        "Resource": "*"
    }

Votre nouvelle clé gérée par le client s'affiche dans la liste des clés.

Afficher plusAfficher moins

Étape 2 : Création d'une une rubrique Amazon SNS chiffrée

1. Connectez-vous à la console Amazon SNS.

2. Dans le panneau de navigation, choisissez Rubriques.

3. Choisissez Create topic (Créer une rubrique).

4. Sur la page Create new topic (Créer une rubrique), dans Name (Nom), tapez le nom de la rubrique (par exemple, MyEncryptedTopic), puis choisissez Create topic (Créer une rubrique).

5. Développez la section Encryption (Chiffrement) et effectuez les opérations suivantes :

   1. Choisissez Enable server-side encryption (Activer le chiffrement côté serveur).

   2. Spécifiez la clé gérée par le client. Pour de plus amples informations, veuillez consulter Termes clés.

      Pour chaque type de clé gérée par le client, la Description, le Compte et l'ARN de la clé gérée par le client sont affichés.

      Important

      Si vous n'êtes pas le propriétaire de la clé gérée par le client, ou si vous vous connectez avec un compte n'ayant pas les autorisations kms:ListAliases et kms:DescribeKey, vous ne pouvez pas afficher les informations relatives à la clé gérée par le client sur la console Amazon SNS.

      Demandez au propriétaire de la clé gérée par le client de vous accorder ces autorisations. Pour plus d'informations, consultez la rubrique Autorisations d'API AWS KMS : référence des actions et ressources dans le Guide du développeur AWS Key Management Service.

   3. Pour Clé gérée par le client, choisissez MyCustomKey que vous avez créée précédemment, puis choisissez Activer le chiffrement côté serveur.

6. Sélectionnez Save Changes (Enregistrer les modifications).

   SSE est activé pour votre rubrique et la page MaRubrique s'affiche.

   Le statut Chiffrement de la rubrique, Compte AWS, Clé gérée par le client, l'ARN et la Description de la clé gérée par le client s’affichent dans l’onglet Chiffrement.

Votre nouvelle rubrique chiffrée apparaît dans la liste des rubriques.

Étape 3 : Création et abonnement de files d'attente Amazon SQS chiffrées

1. Connectez-vous à la console Amazon SQS.

2. Choisissez Create New Queue (Créer une file d'attente).

3. Sur la page Create New Queue (Créer une file d'attente), procédez comme suit :

   1. Saisissez un nom de file d'attente (par exemple, MyEncryptedQueue1).

   2. Sélectionnez Standard Queue (File d'attente standard), puis Configure Queue (Configurer la file d'attente).

   3. Sélectionnez Use SSE (Utiliser le chiffrement SSE).

   4. Pour AWS KMS key, choisissez MyCustomKey que vous avez créée précédemment, puis choisissez Créer une file d'attente.

4. Répétez l'opération pour créer une deuxième file d'attente (par exemple, MyEncryptedQueue2).

   Vos nouvelles files d'attente chiffrées s'affichent dans la liste des files d'attente.

5. Sur la console Amazon SQS, sélectionnez MyEncryptedQueue1 et MyEncryptedQueue2, puis choisissez Actions sur la file d'attente, Abonner la file d'attente à la rubrique SNS.

6. Dans la boîte de dialogue S'abonner à une rubrique, pour Choisir une rubrique, sélectionné MyEncryptedTopic, puis choisissez S'abonner.

   Les abonnements de vos files d'attente chiffrées à votre rubrique chiffrée s'affichent dans la boîte de dialogue Résultat de l'abonnement à la rubrique.

7. Sélectionnez OK.

Étape 4 : Publication d'un message dans votre rubrique chiffrée

1. Connectez-vous à la console Amazon SNS.

2. Dans le panneau de navigation, choisissez Rubriques.

3. Dans la liste des rubriques, sélectionnez MyEncryptedTopic, puis choisissez Publish message (Publier un message).

4. Sur la page Publier un message, procédez comme suit :

   1. (Facultatif) Dans la section Message details (Détails du message), saisissez le Subject (Objet) (for example, Testing message publishing).

   2. Dans la section Message body (Corps du message), saisissez le corps du message (par exemple, My message body is encrypted at rest.).

   3. Choisissez Publier le message.

Votre message est publié dans vos files d'attente chiffrées souscrites.

Étape 5 : Vérification de la livraison du message

1. Connectez-vous à la console Amazon SQS.

2. Dans la liste des files d'attente, choisissez MyEncryptedQueue1, puis Send and receive messages (Envoyer et recevoir des messages).

3. Sur la page Send and receive messages in MyEncryptedQueue1 (Envoyer et recevoir des messages dans MyEncryptedQueue1), choisissez Poll for messages (Rechercher des messages).

   Le message que vous avez envoyé précédemment s'affiche.

4. Choisissez Plus de détails pour afficher votre message.

5. Lorsque vous avez terminé, choisissez Fermer.

6. Répétez l'opération pour MyEncryptedQueue2.