Chiffrement au repos - Amazon Simple Notification Service

Chiffrement au repos

Le chiffrement côté serveur (SSE, Server-Side Encryption) vous permet de stocker des données sensibles dans des rubriques chiffrées. Le chiffrement SSE protège le contenu des messages présents dans les rubriques Amazon SNS à l'aide de clés gérées dans AWS Key Management Service (AWS KMS).

Pour plus d'informations sur la gestion du chiffrement SSE à l'aide d'AWS Management Console ou du AWS SDK for Java (en définissant l'attribut KmsMasterKeyId avec les actions d'API CreateTopic et SetTopicAttributes), consultez la section Activation du chiffrement côté serveur (SSE) pour une rubrique Amazon SNS. Pour plus d'informations sur la création de rubriques chiffrées à l'aide de AWS CloudFormation (en définissant la propriété KmsMasterKeyId à l'aide de la ressource AWS::SNS::Topic), consultez le Guide de l'utilisateur AWS CloudFormation.

SSE chiffre les messages une fois reçus par Amazon SNS. Les messages sont stockés sous forme chiffrée et Amazon SNS les déchiffre uniquement lorsqu'ils sont envoyés.

Important

Toutes les requêtes adressées aux rubriques avec le chiffrement SSE activé doivent utiliser HTTPS et Signature version 4.

Pour plus d'informations sur la compatibilité d'autres services avec les rubriques chiffrées, consultez la documentation de votre service.

AWS KMS combine du matériel et des logiciels sécurisés et hautement disponibles pour fournir un système de gestion de clés à l'échelle du cloud. Lorsque vous utilisez Amazon SNS avec AWS KMS, les clés de données qui chiffrent les données de vos messages sont également chiffrées et stockées avec les données qu'elles protègent.

L'utilisation d'AWS KMS offre les avantages suivants :

  • Vous pouvez créer et gérer la clé AWS KMS vous-même.

  • Vous pouvez également utiliser des clés KMS gérées par AWS pour Amazon SNS, qui sont uniques pour chaque compte et région.

  • Les normes de sécurité AWS KMS peuvent vous aider à respecter les exigences de conformité liées au chiffrement.

Pour plus d'informations, veuillez consulter Présentation de AWS Key Management Service dans le Manuel du développeur AWS Key Management Service.

Portée du chiffrement

Le chiffrement SSE chiffre le corps d'un message dans une rubrique Amazon SNS.

Le chiffrement SSE ne chiffre pas les éléments suivants :

  • Métadonnées de rubrique (nom et attributs de la rubrique)

  • Métadonnées de message (objet, ID, horodatage et attributs du message)

  • Métriques par rubrique

Note
  • Un message est chiffré uniquement s'il est envoyé après l'activation du chiffrement d'une rubrique. Amazon SNS ne chiffre pas les messages en attente.

  • Tout message chiffré reste chiffré même si le chiffrement de sa rubrique est désactivé.

Termes clés

Les termes clés suivants peuvent vous aider à mieux comprendre les fonctionnalités de chiffrement SSE. Pour des descriptions détaillées, consultez la Référence de l'API Amazon Simple Notification Service.

Clé de données

Clé de chiffrement des données (DEK) permettant de chiffrer le contenu des messages Amazon SNS.

Pour plus d'informations, consultez Clés de données dans le Guide du développeur AWS Key Management Service et Chiffrement d'enveloppe dans le Guide du développeur AWS Encryption SDK.

ID de clé AWS KMS

Alias, ARN d'alias, ID de clé ou ARN de clé AWS KMS ou de AWS KMS personnalisée – dans votre compte ou un autre compte. Alors que l'alias de la AWS KMS gérée par AWS pour Amazon SNS est toujours alias/aws/sns, l'alias d'une AWS KMS personnalisée peut, par exemple, être alias/MyAlias. Vous pouvez utiliser ces clés AWS KMS pour protéger les messages des rubriques Amazon SNS.

Note

Gardez à l'esprit les points suivants :

  • La première fois que vous utilisez la AWS Management Console pour spécifier la KMS gérée par AWS pour Amazon SNS pour une rubrique, AWS KMS crée la KMS gérée par AWS pour Amazon SNS.

  • Alternativement, la première fois que vous utilisez l'action Publish sur une rubrique avec SSE activé, AWS KMS crée la KMS gérée par AWS pour Amazon SNS.

Vous pouvez créer des clés AWS KMS, définir les politiques qui contrôlent la façon dont les clés AWS KMS peuvent être utilisées et vérifier l'utilisation des AWS KMS à l'aide de la section Clés AWS KMS de la console AWS KMS ou de l'action CreateKey AWS KMS. Pour plus d'informations sur la création de clés AWS KMS, veuillez consulter la section Création de clés du Guide du développeur AWS Key Management Service. Pour plus d'exemples d'identificateurs de AWS KMS, consultez KeyId dans la référence d'API AWS Key Management Service. Pour plus d'informations sur la recherche d'identifiants de AWS KMS, consultez la section Recherche de l'ID et de l'ARN d'une clé dans le Guide du développeur AWS Key Management Service.

Important

Des frais supplémentaires sont facturés pour l'utilisation de AWS KMS. Pour plus d'informations, veuillez consulter les sections Estimation des coûts AWS KMS et Tarification d'AWS Key Management Service.