Sécurisation des données Amazon SNS grâce au chiffrement côté serveur

Portée du chiffrement Termes clés

Le chiffrement côté serveur (SSE) vous permet de stocker des données sensibles dans des rubriques chiffrées en protégeant le contenu des messages des rubriques Amazon SNS à l'aide de clés gérées AWS Key Management Service dans ().AWS KMS

SSE chiffre les messages une fois reçus par Amazon SNS. Les messages sont stockés sous forme cryptée et ne sont déchiffrés que lorsqu'ils sont envoyés.

Pour plus d'informations sur la gestion de SSE à l'aide du AWS Management Console ou du AWS SDK for Java (en définissant l'KmsMasterKeyIdattribut à l'aide des actions de SetTopicAttributes l'API CreateTopic et), consultezConfiguration du chiffrement des rubriques Amazon SNS avec le chiffrement côté serveur.
Pour plus d'informations sur la création de sujets chiffrés à l'aide de AWS CloudFormation (en définissant la KmsMasterKeyId propriété à l'aide de la AWS::SNS::Topic ressource), consultez le guide de AWS CloudFormation l'utilisateur.

Important

Toutes les requêtes adressées aux rubriques avec le chiffrement SSE activé doivent utiliser HTTPS et Signature version 4.

Pour plus d'informations sur la compatibilité d'autres services avec les rubriques chiffrées, consultez la documentation de votre service.

Amazon SNS prend uniquement en charge que les clés KMS de chiffrement symétriques. Vous ne pouvez utiliser aucun autre type de clé KMS pour crypter les ressources de votre service. Pour savoir si une clé KMS est symétrique, consultez Identification de clés asymétriques KMS.

AWS KMS combine du matériel et des logiciels sécurisés et hautement disponibles pour fournir un système de gestion des clés adapté au cloud. Lorsque vous utilisez Amazon SNS avec AWS KMS, les clés de données qui chiffrent les données de vos messages sont également chiffrées et stockées avec les données qu'elles protègent.

L'utilisation d' AWS KMS offre les avantages suivants :

Vous pouvez créer et gérer la AWS KMS key vous-même.
Vous pouvez également utiliser des clés KMS AWS gérées pour Amazon SNS, qui sont uniques pour chaque compte et chaque région.
Les normes AWS KMS de sécurité peuvent vous aider à respecter les exigences de conformité liées au chiffrement.

Pour plus d'informations, voir Qu'est-ce que c'est AWS Key Management Service ? dans le Guide AWS Key Management Service du développeur.

Portée du chiffrement

Le chiffrement SSE chiffre le corps d'un message dans une rubrique Amazon SNS.

Le chiffrement SSE ne chiffre pas les éléments suivants :

Métadonnées de rubrique (nom et attributs de la rubrique)
Métadonnées de message (objet, ID, horodatage et attributs du message)
Politique de protection des données
Métriques par rubrique

Note

Un message est chiffré uniquement s'il est envoyé après l'activation du chiffrement d'une rubrique. Amazon SNS ne chiffre pas les messages en attente.
Tout message chiffré reste chiffré même si le chiffrement de sa rubrique est désactivé.

Termes clés

Les termes clés suivants peuvent vous aider à mieux comprendre les fonctionnalités de chiffrement SSE. Pour des descriptions détaillées, consultez la Référence de l'API Amazon Simple Notification Service.

Clé de données

Clé de chiffrement des données (DEK) permettant de chiffrer le contenu des messages Amazon SNS.

Pour plus d'informations, consultez Clés de données dans le Guide du développeur AWS Key Management Service et Chiffrement d'enveloppe dans le Guide du développeur AWS Encryption SDK .

AWS KMS key ID

L'alias, l'alias ARN, l'ID de clé ou l'ARN clé d'un AWS KMS key compte ou d'un ARN AWS KMS personnalisé dans votre compte ou dans un autre compte. Bien que l'alias du AWS managé AWS KMS pour Amazon SNS soit toujours le casalias/aws/sns, l'alias d'un utilisateur personnalisé AWS KMS peut, par exemple, être. alias/MyAlias Vous pouvez utiliser ces clés AWS KMS pour protéger les messages des rubriques Amazon SNS.

Note

Gardez à l'esprit les points suivants :

La première fois que vous utilisez le AWS Management Console pour spécifier le KMS AWS géré pour Amazon SNS pour une rubrique, le KMS AWS géré pour Amazon SNS est AWS KMS créé.
Sinon, la première fois que vous utilisez l'Publishaction sur un sujet pour lequel SSE est activé, le KMS AWS géré est AWS KMS créé pour Amazon SNS.

Vous pouvez créer des AWS KMS clés, définir les politiques qui contrôlent la manière dont AWS KMS les clés peuvent être utilisées et auditer l' AWS KMS utilisation à l'aide de la AWS KMS keyssection de la AWS KMS console ou de l'CreateKey AWS KMS action. Pour en savoir plus, consultez AWS KMS keys et Création des clés dans le Manuel du développeur AWS Key Management Service . Pour plus d'exemples d' AWS KMS identifiants, consultez la référence KeyIdde l'AWS Key Management Service API. Pour plus d'informations sur la recherche AWS KMS d'identifiants, voir Trouver l'ID de clé et l'ARN dans le guide du AWS Key Management Service développeur.

Important

L'utilisation entraîne des frais supplémentaires AWS KMS. Pour plus d'informations, veuillez consulter les sections Estimation AWS KMS des coûts et Tarification d'AWS Key Management Service.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Chiffrement des données

Gestion des clés