Chiffrement au repos - Amazon Simple Notification Service

Portée du chiffrement Termes clés

Le chiffrement côté serveur (SSE) vous permet de stocker des données sensibles dans des rubriques chiffrées en protégeant le contenu des messages des rubriques Amazon SNS à l'aide de clés gérées AWS Key Management Service dans (). AWS KMS

SSE chiffre les messages une fois reçus par Amazon SNS. Les messages sont stockés sous forme cryptée et ne sont déchiffrés que lorsqu'ils sont envoyés.

Pour plus d'informations sur la gestion du chiffrement SSE à l'aide d'AWS Management Console ou du AWS SDK for Java (en définissant l'attribut KmsMasterKeyId avec les actions d'API CreateTopic et SetTopicAttributes), consultez la section Activation du chiffrement côté serveur (SSE) pour une rubrique Amazon SNS.
Pour plus d'informations sur la création de rubriques chiffrées à l'aide de AWS CloudFormation (en définissant la propriété KmsMasterKeyId à l'aide de la ressource AWS::SNS::Topic), consultez le Guide de l'utilisateur AWS CloudFormation.

Important

Toutes les requêtes adressées aux rubriques avec le chiffrement SSE activé doivent utiliser HTTPS et Signature version 4.

Pour plus d'informations sur la compatibilité d'autres services avec les rubriques chiffrées, consultez la documentation de votre service.

Amazon SNS prend uniquement en charge que les clés KMS de chiffrement symétriques. Vous ne pouvez utiliser aucun autre type de clé KMS pour crypter les ressources de votre service. Pour savoir si une clé KMS est symétrique, consultez Identification de clés asymétriques KMS.

AWS KMS combine du matériel et des logiciels sécurisés et hautement disponibles pour fournir un système de gestion de clés à l'échelle du cloud. Lorsque vous utilisez Amazon SNS avec AWS KMS, les clés de données qui chiffrent les données de vos messages sont également chiffrées et stockées avec les données qu'elles protègent.

L'utilisation d'AWS KMS offre les avantages suivants :

Vous pouvez créer et gérer la AWS KMS key vous-même.
Vous pouvez également utiliser des clés KMS gérées par AWS pour Amazon SNS, qui sont uniques pour chaque compte et région.
Les normes de sécurité AWS KMS peuvent vous aider à respecter les exigences de conformité liées au chiffrement.

Pour plus d'informations, veuillez consulter Présentation de AWS Key Management Service dans le Manuel du développeur AWS Key Management Service.

Portée du chiffrement

Le chiffrement SSE chiffre le corps d'un message dans une rubrique Amazon SNS.

Le chiffrement SSE ne chiffre pas les éléments suivants :

Métadonnées de rubrique (nom et attributs de la rubrique)
Métadonnées de message (objet, ID, horodatage et attributs du message)
Politique de protection des données
Métriques par rubrique

Note

Un message est chiffré uniquement s'il est envoyé après l'activation du chiffrement d'une rubrique. Amazon SNS ne chiffre pas les messages en attente.
Tout message chiffré reste chiffré même si le chiffrement de sa rubrique est désactivé.

Termes clés

Les termes clés suivants peuvent vous aider à mieux comprendre les fonctionnalités de chiffrement SSE. Pour des descriptions détaillées, consultez la Référence de l'API Amazon Simple Notification Service.

Clé de données

Clé de chiffrement des données (DEK) permettant de chiffrer le contenu des messages Amazon SNS.

Pour plus d'informations, consultez Clés de données dans le Guide du développeur AWS Key Management Service et Chiffrement d'enveloppe dans le Guide du développeur AWS Encryption SDK.

ID AWS KMS key

Alias, ARN d'alias, ID de clé ou ARN de clé AWS KMS key ou de AWS KMS personnalisée – dans votre compte ou un autre compte. Alors que l'alias de la AWS KMS gérée par AWS pour Amazon SNS est toujours alias/aws/sns, l'alias d'une AWS KMS personnalisée peut, par exemple, être alias/MyAlias. Vous pouvez utiliser ces clés AWS KMS pour protéger les messages des rubriques Amazon SNS.

Note

Gardez à l'esprit les points suivants :

La première fois que vous utilisez la AWS Management Console pour spécifier la KMS gérée par AWS pour Amazon SNS pour une rubrique, AWS KMS crée la KMS gérée par AWS pour Amazon SNS.
Alternativement, la première fois que vous utilisez l'action Publish sur une rubrique avec SSE activé, AWS KMS crée la KMS gérée par AWS pour Amazon SNS.

Vous pouvez créer des clés AWS KMS, définir les politiques qui contrôlent la façon dont les clés AWS KMS peuvent être utilisées et vérifier l'utilisation des AWS KMS à l'aide de la section AWS KMS keys de la console AWS KMS ou de l'action CreateKey AWS KMS. Pour en savoir plus, consultez AWS KMS keys et Création des clés dans le Manuel du développeur AWS Key Management Service. Pour plus d'exemples d'AWS KMSidentifiants, consultez la référence KeyIdde l'AWS Key Management ServiceAPI. Pour plus d'informations sur la recherche d'identifiants de AWS KMS, consultez la section Recherche de l'ID et de l'ARN d'une clé dans le Guide du développeur AWS Key Management Service.

Important

Des frais supplémentaires sont facturés pour l'utilisation de AWS KMS. Pour plus d'informations, veuillez consulter les sections Estimation des coûts AWS KMS et Tarification d'AWS Key Management Service.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Chiffrement des données

Gestion des clés