Amazon Simple Queue Service (Amazon SQS) - Architecting for HIPAA Security and Compliance on Amazon Web Services

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Amazon Simple Queue Service (Amazon SQS)

Les clients doivent comprendre les exigences de chiffrement des clés suivantes afin d'utiliser Amazon SQS avec PHI.

  • La communication avec la file d'attente Amazon SQS via la demande de requête doit être cryptée avec HTTPS. Pour plus d'informations sur les requêtes SQS, consultez la section Création de requêtes API.

  • Amazon SQS prend en charge le chiffrement côté serveur intégré au AWS KMS pour protéger les données au repos. L'ajout du chiffrement côté serveur permet aux clients de transmettre et de recevoir des données sensibles avec une sécurité accrue grâce à l'utilisation de files d'attente cryptées. Le chiffrement côté serveur Amazon SQS utilise la norme de chiffrement avancée 256 bits (algorithme AES-256 GCM) pour chiffrer le corps de chaque message. L'intégration AWS KMS permet aux clients de gérer de manière centralisée les clés qui protègent les messages Amazon SQS ainsi que les clés qui protègent leurs autres AWS ressources. AWS KMS enregistre chaque utilisation de clés de chiffrement AWS CloudTrail afin de répondre aux exigences réglementaires et de conformité. Pour plus d'informations et pour vérifier la disponibilité de SSE pour Amazon SQS par région, consultez Encryption at Rest.

  • Si le chiffrement côté serveur n'est pas utilisé, la charge utile du message elle-même doit être chiffrée avant d'être envoyée à SQS. L'un des moyens de chiffrer la charge utile des messages consiste à utiliser le client Amazon SQS Extended avec le client de chiffrement Amazon S3. Pour plus d'informations sur l'utilisation du chiffrement côté client, consultez Chiffrer les charges utiles des messages à l'aide du client Amazon SQS Extended et du client de chiffrement Amazon S3.

Amazon SQS utilise CloudTrail un service qui enregistre les appels d'API effectués par ou pour le compte d'Amazon SQS dans le compte d'un AWS client et envoie les fichiers journaux dans le compartiment Amazon S3 spécifié. CloudTrail capture les appels d'API effectués depuis la console Amazon SQS ou depuis l'API Amazon SQS. Les clients peuvent utiliser les informations collectées par CloudTrail pour déterminer quelles demandes sont adressées à Amazon SQS, l'adresse IP source à partir de laquelle la demande est faite, qui a fait la demande, quand elle est faite, etc. Pour plus d'informations sur la journalisation des opérations SQS, consultez la section Journalisation des appels d'API Amazon SQS à l'aide de. AWS CloudTrail