Mengaktifkan enkripsi sisi server () SSE untuk SNS topik Amazon dengan antrian Amazon terenkripsi berlangganan SQS

Anda dapat mengaktifkan enkripsi sisi server (SSE) untuk topik untuk melindungi datanya. Untuk memungkinkan Amazon mengirim pesan SNS ke SQS antrian Amazon terenkripsi, kunci terkelola pelanggan yang terkait dengan SQS antrian Amazon harus memiliki pernyataan kebijakan yang memberikan akses prinsipal SNS layanan Amazon ke tindakan dan. AWS KMS API GenerateDataKey Decrypt Untuk informasi selengkapnya tentang penggunaanSSE, lihatEnkripsi diam.

Halaman ini menunjukkan bagaimana Anda dapat mengaktifkan SSE SNS topik Amazon di mana SQS antrian Amazon terenkripsi berlangganan, menggunakan. AWS Management Console

Langkah 1: Buat KMS kunci khusus

1. Masuk ke konsol AWS KMS dengan pengguna yang memiliki setidaknya kebijakan AWSKeyManagementServicePowerUser.

2. Pilih Buat kunci.

3. Untuk membuat KMS kunci enkripsi simetris, untuk Key type pilih Symmetric.

   Untuk informasi tentang cara membuat KMS kunci asimetris di AWS KMS konsol, lihat Membuat KMS kunci asimetris (konsol).

4. Dalam Penggunaan kunci, opsi Enkripsi dan dekripsi dipilih untuk Anda.

   Untuk informasi tentang cara membuat KMS kunci yang menghasilkan dan memverifikasi MAC kode, lihat Membuat HMAC KMS kunci.

   Untuk informasi tentang opsi lanjutan, lihat Kunci tujuan khusus.

5. Pilih Berikutnya.

6. Ketik alias untuk KMS kunci. Nama alias tidak dapat dimulai dengan aws/. aws/Awalan dicadangkan oleh Amazon Web Services untuk mewakili Kunci yang dikelola AWS di akun Anda.

   catatan

   Menambahkan, menghapus, atau memperbarui alias dapat mengizinkan atau menolak izin ke kunci. KMS Untuk detailnya, lihat ABAC AWS KMS dan Menggunakan alias untuk mengontrol akses ke KMS kunci.

   Alias adalah nama tampilan yang dapat Anda gunakan untuk mengidentifikasi KMS kunci. Kami menyarankan Anda memilih alias yang menunjukkan jenis data yang Anda rencanakan untuk dilindungi atau aplikasi yang Anda rencanakan untuk digunakan dengan KMS kunci tersebut.

   Alias diperlukan saat Anda membuat KMS kunci di file. AWS Management Console Mereka opsional saat Anda menggunakan CreateKeyoperasi.

7. (Opsional) Ketik deskripsi untuk KMS kunci.

   Anda dapat menambahkan deskripsi sekarang atau memperbaruinya kapan saja kecuali status kunci adalah Pending Deletion atauPending Replica Deletion. Untuk menambah, mengubah, atau menghapus deskripsi kunci terkelola pelanggan yang ada, edit deskripsi di AWS Management Console atau gunakan UpdateKeyDescriptionoperasi.

8. (Opsional) Ketik kunci tanda dan nilai tanda opsional. Untuk menambahkan lebih dari satu tag ke KMS tombol, pilih Tambah tag.

   catatan

   Menandai atau melepas tag KMS kunci dapat mengizinkan atau menolak izin ke kunci. KMS Untuk detailnya, lihat ABAC AWS KMS dan Menggunakan tag untuk mengontrol akses ke KMS kunci.

   Saat menambahkan tag ke AWS sumber daya, buat AWS laporan alokasi biaya dengan penggunaan dan biaya yang dikumpulkan berdasarkan tag. Tag juga dapat digunakan untuk mengontrol akses ke KMS kunci. Untuk informasi tentang menandai KMS kunci, lihat Menandai kunci dan ABAC untuk. AWS KMS

9. Pilih Berikutnya.

10. Pilih IAM pengguna dan peran yang dapat mengelola KMS kunci.

    catatan

    Kebijakan kunci ini memberikan kendali Akun AWS penuh atas KMS kunci ini. Ini memungkinkan administrator akun untuk menggunakan IAM kebijakan untuk memberikan izin kepada prinsipal lain untuk mengelola kunci. KMS Untuk detailnya, lihat Kebijakan kunci default.

     

    IAMPraktik terbaik mencegah penggunaan IAM pengguna dengan kredensi jangka panjang. Bila memungkinkan, gunakan IAM peran, yang menyediakan kredensi sementara. Untuk detailnya, lihat Praktik terbaik keamanan IAM di Panduan IAM Pengguna.

11. (Opsional) Untuk mencegah IAM pengguna dan peran yang dipilih menghapus KMS kunci ini, di bagian Penghapusan kunci di bagian bawah halaman, kosongkan kotak centang Izinkan administrator kunci untuk menghapus kunci ini.

12. Pilih Berikutnya.

13. Pilih IAM pengguna dan peran yang dapat menggunakan kunci dalam operasi kriptografi. Pilih Berikutnya.

14. Pada halaman Meninjau dan mengedit kebijakan kunci, tambahkan pernyataan berikut ini ke kebijakan kunci, dan kemudian pilih Selesai.

    {
        "Sid": "Allow Amazon SNS to use this key",
        "Effect": "Allow",
        "Principal": {
            "Service": "sns.amazonaws.com"
        },
        "Action": [
            "kms:Decrypt",
            "kms:GenerateDataKey*"
        ],
        "Resource": "*"
    }

Kunci terkelola pelanggan baru Anda muncul di daftar kunci.

Tampilkan lebih banyakTampilkan lebih sedikit

Langkah 2: Buat topik Amazon terenkripsi SNS

1. Masuk ke SNSkonsol Amazon.

2. Pada panel navigasi, pilih Topik.

3. Pilih Buat topik.

4. Pada halaman Buat topik baru, untuk Nama, masukkan nama topik (sebagai contoh, MyEncryptedTopic) dan kemudian pilih Buat topik.

5. Perluas bagian Enkripsi dan lakukan hal berikut ini:

   1. Pilih Aktifkan enkripsi sisi server.

   2. Tentukan kunci yang dikelola pelanggan. Untuk informasi selengkapnya, lihat Istilah kunci.

      Untuk setiap jenis kunci yang dikelola pelanggan, kunci Deskripsi, Akun, dan yang dikelola pelanggan ARNditampilkan.

      penting

      Jika Anda bukan pemilik kunci yang dikelola pelanggan, atau jika Anda masuk dengan akun yang tidak memiliki kms:DescribeKey izin kms:ListAliases dan, Anda tidak akan dapat melihat informasi tentang kunci yang dikelola pelanggan di SNS konsol Amazon.

      Mintalah pemilik kunci yang dikelola pelanggan untuk memberi Anda izin ini. Untuk informasi selengkapnya, lihat AWS KMS APIIzin: Tindakan dan Referensi Sumber Daya di Panduan AWS Key Management Service Pengembang.

   3. Untuk kunci terkelola pelanggan, pilih MyCustomKeyyang Anda buat sebelumnya, lalu pilih Aktifkan enkripsi sisi server.

6. Pilih Simpan perubahan.

   SSEdiaktifkan untuk topik Anda dan MyTopichalaman ditampilkan.

   Status Enkripsi topik, AWS Akun, kunci terkelola pelanggan, kunci yang dikelola pelanggan ARN, dan Deskripsi ditampilkan di tab Enkripsi.

Topik terenkripsi baru Anda muncul dalam daftar topik.

Langkah 3: Buat dan berlangganan antrian Amazon terenkripsi SQS

1. Masuk ke SQSkonsol Amazon.

2. Pilih Buat Antrean Baru.

3. Pada halaman Buat Antrean Baru, lakukan hal berikut ini:

   1. Masukkan Nama Antrean (sebagai contoh, MyEncryptedQueue1).

   2. Pilih Antrean Standar, dan kemudian pilih Konfigurasi Antrean.

   3. Pilih Gunakan SSE.

   4. Untuk AWS KMS key, pilih MyCustomKeyyang Anda buat sebelumnya, lalu pilih Buat Antrian.

4. Ulangi proses untuk membuat antrean kedua (sebagai contoh, beri nama MyEncryptedQueue2).

   Antrean terenkripsi baru Anda muncul dalam daftar antrean.

5. Di SQS konsol Amazon, pilih MyEncryptedQueue1 MyEncryptedQueue2 dan kemudian pilih Tindakan Antrian, Berlangganan Antrian ke Topik. SNS

6. Dalam kotak dialog Subscribe to a Topic, untuk Pilih Topik pilih MyEncryptedTopic, lalu pilih Berlangganan.

   Langganan antrean terenkripsi Anda ke topik terenkripsi Anda ditampilkan di kotak dialog Hasil Berlangganan Topik.

7. Pilih OKE.

Langkah 4: Publikasikan pesan ke topik terenkripsi Anda

1. Masuk ke SNSkonsol Amazon.

2. Di panel navigasi, pilih Topik.

3. Dari daftar topik, pilih MyEncryptedTopiclalu pilih Publikasikan pesan.

4. Pada halaman Terbitkan pesan, lakukan hal berikut ini:

   1. (Opsional) Di bagian Detail pesan, masukkan Subjek (sebagai contoh, Testing message publishing).

   2. Di bagian Isi pesan, masukkan isi pesan (sebagai contoh, My message body is encrypted at rest.).

   3. Pilih Terbitkan pesan.

Pesan Anda diterbitkan ke antrean terenkripsi berlangganan Anda.

Langkah 5: Verifikasi pengiriman pesan

1. Masuk ke SQSkonsol Amazon.

2. Dari daftar antrian, pilih MyEncryptedQueue1 lalu pilih Kirim dan terima pesan.

3. Pada halaman Kirim dan terima pesan dalam MyEncryptedQueue 1, pilih Poll untuk pesan.

   Pesan yang Anda kirim sebelumnya ditampilkan.

4. Pilih Detail Selengkapnya untuk melihat pesan Anda.

5. Setelah Anda selesai, pilih Tutup.

6. Ulangi proses untuk MyEncryptedQueue2.