Crittografia inattiva in Amazon SQS - Amazon Simple Queue Service
Ambito della crittografiaTermini chiave

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Crittografia inattiva in Amazon SQS

La crittografia lato server (SSE) consente di trasmettere dati sensibili in code crittografate. SSEprotegge il contenuto dei messaggi nelle code utilizzando chiavi di crittografia SQS gestite (SSE-SQS) o chiavi gestite in (-). AWS Key Management Service SSE KMS Per informazioni sulla gestione dell'SSEutilizzo di AWS Management Console, consulta quanto segue:

Per informazioni sulla gestione dell'SSEutilizzo delle GetQueueAttributes azioni AWS SDK for Java (e CreateQueueSetQueueAttributes, e), consulta i seguenti esempi:

SSEcrittografa i messaggi non appena Amazon li SQS riceve. I messaggi vengono archiviati in forma crittografata e Amazon li SQS decripta solo quando vengono inviati a un consumatore autorizzato.

Importante

Tutte le richieste alle code con SSE abilitato devono essere utilizzate HTTPS e Signature Version 4.

Una coda crittografata che utilizza la chiave predefinita (KMSchiave AWS gestita per AmazonSQS) non può richiamare una funzione Lambda in un'altra. Account AWS

Alcune funzionalità dei AWS servizi che possono inviare notifiche ad Amazon SQS utilizzando l' AWS Security Token Service AssumeRoleazione sono compatibili conSSE, ma funzionano solo con le code standard:

Per informazioni sulla compatibilità di altri servizi con code crittografate, consulta Configura le KMS autorizzazioni per i servizi AWS e la documentazione del servizio.

AWS KMS combina hardware e software sicuri e ad alta disponibilità per fornire un sistema di gestione delle chiavi scalabile per il cloud. Quando usi Amazon SQS con AWS KMS, anche le chiavi dati che crittografano i dati dei tuoi messaggi vengono crittografate e archiviate con i dati che proteggono.

Di seguito sono elencati i vantaggi derivanti dall'uso di AWS KMS:

  • È possibile creare e gestire AWS KMS keys in modo autonomo.

  • Puoi anche utilizzare la KMS chiave AWS gestita per AmazonSQS, che è unica per ogni account e regione.

  • Gli standard AWS KMS di sicurezza possono aiutarti a soddisfare i requisiti di conformità relativi alla crittografia.

Per ulteriori informazioni, consulta Cos'è AWS Key Management Service? nella Guida per gli sviluppatori AWS Key Management Service .

Ambito della crittografia

SSEcrittografa il corpo di un messaggio in una SQS coda Amazon.

SSE non esegue la crittografia di quanto segue:

  • Metadati della coda (nome e attributi della coda)

  • Metadati del messaggio (ID messaggio, timestamp e attributi)

  • Parametri per coda

La crittografia di un messaggio ne rende i contenuti non disponibili a utenti non autorizzati o anonimi. SSESe abilitato, le richieste anonime SendMessage e ReceiveMessage le richieste alla coda crittografata verranno rifiutate. Le best practice SQS di sicurezza di Amazon sconsigliano l'utilizzo di richieste anonime. Se desideri inviare richieste anonime a una SQS coda Amazon, assicurati di SSE disattivarla. Ciò non influisce sul normale funzionamento di AmazonSQS:

  • Un messaggio viene crittografato solo se inviato dopo che la crittografia di una coda è abilitata. Amazon SQS non crittografa i messaggi arretrati.

  • Tutti i messaggi crittografati restano crittografati anche se la crittografia della relativa coda è disabilitata.

Lo spostamento di un messaggio a una coda dead-letter non ne pregiudica la crittografia:

  • Quando Amazon SQS sposta un messaggio da una coda di origine crittografata a una coda di lettere non crittografate, il messaggio rimane crittografato.

  • Quando Amazon SQS sposta un messaggio da una coda di origine non crittografata a una coda di lettere non crittografate, il messaggio rimane non crittografato.

Termini chiave

I seguenti termini chiave possono aiutarti a comprendere meglio la funzionalità diSSE. Per descrizioni dettagliate, consulta Amazon Simple Queue Service API Reference.

Chiave di dati

La chiave (DEK) responsabile della crittografia dei contenuti dei SQS messaggi Amazon.

Per ulteriori informazioni, consulta Chiavi di dati nella Guida per sviluppatori di AWS Key Management Service nella Guida per sviluppatori di AWS Encryption SDK .

Periodo di riutilizzo della chiave di dati

Il periodo di tempo, in secondi, durante il quale Amazon SQS può riutilizzare una chiave dati per crittografare o decrittografare i messaggi prima di chiamare nuovamente. AWS KMS Numero intero che rappresenta secondi, tra 60 (1 minuto) e 86.400 (24 ore). Il valore predefinito è 300 (5 minuti). Per ulteriori informazioni, consulta Informazioni sul periodo di riutilizzo della chiave di dati.

Nota

Nell'improbabile eventualità di impossibilità di raggiungerla AWS KMS, Amazon SQS continua a utilizzare la chiave dati memorizzata nella cache fino a quando non viene ristabilita una connessione.

ID della chiave KMS

L'alias, l'aliasARN, l'ID della chiave o la chiave ARN di una KMS chiave AWS gestita o personalizzata, KMS nel tuo account o in un altro account. Sebbene l'alias della KMS chiave AWS gestita per Amazon SQS sia semprealias/aws/sqs, l'alias di una KMS chiave personalizzata può, ad esempio, essere. alias/MyAlias Puoi utilizzare queste KMS chiavi per proteggere i messaggi nelle SQS code di Amazon.

Nota

Ricorda quanto segue:

  • Se non specifichi una KMS chiave personalizzata, Amazon SQS utilizza la KMS chiave AWS gestita per AmazonSQS.

  • La prima volta che usi AWS Management Console per specificare la KMS chiave AWS gestita per Amazon SQS per una coda, AWS KMS crea la KMS chiave AWS gestita per AmazonSQS.

  • In alternativa, la prima volta che utilizzi l'SendMessageBatchazione SendMessage o su una coda con SSE abilitato, AWS KMS crea la KMS chiave AWS gestita per AmazonSQS.

Puoi creare KMS chiavi, definire le politiche che controllano il modo in cui KMS le chiavi possono essere utilizzate e controllare l'utilizzo delle KMS chiavi utilizzando la sezione Customer managed keys della AWS KMS console o dell'CreateKey AWS KMS azione. Per ulteriori informazioni, consulta KMSle chiavi e la creazione di chiavi nella Guida per gli AWS Key Management Service sviluppatori. Per altri esempi di identificatori KMS chiave, consulta KeyIdla sezione AWS Key Management Service APIReference. Per informazioni sulla ricerca degli identificatori KMS chiave, consulta Find the Key ID e ARN nella AWS Key Management Service Developer Guide.

Importante

Sono previsti costi aggiuntivi per l'utilizzo AWS KMS. Per ulteriori informazioni, consulta Stima dei costi AWS KMS e Prezzi di AWS Key Management Service.

Crittografia a busta

La sicurezza dei dati crittografati dipende in parte dalla protezione della chiave di dati che può decrittarli. Amazon SQS utilizza la KMS chiave per crittografare la chiave dati, quindi la chiave dati crittografata viene archiviata con il messaggio crittografato. Questa pratica di utilizzo di una KMS chiave per crittografare le chiavi di dati è nota come crittografia a busta.

Per ulteriori informazioni, consulta Crittografia a busta nella Guida per gli sviluppatori di AWS Encryption SDK .