Configurazione della crittografia degli argomenti di Amazon SNS con abbonamento crittografato alla coda Amazon SQS

Puoi abilitare la crittografia SSE (crittografia lato server) per un argomento per proteggerne i dati. Per consentire ad Amazon SNS di inviare messaggi a code crittografate Amazon SQS, la chiave gestita dal cliente associata alla coda Amazon SQS deve avere una dichiarazione di policy che conceda ad Amazon SNS l'accesso del principale del servizio alle operazioni GenerateDataKey e Decrypt dell'API AWS KMS . Per ulteriori informazioni sull'utilizzo di SSE, consulta Protezione dei dati di Amazon SNS con crittografia lato server.

Questo argomento spiega come abilitare SSE per un argomento Amazon SNS con un abbonamento crittografato ad Amazon SQS queue utilizzando il. AWS Management Console

Fase 1: creazione di una chiave KMS personalizzata

1. Accedere alla console AWS KMS con un utente che dispone di almeno di una policy AWSKeyManagementServicePowerUser.

2. Scegli Create a key (Crea una chiave).

3. Per creare una chiave KMS di crittografia simmetrica, in Key type (Tipo di chiave) scegli Symmetric (Simmetrica).

   Per informazioni su come creare una chiave KMS asimmetrica nella console AWS KMS , consultare Creating asymmetric KMS keys (console) (Creazione di chiavi KMS asimmetriche (console).

4. In Utilizzo della chiave, l'opzione Crittografa e decrittografa è selezionata per impostazione predefinita.

   Per informazioni su come creare le chiavi KMS che generano e verificano i codici MAC, consultare Creating HMAC KMS keys (Creazione di chiavi KMS HMAC).

   Per informazioni sulle Opzioni avanzate, consultare Special-purpose keys (Chiavi per uso speciale).

5. Scegli Next (Successivo).

6. Digita un alias per la chiave KMS. Un nome di alias non può iniziare con aws/. Il aws/ prefisso è riservato da Amazon Web Services per essere rappresentato Chiavi gestite da AWS nel tuo account.

   Nota

   L'aggiunta, l'eliminazione o l'aggiornamento di un alias può consentire o negare l'autorizzazione alla chiave KMS. Per i dettagli, consultare ABAC for AWS KMS (ABAC per KMS) e Using aliases to control access to KMS keys (Utilizzo degli alias per controllare l'accesso alle chiavi KMS).

   Un alias è un nome visualizzato che può essere utilizzato per identificare la chiave KMS. È consigliabile scegliere un alias che indica il tipo di dati che desideri proteggere o l'applicazione che desideri utilizzare con la chiave KMS.

   Gli alias sono obbligatori quando si crea una chiave KMS nella AWS Management Console. Sono opzionali quando si utilizza l'CreateKeyoperazione.

7. (Facoltativo) Digita una descrizione per la chiave KMS.

   Puoi aggiungere una descrizione ora o aggiornarla in qualsiasi momento, a meno che lo stato della chiave non sia Pending Deletion o Pending Replica Deletion. Per aggiungere, modificare o eliminare la descrizione di una chiave gestita dal cliente esistente, modifica la descrizione in AWS Management Console o utilizza l'UpdateKeyDescriptionoperazione.

8. (Facoltativo) Digitare una chiave di tag e un valore di tag facoltativo. Per aggiungere più di un tag alla chiave KMS scegli Add tag (Aggiungi tag).

   Nota

   L'applicazione o l'eliminazione di un tag chiave KMS può consentire o negare l'autorizzazione alla chiave KMS. Per i dettagli, consultare ABAC for AWS KMS (ABAC per KMS) e Using tags to control access to KMS keys (Utilizzo dei tag per controllare l'accesso alle chiavi KMS).

   Quando aggiungi tag alle tue AWS risorse, AWS genera un rapporto sull'allocazione dei costi con utilizzo e costi aggregati per tag. I tag possono essere utilizzati anche per controllare l'accesso a una chiave KMS. Per informazioni sull'assegnazione di tag alle chiavi KMS, consultare Tagging keys (Assegnazione di tag alle chiavi) e ABAC for AWS KMS (ABAC per KMS).

9. Scegli Next (Successivo).

10. Seleziona i ruoli e gli utenti IAM che possono gestire la chiave KMS.

    Nota

    Questa politica chiave offre il Account AWS pieno controllo di questa chiave KMS. Consente agli amministratori dell'account di utilizzare policy IAM per concedere ad altri principali l'autorizzazione per la gestione della chiave KMS. Per informazioni dettagliate, consultare Default key policy (Policy della chiave predefinita).

     

    Le best practice di IAM disincentivano l'uso di utenti IAM con credenziali a lungo termine. Quando possibile, utilizza i ruoli IAM che forniscono credenziali temporanee. Per i dettagli, consultare Best practice per la sicurezza in IAM nella Guida per l'utente IAM.

11. (Facoltativo) Per impedire ai ruoli e agli utenti IAM selezionati di eliminare questa chiave KMS, nella sezione Eliminazione chiave nella parte inferiore della pagina, deseleziona la casella di controllo Consenti agli amministratori delle chiavi di eliminare questa chiave.

12. Scegli Next (Successivo).

13. Selezionare i ruoli e gli utenti IAM che possono utilizzare la chiave nelle operazioni di crittografia. Scegli Next (Successivo).

14. Nella pagina Review and edit key policy (Verifica e modifica la policy delle chiavi), aggiungi la seguente istruzione alla policy delle chiavi, quindi scegli Finish (Termina).

    {
        "Sid": "Allow Amazon SNS to use this key",
        "Effect": "Allow",
        "Principal": {
            "Service": "sns.amazonaws.com"
        },
        "Action": [
            "kms:Decrypt",
            "kms:GenerateDataKey*"
        ],
        "Resource": "*"
    }

La nuova chiave personalizzata gestita dal cliente viene visualizzata nell'elenco delle chiavi.

Mostra piùMostra meno

Fase 2: creazione di un argomento Amazon SNS crittografato

1. Accedi alla console Amazon SNS.

2. Nel pannello di navigazione, scegliere Argomenti.

3. Scegli Create topic (Crea argomento).

4. Nella pagina Create new topic (Crea nuovo argomento), in Name (Nome), immettere il nome di un argomento (ad esempio MyEncryptedTopic), quindi scegliere Create topic (Crea argomento).

5. Espandere la sezione Encryption (Crittografia) e procedere come segue:

   1. Scegli Enable server-side encryption (Abilita crittografia lato server).

   2. Specificare la chiave gestita dal cliente. Per ulteriori informazioni, consulta Termini chiave.

      Per ogni tipo di chiave gestita dal cliente, vengono visualizzati la Descrizione, l'account e l'ARN della chiave gestita dal cliente.

      Importante

      Se non si è il proprietario della chiave gestita dal cliente, oppure se si effettua l'accesso con un account che non dispone delle autorizzazioni kms:ListAliases e kms:DescribeKey, non è possibile visualizzare le informazioni sulla chiave gestita dal cliente sulla console Amazon SNS.

      Richiedere al proprietario della chiave gestita dal cliente di concedere queste autorizzazioni. Per esempi e ulteriori informazioni consulta AWS KMS Autorizzazioni API: e Documentazione su operazioni e risorse nella AWS Key Management Service Guida per sviluppatori.

   3. Per la chiave gestita dal cliente, scegli quella MyCustomKeyche hai creato in precedenza, quindi scegli Abilita la crittografia lato server.

6. Scegli Save changes (Salva modifiche).

   SSE è abilitato per l'argomento e viene MyTopicvisualizzata la pagina.

   Lo stato Crittografia, Account AWS , Chiave gestita dal cliente, ARN della chiave gestita dal cliente e Descrizione dell'argomento sono visualizzati nella scheda Crittografia.

Il nuovo argomento crittografato viene visualizzato nell'elenco degli argomenti.

Fase 3: creazione e abbonamento a code Amazon SQS crittografate

1. Accedere alla console Amazon SQS.

2. Scegli Create New Queue (Crea nuova coda).

3. Nella pagina Create New Queue (Crea nuova coda), procedi come indicato di seguito:

   1. Immetti Queue Name (Nome coda) (ad esempio, MyEncryptedQueue1).

   2. Scegli Standard Queue (Coda standard), quindi Configure Queue (Configura coda).

   3. Scegli Use SSE (Usa SSE).

   4. Infatti AWS KMS key, scegli quello MyCustomKeyche hai creato in precedenza, quindi scegli Crea coda.

4. Ripeti la procedura per creare una seconda coda (ad esempio, denominata MyEncryptedQueue2).

   Le nuove code crittografate vengono visualizzate nell'elenco delle code.

5. Nella console Amazon SQS, seleziona MyEncryptedQueue1 e MyEncryptedQueue2, quindi scegli Operazioni coda, Sottoscrivi code ad argomento SNS.

6. Nella finestra di dialogo Sottoscrivi a un argomento, per Scegli un argomento seleziona MyEncryptedTopic, quindi scegli Sottoscrivi.

   Le sottoscrizioni delle code crittografate all'argomento crittografato vengono visualizzate nella finestra di dialogo Topic Subscription Result (Risultato sottoscrizione argomento).

7. Scegli OK.

Fase 4: pubblicazione di un messaggio nell'argomento crittografato

1. Accedi alla console Amazon SNS.

2. Nel pannello di navigazione, scegliere Argomenti.

3. Dall'elenco degli argomenti, scegli MyEncryptedTopice quindi seleziona Pubblica messaggio.

4. Nella pagina Publish a message (Pubblica un messaggio), procedi come indicato di seguito:

   1. (Facoltativo) Nella sezione Message details (Dettagli messaggio), immettere il valore per Subject (Oggetto) (ad esempio, Testing message publishing).

   2. Nella sezione Message body (Corpo messaggio), immettere il corpo del messaggio (ad esempio My message body is encrypted at rest.).

   3. Seleziona Publish message (Pubblica messaggio).

Il messaggio viene pubblicato nelle code crittografate sottoscritte.

Fase 5: verifica della consegna del messaggio

1. Accedere alla console Amazon SQS.

2. Dall'elenco delle code, scegli MyEncryptedQueue1, quindi scegli Invia e ricevi messaggi.

3. Nella pagina Invia e ricevi messaggi in MyEncryptedQueue 1, scegli Sondaggio per i messaggi.

   Viene visualizzato il messaggio inviato in precedenza.

4. Scegli More Details (Altri dettagli) per visualizzare il messaggio.

5. Al termine, scegli Close (Chiudi).

6. Ripeti la procedura per MyEncryptedQueue2.