保管時の暗号化 - Amazon Simple Queue Service

英語の翻訳が提供されている場合で、内容が矛盾する場合には、英語版がオリジナルとして取り扱われます。翻訳は機械翻訳により提供されています。

保管時の暗号化

サーバー側の暗号化 (SSE) を使用すると、暗号化されたキューで機密データを送信できます。SSE では、AWS Key Management Service (AWS KMS) で管理されているキーを使用してキュー内のメッセージの内容を保護します。管理の詳細については、 SSE 使用 AWS マネジメントコンソール、参照 設定 サーバー側の暗号化 (SSEキュー(コンソール)の ).

管理の詳細については、 SSE 使用 AWS SDK for Java (および CreateQueueSetQueueAttributes、および GetQueueAttributes アクションを参照)、次の例を参照してください。

Amazon SQS が受信したメッセージはすぐに、SSE によって暗号化されます。メッセージは暗号化された形式で保存され、承認済みのコンシューマーに送信された場合のみ、Amazon SQS によって解読されます。

重要

キューへのすべてのリクエスト SSE HTTPS と を使用する必要がある 署名バージョン4.

デフォルトのキー (Amazon SQS 用の AWS 管理の CMK) を使用する 暗号化キューは、別の AWS アカウント内の Lambda 関数を呼び出すことはできません。

のいくつかの機能 AWS 通知を送信できるサービス Amazon SQS 使用 AWS Security Token Service AssumeRole アクションは、 SSE 業務は 標準キューのみ:

暗号化されたキューと他のサービスの互換性については、以下を参照してください。 AWS のサービスの KMS アクセス許可の設定 およびサービス文書。

AWS KMS は、安全で可用性の高いハードウェアとソフトウェアを組み合わせて、クラウド向けに拡張されたキー管理システムを提供します。AWS KMS と共に Amazon SQS を使用する場合は、メッセージデータを暗号化したデータキーも暗号化され、保護対象のデータと共に格納されます。

AWS KMS を使用する利点は次のとおりです。

  • カスタマーマスターキー (CMK) を自分で作成して管理することができます。

  • AWS で管理されている Amazon SQS 用 CMK を使用することもできます。このキーは、各アカウントおよびリージョンで一意です。

  • AWS KMS のセキュリティ標準は、暗号化関連のコンプライアンス要件を満たすために役立ちます。

詳細については、以下を参照してください。 とは AWS Key Management Service?AWS Key Management Service Developer Guide そして AWS Key Management Service 暗号化の詳細 ホワイトペーパー。

暗号化スコープ

SSE では、Amazon SQS キュー内のメッセージの本文が暗号化されます。

SSE では、以下は暗号化されません。

  • キューのメタデータ (キュー名と属性)

  • メッセージのメタデータ (メッセージ ID、タイムスタンプ、属性)

  • キューごとのメトリクス

メッセージを暗号化すると、未承認ユーザーまたは匿名ユーザーはそのメッセージを利用できなくなります。これは、Amazon SQS の正常な機能には影響しません。

  • メッセージが暗号化されるのは、キューの暗号化が有効になった後に送信される場合のみです。Amazon SQS では、バックログメッセージの暗号化は行われません。

  • キューの暗号化が無効になっても、暗号化されたメッセージは暗号化された状態で維持されます。

メッセージをデッドレターキューに移動しても、暗号化には影響しません。

  • 暗号化されたソースキューから暗号化されていないデッドレターキューにメッセージが Amazon SQS によって移動された場合も、メッセージは暗号化された状態で維持されます。

  • 暗号化されていないソースキューから暗号化されたデッドレターキューにメッセージが Amazon SQS によって移動された場合、メッセージは暗号化されていない状態で維持されます。

重要な用語

以下の重要な用語は、SSE の機能を理解するうえで役立ちます。詳細については、Amazon Simple Queue Service API Referenceを参照してください。

データキー

データ暗号化キー (DEK) は、Amazon SQS メッセージの内容を暗号化します。

詳細については、以下を参照してください。 データキーAWS Key Management Service Developer GuideAWS 暗号化 SDK 開発者ガイド.

データキー再利用期間

Amazon SQS がデータキーを再利用して、もう一度 AWS KMS を呼び出す前にメッセージを暗号化または復号できる時間の長さ (秒)。60 秒 (1 分) ~ 86,400 秒 (24 時間) の秒数を表す整数。デフォルトは 300 (5 分) です。詳細については、データキー再利用期間について を参照してください。

注記

万一 AWS KMS に到達できない場合には、接続が再度確立されるまで、Amazon SQS ではキャッシュされたデータキーが継続的に使用されます。

カスタマーマスターキー ID

AWS によってユーザーのアカウント内または別のアカウント内で管理されているカスタマーマスターキー (CMK) またはカスタム CMK— のエイリアス、エイリアス ARN、キー ID、またはキー ARN。のエイリアスは、 AWS 管理されたCMK Amazon SQS 常に alias/aws/sqsカスタムCMKのエイリアスは、たとえば、 alias/MyAlias. これらの CMKs メッセージを保護するための Amazon SQS キュー。

注記

以下に留意してください。

  • カスタム CMK を指定しない場合、 Amazon SQS では、 AWS 管理されたCMK Amazon SQS.

  • 初めて AWS マネジメントコンソール を AWS 管理されたCMK Amazon SQS キュー、 AWS KMS は、 AWS 管理されたCMK Amazon SQS.

  • または、 SendMessage 又は SendMessageBatch キュー上のアクション SSE 有効、 AWS KMS は、 AWS 管理されたCMK Amazon SQS.

作成することができます。 CMKsでは、 CMKs が使用可能となり、CMKの使用状況を 顧客が管理するキー 」セクション AWS KMS コンソールまたは CreateKey AWS KMS アクション。詳細については、以下を参照してください。 得意先マスターキー(CMK) および キーの作成AWS Key Management Service Developer Guide. CMK 識別子の例については、以下を参照してください。 キーIDAWS Key Management Service API Reference. CMK識別子の検索については、以下を参照してください。 キーIDとARNの検索AWS Key Management Service Developer Guide.

重要

AWS KMS キーを使用するための追加料金はかかります。詳細については、「AWS KMS コストの見積もり」と「AWS Key Management Service 料金表」を参照してください。

エンベロープ暗号化

暗号化されたデータのセキュリティは、そのデータを復号できるデータキーの保護に一部依存します。Amazon SQS は CMK を使用してデータキーを暗号化し、暗号化されたデータキーは暗号化されたメッセージと共に保存されます。データキーを暗号化するためにマスターキーを使用するこの方法は、エンベロープ暗号化と呼ばれています。

詳細については、以下を参照してください。 エンベロープ暗号化AWS 暗号化 SDK 開発者ガイド.