Amazon での保管時の暗号化 SQS - Amazon Simple Queue Service
暗号化スコープ重要な用語

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon での保管時の暗号化 SQS

サーバー側の暗号化 (SSE) を使用すると、暗号化されたキューで機密データを送信できます。SSE は、 SQS管理の暗号化キー (-SQS) または (SSE-) で管理されるキーを使用して、キュー内のメッセージの内容を保護します AWS Key Management Service SSEKMS。SSE を使用した の管理については AWS Management Console、以下を参照してください。

( AWS SDK for Java および CreateQueue、、および GetQueueAttributesアクション) SSEを使用した の管理についてはSetQueueAttributes、次の例を参照してください。

SSE は、Amazon がメッセージSQSを受信するとすぐに暗号化します。メッセージは暗号化された形式で保存され、Amazon SQS は許可されたコンシューマーに送信された場合にのみメッセージを復号します。

重要

SSE が有効になっているキューへのすべてのリクエストは、 HTTPSおよび署名バージョン 4 を使用する必要があります。

デフォルトキー (Amazon のAWS マネージドKMSキーSQS) を使用する暗号化されたキューは、別の で Lambda 関数を呼び出すことはできません AWS アカウント。

AWS Security Token Service AssumeRole アクションSQSを使用して Amazon に通知を送信できる AWS サービスの一部の機能は、 と互換性がありますSSEが、標準キューでのみ動作します。

暗号化されたキューとの他のサービスとの互換性については、AWS サービスのKMSアクセス許可を設定するとサービスドキュメントを参照してください。

AWS KMS は、安全で可用性の高いハードウェアとソフトウェアを組み合わせて、クラウド向けに拡張されたキー管理システムを提供します。SQS で Amazon を使用すると AWS KMS、メッセージデータを暗号化するデータキーも暗号化され、保護するデータとともに保存されます。

AWS KMSを使用する利点は次のとおりです。

  • お客様自身で AWS KMS keys を作成および管理できます。

  • Amazon の AWS マネージドKMSキーを使用することもできます。これはSQS、アカウントとリージョンごとに一意です。

  • AWS KMS セキュリティ標準は、暗号化関連のコンプライアンス要件を満たすのに役立ちます。

詳細については、「AWS Key Management Serviceデベロッパーガイド」の「AWS Key Management Service とは」を参照してください。

暗号化スコープ

SSE は、Amazon SQSキュー内のメッセージの本文を暗号化します。

SSE では、以下は暗号化されません。

  • キューのメタデータ (キュー名と属性)

  • メッセージのメタデータ (メッセージ ID、タイムスタンプ、属性)

  • キューごとのメトリクス

メッセージを暗号化すると、未承認ユーザーまたは匿名ユーザーはそのメッセージを利用できなくなります。SSE を有効にするSendMessageと、匿名 および暗号化されたキューへのReceiveMessageリクエストは拒否されます。Amazon SQS セキュリティのベストプラクティスでは、匿名リクエストを使用しないことを推奨しています。Amazon SQSキューに匿名リクエストを送信する場合は、必ず を無効にしてくださいSSE。これは Amazon の通常の機能には影響しませんSQS。

  • メッセージが暗号化されるのは、キューの暗号化が有効になった後に送信される場合のみです。Amazon SQSは、バックログされたメッセージを暗号化しません。

  • キューの暗号化が無効になっても、暗号化されたメッセージは暗号化された状態で維持されます。

メッセージをデッドレターキューに移動しても、暗号化には影響しません。

  • Amazon がメッセージを暗号化されたソースキューから暗号化されていないデッドレターキューSQSに移動すると、メッセージは暗号化されたままになります。

  • Amazon がメッセージを暗号化されていないソースキューから暗号化されたデッドレターキューSQSに移動すると、メッセージは暗号化されません。

重要な用語

以下の主要な用語は、 の機能をよりよく理解するのに役立ちますSSE。詳細については、「Amazon Simple Queue Service APIリファレンス」を参照してください。

データキー

Amazon メッセージの内容の暗号化を担当するキー (DEK)SQS。

詳細については、AWS Encryption SDK デベロッパーガイド。の「AWS Key Management Service デベロッパーガイドデータキー」を参照してください。

データキー再利用期間

Amazon がデータキーを再利用してメッセージを暗号化または復号してから、 AWS KMS 再度 を呼び出すSQSことができる秒単位の時間の長さ。60秒(1分)から86,400秒(24時間)の秒数を表す整数。デフォルトは300(5分)です。詳細については、「データキー再利用期間について」を参照してください。

注記

万一 に到達できない場合 AWS KMS、Amazon は接続が再確立されるまでキャッシュされたデータキーを使用しSQS続けます。

KMS キー ID

アカウントまたは別のアカウントの AWS マネージドARNキーまたはカスタムKMSキーARNのエイリアス、エイリアス 、キー ID、またはKMSキー。Amazon の AWS マネージドKMSキーのエイリアスは常に SQSですがalias/aws/sqs、カスタムKMSキーのエイリアスは などですalias/MyAlias。これらのKMSキーを使用して、Amazon SQSキュー内のメッセージを保護できます。

注記

以下に留意してください。

  • カスタムKMSキーを指定しない場合、Amazon SQSは Amazon の AWS マネージドKMSキーを使用しますSQS。

  • AWS Management Console を使用してキューの Amazon AWS のマネージドKMSキーを初めて指定すると、 AWS KMS は Amazon の AWS マネージドKMSキーSQSを作成しますSQS。

  • または、 SSE が有効になっているキューで SendMessageまたは SendMessageBatchアクションを初めて使用すると、 は Amazon の AWS マネージドKMSキー AWS KMS を作成しますSQS。

コンソールまたは CreateKey AWS KMS アクションの「カスタマーマネージドKMSキー」セクションを使用して、KMSキーの作成、KMSキーの使用方法を制御するポリシーの定義、 AWS KMS およびキーの使用状況を監査できます。 詳細については、「 AWS Key Management Service デベロッパーガイド」の「 KMSキー」および「 キーの作成」を参照してください。KMS キー識別子のその他の例については、「 AWS Key Management Service APIリファレンスKeyId」の「」を参照してください。KMS キー識別子の検索の詳細については、「 AWS Key Management Service デベロッパーガイド」の「キー ID の検索」およびARN「」を参照してください。

重要

の使用には追加料金がかかります AWS KMS。詳細については、「AWS KMS コストの見積もり」と「AWS Key Management Service 料金表」を参照してください。

エンベロープ暗号化

暗号化されたデータのセキュリティは、復号できるデータキーを保護することによって部分的に異なります。Amazon SQSは KMSキーを使用してデータキーを暗号化し、暗号化されたデータキーは暗号化されたメッセージとともに保存されます。KMS キーを使用してデータキーを暗号化するこの方法は、エンベロープ暗号化と呼ばれます。

詳細については、AWS Encryption SDK デベロッパーガイドの「エンベロープ暗号化」を参照してください。