保管時の暗号化 - Amazon Simple Queue Service

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

保管時の暗号化

サーバー側の暗号化 (SSE) では、機密データを暗号化されたキューで送信できます。SSE では、で管理されているキーを使用して、キュー内のメッセージの内容が保護されます。AWS Key Management Service(AWS KMS). を使用した SSE の管理については、AWS Management Console「」を参照してください。キューにサーバー側の暗号化 (SSE) を設定する

を使用した SSE の管理については、AWS SDK for Java(およびCreateQueue,SetQueueAttributes, およびGetQueueAttributesアクション) については、次の例を参照してください。

Amazon SQS が受信したメッセージはすぐに、SSE によって暗号化されます。メッセージは暗号化された形式で保存され、承認済みのコンシューマーに送信された場合のみ、Amazon SQS によって解読されます。

重要

SSE が有効なキューへのリクエストでは必ず、HTTPS と署名バージョン 4

あん暗号化されたキューのデフォルトキー (AWSマネージド CMK (Amazon SQS 用) は、別の AWS アカウント 。

いくつかの機能AWSを使用して Amazon SQS に通知を送信できるサービスAWS Security Token Service AssumeRoleアクションはSSEと互換性がありますが、標準キューでのみ使用できます。

暗号化されたキューと他のサービスとの互換性については、」AWS のサービスの KMS アクセス許可の設定およびサービスのドキュメントを参照してください。

AWS KMS は、安全で可用性の高いハードウェアとソフトウェアを組み合わせて、クラウド向けに拡張されたキー管理システムを提供します。Amazon SQS をAWS KMSとすると、データキーメッセージデータを暗号化し、保護対象のデータと共に保存されます。

AWS KMS を使用する利点は次のとおりです。

  • カスタマーマスターキー (CMK) を自分で作成して管理することができます。

  • また、 を使用することもできますAWSAmazon SQS 用マネージド CMK は、各アカウントおよびリージョンで一意です。

  • AWS KMS のセキュリティ標準は、暗号化関連のコンプライアンス要件を満たすために役立ちます。

詳細については、AWS Key Management Service 開発者ガイドの「AWS Key Management Service とは」を参照してください。

暗号化スコープ

SSE では、Amazon SQS キュー内のメッセージの本文が暗号化されます。

SSE では、以下は暗号化されません。

  • キューのメタデータ (キュー名と属性)

  • メッセージのメタデータ (メッセージ ID、タイムスタンプ、属性)

  • キューごとのメトリクス

メッセージを暗号化すると、未承認ユーザーまたは匿名ユーザーはそのメッセージを利用できなくなります。これは Amazon SQS の正常な機能には影響しません。

  • メッセージが暗号化されるのは、キューの暗号化が有効になった後に送信される場合のみです。Amazon SQS は、バックログされたメッセージを暗号化しません。

  • キューの暗号化が無効になっても、暗号化されたメッセージは暗号化された状態で維持されます。

メッセージをデッドレターキューに移動しても、暗号化には影響しません。

  • 暗号化されたソースキューから暗号化されていないデッドレターキューにメッセージが Amazon SQS によって移動された場合も、メッセージは暗号化された状態で維持されます。

  • 暗号化されていないソースキューから暗号化されたデッドレターキューにメッセージが Amazon SQS によって移動された場合も、メッセージは暗号化されていない状態で維持されます。

重要な用語

以下の重要な用語は、SSE の機能を理解するうえで役立ちます。詳細については、『』を参照してください。Amazon Simple Queue Service API リファレンス

データキー

Amazon SQS メッセージの内容を暗号化するデータ暗号化キー (DEK)。

詳細については、「」を参照してください。データキー()AWS Key Management Service開発者ガイド()AWS Encryption SDK開発者ガイド

データキー再利用期間

Amazon SQS がデータキーを再利用して、からメッセージを暗号化または復号できる時間の長さ(秒)。AWS KMSをクリックします。60 秒 (1 分) ~ 86,400 秒 (24 時間) の秒数を表す整数。デフォルトは 300 (5 分) です。詳細については、「データキー再利用期間について」を参照してください。

注記

到達できないという万が一の事態にAWS KMSAmazon SQS は、接続が再度確立されるまで、キャッシュされたデータキーを使用し続けます。

カスタマーマスターキー ID

のエイリアス、エイリアス、エイリアス ARN、キー ID、またはキー ARNAWSマネージドカスタマーマスターキー (CMK) またはカスタム CMK を、自分のアカウント内または別のアカウント内で設定する必要があります。のエイリアスは、AWSAmazon SQS のマネージド CMK は常にalias/aws/sqsでカスタム CMK のエイリアスは、のように設定できます。alias/MyAlias。これらの CMK を使用して、Amazon SQS キュー内のメッセージを保護することができます。

注記

以下に留意してください。

  • カスタム CMK を指定しない場合、Amazon SQS は、AWSAmazon SQS で管理されている用 CMK。

  • あなたが初めて使用したときAWS Management Consoleを指定するにはAWSキュー用の Amazon SQS の管理対象 CMKAWS KMSの作成AWSAmazon SQS で管理されている用 CMK。

  • または、最初にSendMessageまたはSendMessageBatchSSE が有効なキューで、アクションを実行する。AWS KMSの作成AWSAmazon SQS で管理されている用 CMK。

CMK の作成、CMK の使用方法を制御するポリシーの定義、CMK の使用状況の監視を行うには、カスタマー管理キーの セクションAWS KMSコンソールまたはCreateKey AWS KMSaction. 詳細については、「」を参照してください。カスタマーマスターキー (CMK)およびキーの作成()AWS Key Management Service開発者ガイド。CMK 識別子のその他の例については、KeyId()AWS Key Management ServiceAPI リファレンス。CMK 識別子の検索については、を参照してください。キー ID と ARN を検索する()AWS Key Management Service開発者ガイド

重要

AWS KMS キーを使用するための追加料金はかかります。詳細については、「AWS KMS コストの見積もり」と「AWS Key Management Service 料金表」を参照してください。

エンベロープ暗号化

暗号化されたデータのセキュリティは、復号できるデータキーを保護することによって部分的に異なります。Amazon SQS では CMK を使用してデータキーを暗号化し、暗号化されたデータキーは暗号化されたメッセージと共に保存されます。データキーを暗号化するためにマスターキーを使用するこの方法は、エンベロープ暗号化と呼ばれています。

詳細については、AWS Encryption SDK デベロッパーガイドの「エンベロープ暗号化」を参照してください。