翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon S3 イベントクローラで暗号化を使用します。
このセクションでは SQS のみ、または SQS と Amazon S3 の両方での暗号化の使用について説明します。
SQS でのみ暗号化を有効にします
Amazon SQS は、デフォルトで送信中の暗号化を提供します。オプションのサーバー側の暗号化 (SSE) をキューに追加するため、編集パネルのカスタマーマスターキー (CMK) にアタッチします。つまり、SQS は SQS サーバー上のすべての保管中の顧客データを暗号化します。
カスタマーマスターキー (CMK) を作成します
[キー管理サービス (KMS)] > [カスタマーマネージドキー > [キーを作成する] を選択します。
手順に従って、独自のエイリアスと説明を追加します。
このキーを使用できるようにする IAM ロールを追加します。
キーポリシーで、別のステートメントを「ステートメント」リストに追加することで、カスタムキーポリシーは Amazon SNS に十分なキー使用許可を付与します。
"Statement": [ { "Effect": "Allow", "Principal": { "Service": "sns.amazonaws.com" }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "*" } ]
キューのサーバー側の暗号化 (SSE) を有効にします。
[Amazon SQS] > [キュー] > [sqs_queue_name] > [暗号化] タブを選択します。
[編集] を選択し、[暗号化] まで下にスクロールしてドロップダウンします。
[有効] を選択し、SSE を追加します。
名前
alias/aws/sqs
のデフォルトキーではなく、前に作成した CMK をクリックします。これを追加すると、追加したキーで 暗号化タブを更新します。
注記
Amazon SQS は最長メッセージ保持期間を超えてキューに残っているメッセージを自動的に削除します。デフォルトのメッセージ保持期間は 4 日間です。イベントの欠落を回避するには、SQS MessageRetentionPeriod を 14 日以内に変更します。
SQS と S3 の両方での暗号化の有効にします。
SQS でサーバー側の暗号化 (SSE) を有効にします。
「SQS でのみ暗号化を有効にします」の手順を実行します。
CMK セットアップの最後のステップで、Amazon S3 に十分なキー使用許可を付与します。
「ステートメント」リストに以下を貼り付けます。
"Statement": [ { "Effect": "Allow", "Principal": { "Service": "s3.amazonaws.com" }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "*" } ]
Amazon S3 バケットのサーバー側の暗号化 (SSE) を有効にします。
「SQS でのみ暗号化を有効にします」の手順を実行します。
-
以下のいずれかを実行します。
-
S3 バケット全体で SSE を有効にするには、ターゲットバケットの [プロパティ] タブを操作します。
ここで SSE を有効にして、使用する暗号化の種類を選択できます。Amazon S3 は、Amazon S3 が作成、管理、使用する暗号化キーを提供したり、KMS からキーを選択することもできます。
-
特定のフォルダで SSE を有効にするには、ターゲットフォルダの横にある [チェックボックス] を選択し、[アクション] をドロップダウンして [サーバー側の暗号化の編集] を選択します。
-
よくある質問
Amazon SNS トピックに公開したメッセージが、サーバー側暗号化 (SSE) が有効になっている登録済みの Amazon SQS キューに配信されないのはなぜですか。
Amazon SQS キューが使用していることを再確認してください。
カスタマーマスターキー (CMK) は、カスタマーが管理します。SQS によって提供されるデフォルトではありません。
(1) の CMK はカスタムキーポリシーを含み、Amazon SNS に十分なキー使用許可を付与します。
詳細情報は、ナレッジセンターのこの記事を参照してください
E メール通知の登録をしましたが、Amazon S3 バケットを編集しても E メールの更新が届きません。
メールの「登録確認」リンクをクリックして、メールアドレスを確認したことを確認してください。SNS トピックの下の[サブスクリプション] テーブルで確認ステータスを確認できます。
[Amazon SNS] >[トピック] >[sns_topic_name
] >[サブスクリプション] テーブルを選択します。
前提条件のスクリプトに従えば、sns_topic_name
はユーザーの sqs_queue_name
と同等だと分かります。これは次のように表示されます。
SQS キューでサーバー側の暗号化を有効にした後、追加したフォルダの一部だけがテーブルに表示されます。なぜ parquet が一部欠けているのでしょうか。
SQS キューで SSE を有効にする前に Amazon S3 バケットを変更した場合、クローラによって変更が適用されない可能性があります。S3 バケットにすべての更新を確実にクロールするために、リストモード (「すべてのフォルダをクロールする」) でクローラーを再度実行します。もう 1 つのオプションは、S3 イベントを有効にして新しいクローラを作成することで、やり直すことです。