FIFO トピックのメッセージセキュリティ

AWS Key Management Service(AWS KMS) カスタマーマスターキー (CMK) を使用して、FIFO トピックおよびキューに送信されるメッセージを Amazon SNS および Amazon SQS で暗号化するように選択できます。暗号化された FIFO トピックとキューを作成することも、既存の FIFO トピックとキューを暗号化することもできます。Amazon SNS と Amazon SQS は、メッセージの本文のみを暗号化します。メッセージ属性、リソースメタデータ、またはリソースメトリックスは暗号化しません。

注記

既存の FIFO トピックまたはキューに暗号化を追加しても、バックログされたメッセージは暗号化されません。トピックまたはキューから暗号化を削除すると、バックログされたメッセージは暗号化されたままになります。

SNS FIFO トピックは、サブスクライブされたエンドポイントにメッセージを配信する直前にメッセージを復号化します。SQS FIFO キューは、メッセージをコンシューマーアプリケーションに返す直前にメッセージを復号化します。詳細については、「データ暗号化」とAWS コンピューティングブログの「AWS KMS で Amazon SNS に発行したメッセージを暗号化する」の投稿を参照してください。

さらに、SNS FIFO トピックと SQS FIFO キューでは、AWS PrivateLink によるインターフェイス VPC エンドポイントを用いたメッセージプライバシーをサポートしています。インターフェイスエンドポイントを使用すると、公開インターネットを経由することなく、Amazon Virtual Private Cloud（Amazon VPC）サブネットから FIFO トピックおよびキューにメッセージを送信できます。このモデルでは、メッセージは AWS インフラストラクチャとネットワークの中にとどめ、これにより、アプリケーションの全体的なセキュリティが強化されます。AWS PrivateLink を使用すると、インターネットゲートウェイ、ネットワークアドレス変換 (NAT)、またはバーチャルプライベートネットワーク (VPN) を設定する必要はありません。詳細については、「インターネットトラフィックのプライバシー」とAWS コンピューティングブログの「AWS PrivateLink で Amazon SNS に発行したメッセージの確保」の投稿を参照してください。

SNS FIFO トピックは、デッドレターキューとアベイラビリティーゾーン間のメッセージストレージもサポートします。詳細については、「FIFO トピックのメッセージ耐久性」を参照してください。