저장된 암호화 - Amazon Simple Queue Service

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

저장된 암호화

서버 측 암호화 (SSE) 를 사용하면 암호화된 대기열에서 민감한 데이터를 전송할 수 있습니다. SSE는 AWS Key Management Service (AWS KMS) 에서 관리되는 키를 사용하여 대기열의 메시지 내용을 보호합니다. AWS Management Console을 사용한 SSE 관리에 대한 자세한 내용은 단원을 참조하세요.대기열에 대해 서버 측 암호화 (SSE) 구성 (콘솔).

Java용 AWS SDK를 사용하여 SSE를 관리하는 방법에 대한 자세한 내용은 (및CreateQueue,SetQueueAttributes, 및GetQueueAttributes작업) 에 대한 자세한 내용은 다음 예제를 참조하십시오.

SSE는 Amazon SQS S가 수신하는 즉시 메시지를 암호화합니다. 메시지는 암호화된 형식으로 저장되며, Amazon SQS 승인된 소비자에게 전송된 경우에만 메시지를 해독합니다.

중요

SSE를 사용할 수 있는 대기열에 대한 모든 요청에서는 HTTPS 및서명 버전 4.

한암호화된 대기열기본 키 (Amazon SQS 용 AWS 관리형 CMK) 를 사용하는 경우 다른 AWS 계정에서 Lambda 함수를 호출할 수 없습니다.

AWS 보안 토큰 서비스를 사용하여 Amazon SQS 로 알림을 전송할 수 있는 AWS 서비스의 일부 기능AssumeRole작업은 SSE와 호환되지만표준 대기열에서만 사용할 수 있습니다.

기타 서비스의 암호화 대기열과의 호환성에 관한 정보는 AWS 서비스에 대한 KMS 권한 구성 및 서비스 설명서를 참조하십시오.

AWS KMS 는 클라우드에 맞게 확장된 키 관리 시스템을 제공하기 위해 안전하고 가용성이 높은 하드웨어 및 소프트웨어를 결합합니다. AWS KMS 에서 Amazon SQS 사용하는 경우데이터 키가 암호화되어 보호되는 데이터와 함께 저장됩니다.

AWS KMS 를 사용하면 다음과 같은 이점이 있습니다.

  • 직접 고객 마스터 키(CMK)를 생성하고 관리할 수 있습니다.

  • Amazon SQS 용 AWS 관리형 CMK를 사용할 수도 있습니다. 이 CMK는 각 계정 및 리전에 고유합니다.

  • AWS KMS 보안 표준은 암호화 관련 규정 준수 요구 사항을 충족하는 데 도움이 될 수 있습니다.

자세한 내용은 단원을 참조하십시오.AWS Key Management Service란?AWS Key Management Service 개발자 안내서.

암호화 범위

SSE는 Amazon SQS 대기열에서 메시지의 본문을 암호화합니다.

SSE는 다음을 암호화하지 않습니다.

  • 대기열 메타데이터(대기열 이름과 속성)

  • 메시지 메타데이터(메시지 ID, 타임스탬프 및 속성)

  • 대기열당 측정치

메시지를 암호화하면 권한이 없는 사용자나 익명 사용자가 해당 내용을 사용할 수 없게 됩니다. Amazon SQS 정상 작동에는 영향을 주지 않습니다.

  • 대기열 암호화가 활성화된 후 전송되는 경우에만 메시지가 암호화됩니다. Amazon SQS 백로그된 메시지를 암호화하지 않습니다.

  • 암호화된 메시지는 해당 대기열 암호화가 비활성화된 경우에만 암호화된 상태를 유지합니다.

메시지를 배달 못한 편지 대기열로 이동하는 것은 다음과 같이 해당 암호화에 영향을 주지 않습니다.

  • Amazon SQS 암호화된 소스 대기열에서 암호화되지 않은 배달 못한 편지 대기열로 메시지를 이동하는 경우, 메시지는 암호화된 상태를 유지합니다.

  • Amazon SQS 암호화되지 않은 소스 대기열에서 암호화된 배달 못한 편지 대기열로 메시지를 이동하는 경우, 메시지는 암호화되지 않은 상태를 유지합니다.

주요 용어

다음 주요 용어 설명은 SSE 기능을 보다 정확하게 이해하는 데 도움이 될 수 있습니다. 자세한 내용은 단원을 참조하십시오.Amazon 단순 대기열 서비스 API 참조.

데이터 키

Amazon SQS 메시지의 내용을 암호화하는 작업을 담당하는 데이터 암호화 키 (DEK) 입니다.

자세한 내용은 단원을 참조하십시오.데이터 키AWS Key Management Service 개발자 안내서AWS 암호화 SDK 개발자 가이드.

데이터 키 재사용 기간

Amazon SQS 가 AWS KMS 를 다시 호출하기 전에 데이터 키를 재사용하여 메시지를 암호화하거나 암호 해독할 수 있는 기간 (초) 입니다. 초 단위의 정수로, 60초(1분)에서 86,400초(24시간) 사이입니다. 기본값은 300(5분)입니다. 자세한 내용은 데이터 키 재사용 기간 이해 단원을 참조하세요.

참고

AWS KMS 에 연결할 수 없는 경우, Amazon SQS 연결이 재설정될 때까지 캐시된 데이터를 계속해서 사용합니다.

고객 마스터 키 ID

사용자 계정이나 다른 계정에 있는 AWS 관리형 고객 마스터 키 (CMK) 또는 사용자 지정 CMK의 별칭, 별칭 ARN, 키 ID 또는 키 ARN입니다. Amazon SQS 용 AWS 관리형 CMK의 별칭은 항상alias/aws/sqs인 반면, 사용자 지정 CMK의 별칭은 예를 들어 일 수 있습니다.alias/MyAlias. 이러한 CMK를 사용하여 Amazon SQS 대기열의 메시지를 보호할 수 있습니다.

참고

다음 사항에 유의하십시오.

  • 사용자 지정 CMK를 지정하지 않으면 Amazon SQS에서는 Amazon SQS 용 AWS 관리형 CMK를 사용합니다.

  • AWS 관리 콘솔을 사용하여 처음으로 대기열에서 Amazon SQS 용 AWS 관리형 CMK를 지정하는 경우, AWS KMS 에서는 Amazon SQS용 AWS 관리형 CMK를 생성합니다.

  • 또는 처음 사용할 때SendMessage또는SendMessageBatch작업을 수행할 때 AWS KMS 는 Amazon SQS S용 AWS 관리형 CMK를 생성합니다.

CMK를 생성하고, CMK 사용 방법을 제어하는 정책을 정의하며,고객 관리형 키 키섹션이나 AWS KMS 콘솔의CreateKeyAWS KMS 작업. 자세한 내용은 단원을 참조하십시오.고객 마스터 키(CMK)키 생성AWS Key Management Service 개발자 안내서. CMK 식별자의 자세한 예제는 단원을 참조하십시오.KeyIdAWS Key Management Service API 참조. CMK 식별자를 찾는 방법에 대한 자세한 내용은 단원을 참조하십시오.키 ID 및 ARN 찾기AWS Key Management Service 개발자 안내서.

중요

AWS KMS 사용에 따르는 추가 요금이 있습니다. 자세한 내용은 단원을 참조하십시오.AWS KMS 비용 추정AWS Key Management Service 요금.

봉투 암호화

암호화된 데이터의 보안은 암호화된 데이터를 암호화 해제할 수 있는 데이터 키 보호에 따라 부분적으로 다릅니다. Amazon SQS 에서는 CMK를 사용하여 데이터 키를 암호화한 후, 암호화된 메시지에 암호화된 데이터 키를 저장합니다. 마스터 키를 사용하여 데이터 키를 암호화하는 이러한 방법을 봉투 암호화라고 합니다.

자세한 내용은 단원을 참조하십시오.봉투 암호화AWS 암호화 SDK 개발자 가이드.