저장된 암호화 - Amazon Simple Queue Service

문서의 영문과 번역 사이에 충돌이 있는 경우에는 영문 버전을 따릅니다. 번역 버전은 기계 번역을 사용하여 제공합니다.

저장된 암호화

서버 측 암호화(SSE)를 통해 암호화된 대기열에 중요한 데이터를 전송할 수 있습니다. SSE는 AWS Key Management Service(AWS KMS)의 관리형 키를 사용하여 대기열의 메시지 내용을 보호합니다. 관리 정보 SSE 사용 AWS Management 콘솔, 참조 구성 서버 측 암호화 (SSE대기열(콘솔)에 대해 ).

관리 정보 SSE 사용 AWS SDK for Java (및 CreateQueue, SetQueueAttributes, 및 GetQueueAttributes 동작) 다음 예를 참조하십시오.

SSE는 Amazon SQS에서 수신하는 즉시 메시지를 암호화합니다. 메시지는 암호화된 형식으로 저장되며 Amazon SQS는 권한 있는 소비자에게 전송된 경우에만 메시지를 해독합니다.

중요

의 큐에 대한 모든 요청 SSE 사용하도록 설정하려면 HTTPS를 사용해야 하며 서명 버전 4.

기본 키를 사용하는 암호화된 대기열(Amazon SQS용 AWS 관리형 CMK)은 다른 AWS 계정의 Lambda 함수를 호출할 수 없습니다.

일부 특징 AWS 알림을 보낼 수 있는 서비스 Amazon SQS 사용 AWS Security Token Service AssumeRole 동작이 다음과 호환됩니다. SSE 하지만 표준 대기열에만 해당:

기타 서비스의 암호화 대기열과의 호환성에 관한 정보는 AWS 서비스의 KMS 권한 구성 및 서비스 설명서를 참조하십시오.

AWS KMS는 클라우드에 맞게 확장된 키 관리 시스템을 제공하기 위해 안전하고 가용성이 높은 하드웨어 및 소프트웨어를 결합합니다. AWS KMS와 함께 Amazon SQS를 사용하는 경우, 메시지 데이터를 암호화하는 데이터 키 또한 암호화되며 데이터 키가 보호하는 데이터와 함께 저장됩니다.

AWS KMS를 사용하면 다음과 같은 이점이 있습니다.

  • 직접 고객 마스터 키(CMK)를 생성하고 관리할 수 있습니다.

  • 각 계정 및 리전에 고유한 AWS용 Amazon SQS 관리형 CMK를 사용할 수도 있습니다.

  • AWS KMS 보안 표준은 암호화 관련 규정 준수 요구 사항을 충족하는 데 도움이 될 수 있습니다.

자세한 내용은 을 참조하십시오. 정의 AWS Key Management Service? 에서 AWS Key Management Service Developer GuideAWS Key Management Service 암호화 세부 정보 백서.

암호화 범위

SSE는 Amazon SQS 대기열에서 메시지의 본문을 암호화합니다.

SSE는 다음을 암호화하지 않습니다.

  • 대기열 메타데이터(대기열 이름과 속성)

  • 메시지 메타데이터(메시지 ID, 타임스탬프 및 속성)

  • 대기열당 측정치

메시지를 암호화하면 권한이 없는 사용자나 익명 사용자가 해당 내용을 사용할 수 없게 됩니다. 다음과 같은 Amazon SQS의 정상 작동에는 영향을 주지 않습니다.

  • 대기열 암호화가 활성화된 후 전송되는 경우에만 메시지가 암호화됩니다. Amazon SQS는 백로깅된 메시지를 암호화하지 않습니다.

  • 암호화된 메시지는 해당 대기열 암호화가 비활성화된 경우에만 암호화된 상태를 유지합니다.

메시지를 배달 못한 편지 대기열로 이동하는 것은 다음과 같이 해당 암호화에 영향을 주지 않습니다.

  • Amazon SQS가 암호화된 소스 대기열에서 암호화되지 않은 배달 못한 편지 대기열로 메시지를 이동하는 경우, 메시지는 암호화된 상태를 유지합니다.

  • Amazon SQS가 암호화되지 않은 소스 대기열에서 암호화된 배달 못한 편지 대기열로 메시지를 이동하는 경우, 메시지는 암호화되지 않은 상태를 유지합니다.

주요 용어

다음 주요 용어 설명은 SSE 기능을 보다 정확하게 이해하는 데 도움이 될 수 있습니다. 자세한 내용은 Amazon Simple Queue Service API Reference 단원을 참조하십시오.

데이터 키

Amazon SQS 메시지 내용의 암호화를 담당하는 데이터 암호화 키(DEK)입니다.

자세한 내용은 을 참조하십시오. 데이터 키 에서 AWS Key Management Service Developer Guide 에서 AWS 암호화 SDK 개발자 안내서.

데이터 키 재사용 기간

Amazon SQS가 AWS KMS를 다시 호출하기 전에 데이터 키를 재사용하여 메시지를 암호화하거나 암호 해독할 수 있는 기간(초)입니다. 초 단위의 정수로, 60초(1분)에서 86,400초(24시간) 사이입니다. 기본값은 300(5분)입니다. 자세한 정보는 데이터 키 재사용 기간 이해 단원을 참조하십시오.

참고

AWS KMS에 연결할 수 없는 경우, Amazon SQS는 연결이 재설정될 때까지 캐시된 데이터를 계속해서 사용합니다.

고객 마스터 키 ID

사용자 계정이나 다른 계정에 있는 AWS 관리형 고객 마스터 키(CMK) 또는 사용자 지정 CMK—의 별칭, 별칭 ARN, 키 ID 또는 키 ARN입니다. 의 별칭이 AWS 관리 CMK: Amazon SQS 항상 alias/aws/sqs, 사용자 지정 CMK의 별칭은, 예를 들어, alias/MyAlias. 이 도구들은 CMKs 메시지를 보호하기 위해 Amazon SQS 큐.

참고

다음 사항에 유의하십시오.

  • 사용자 지정 CMK를 지정하지 않으면 Amazon SQS 은(는) AWS 관리 CMK: Amazon SQS.

  • AWS Management 콘솔을 사용하여 처음으로 대기열에 Amazon SQS를 위한 AWS 관리형 CMK를 지정하는 경우에는 AWS KMS에서 Amazon SQS를 위한 AWS 관리형 CMK를 생성합니다.

  • 또는 SSE가 활성화된 대기열에서 SendMessage 또는 SendMessageBatch 작업을 처음으로 사용하는 경우에는 AWS KMS에서 Amazon SQS를 위한 AWS 관리형 CMK를 생성합니다.

여러분은 다음을 생성할 수 있습니다. CMKs, 제어 방법을 정의하는 정책 CMKs 사용할 수 있으며, 다음을 사용하여 CMK 사용량을 감사할 수 있습니다. 고객 관리 키 섹션 AWS KMS 콘솔 또는 CreateKey AWS KMS 동작. 자세한 내용은 을 참조하십시오. 고객 마스터 키(CMK)키 만들기 에서 AWS Key Management Service Developer Guide. CMK 식별자의 자세한 예는 을 참조하십시오. 키 ID 에서 AWS Key Management Service API Reference. CMK 식별자 찾기에 대한 자세한 내용은 다음을 참조하십시오. 키 ID 및 ARN 찾기 에서 AWS Key Management Service Developer Guide.

중요

AWS KMS 사용에 따르는 추가 요금이 있습니다. 자세한 내용은 AWS KMS 비용 추정AWS Key Management Service 요금을 참조하십시오.

봉투 암호화

암호화된 데이터의 보안은 암호화된 데이터를 암호화 해제할 수 있는 데이터 키 보호에 따라 부분적으로 다릅니다. Amazon SQS는 CMK를 사용하여 데이터 키를 암호화한 후, 암호화된 메시지에 암호화된 데이터 키를 저장합니다. 마스터 키를 사용하여 데이터 키를 암호화하는 이러한 방법을 봉투 암호화라고 합니다.

자세한 내용은 을 참조하십시오. 봉투 암호화 에서 AWS 암호화 SDK 개발자 안내서.