Criptografia inativa - Amazon Simple Queue Service
Escopo de criptografiaPrincipais termos

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Criptografia inativa

A criptografia no lado do servidor (SSE) permite que você transmita dados sigilosos em filas criptografadas. O SSE protege o conteúdo das mensagens em filas usando chaves de criptografia gerenciadas pelo SQS (SSE-SQS) ou chaves gerenciadas no (SSE-KMS). AWS Key Management Service Para obter informações sobre como gerenciar o SSE usando o AWS Management Console, consulte o seguinte:

Para obter informações sobre como gerenciar o SSE usando as AWS SDK for Java (e GetQueueAttributes as ações CreateQueueSetQueueAttributes, e), consulte os exemplos a seguir:

A SSE criptografa mensagens assim que o Amazon SQS as recebe. As mensagens são armazenadas no formato criptografado e o Amazon SQS as descriptografa apenas quando elas são enviadas a um consumidor autorizado.

Importante

Todas as solicitações para filas com SSE habilitada devem usar HTTPS e o Signature versão 4.

Uma fila criptografada que usa a chave padrão (chave KMS AWS gerenciada para Amazon SQS) não pode invocar uma função Lambda em outra. Conta da AWS

Alguns recursos dos AWS serviços que podem enviar notificações para o Amazon SQS usando a AWS Security Token Service AssumeRole ação são compatíveis com o SSE, mas funcionam somente com filas padrão:

Para obter informações sobre a compatibilidade de outros produtos com filas criptografadas, consulte Configurar permissões KMS para serviços AWS e a documentação do seu produto.

AWS KMS combina hardware e software seguros e de alta disponibilidade para fornecer um sistema de gerenciamento de chaves dimensionado para a nuvem. Quando você usa o Amazon SQS com AWS KMS, as chaves de dados que criptografam os dados da sua mensagem também são criptografadas e armazenadas com os dados que elas protegem.

Os benefícios de usar o AWS KMS são os seguintes:

  • É possível criar e gerenciar AWS KMS keys por conta própria:

  • Você também pode usar a chave KMS AWS gerenciada para o Amazon SQS, que é exclusiva para cada conta e região.

  • Os padrões AWS KMS de segurança podem ajudá-lo a atender aos requisitos de conformidade relacionados à criptografia.

Para obter mais informações, consulte O que é o AWS Key Management Service? no Guia do desenvolvedor do AWS Key Management Service .

Escopo de criptografia

A SSE criptografa o corpo de uma mensagem em uma fila do Amazon SQS.

A SSE não criptografa o seguinte:

  • Metadados de fila (nome e atributos da fila)

  • Metadados de mensagens (ID de mensagem, carimbo de data/hora e atributos)

  • Métricas por fila

A criptografia de uma mensagem torna indisponível seu conteúdo para usuários não autorizados ou anônimos. Com a SSE habilitada, as solicitações anônimas SendMessage e ReceiveMessage à fila criptografada serão rejeitadas. As práticas recomendadas de segurança do Amazon SQS não aconselham o uso de solicitações anônimas. Se você quiser enviar solicitações anônimas a uma fila do Amazon SQS, desabilite o SSE. Isso não afeta o funcionamento normal do Amazon SQS:

  • Uma mensagem só será criptografada se for enviada após a habilitação da criptografia de uma fila. O Amazon SQS não criptografa mensagens com lista de pendências.

  • Qualquer mensagem criptografada permanecerá dessa forma mesmo se a criptografia de sua fila for desabilitada.

A transferência de uma mensagem para uma dead letter queue não afeta sua criptografia:

  • Quando o Amazon SQS move uma mensagem de uma fila de origem criptografada para uma fila de mensagens não entregues não criptografada, a mensagem permanece criptografada.

  • Quando o Amazon SQS move uma mensagem de uma fila de origem não criptografada para uma fila de mensagens não entregues criptografada, a mensagem permanece descriptografada.

Principais termos

Os seguintes termos-chave podem ajudar você a entender melhor a funcionalidade da SSE. Para obter descrições detalhadas, consulte a Referência da API do Amazon Simple Queue Service.

Chave de dados

A chave (DEK) responsável por criptografar o conteúdo de mensagens do Amazon SQS.

Para obter mais informações, consulte Chaves de dados no Guia do desenvolvedor do AWS Key Management Service no Guia do desenvolvedor do AWS Encryption SDK .

Período de reutilização de chaves de dados

O período de tempo, em segundos, durante o qual o Amazon SQS pode reutilizar uma chave de dados para criptografar ou descriptografar mensagens antes de ligar novamente. AWS KMS Um número inteiro que representa segundos, entre 60 segundos (1 minuto) e 86.400 segundos (24 horas). O padrão é 300 (5 minutos). Para ter mais informações, consulte Entender o período de reutilização de chaves de dados.

nota

No caso improvável de não conseguir acessar AWS KMS, o Amazon SQS continua usando a chave de dados em cache até que a conexão seja restabelecida.

ID da chave do KMS

O alias, o ARN do alias, o ID da chave ou o ARN da chave de uma chave KMS AWS gerenciada ou de uma chave KMS personalizada — na sua conta ou em outra conta. Embora o alias da chave KMS AWS gerenciada para o Amazon SQS seja alias/aws/sqs sempre, o alias de uma chave KMS personalizada pode, por exemplo, ser. alias/MyAlias Você pode usar essas chaves do KMS para proteger as mensagens em filas do Amazon SQS.

nota

Lembre-se do seguinte:

  • Se você não especificar uma chave KMS personalizada, o Amazon SQS usa a chave KMS gerenciada para AWS o Amazon SQS.

  • A primeira vez que você usa o AWS Management Console para especificar a chave KMS AWS gerenciada para o Amazon SQS para uma fila AWS KMS , cria a chave KMS gerenciada para AWS o Amazon SQS.

  • Como alternativa, na primeira vez em que você usa a SendMessageBatch ação SendMessage or em uma fila com o SSE ativado, AWS KMS cria a chave KMS AWS gerenciada para o Amazon SQS.

Você pode criar chaves KMS, definir as políticas que controlam como as chaves KMS podem ser usadas e auditar o uso da chave KMS usando a seção Chaves gerenciadas pelo cliente do AWS KMS console ou da ação. CreateKey AWS KMS Para obter mais informações, consulte Chaves do KMS e Como criar chaves do KMS no Guia do desenvolvedor da AWS Key Management Service . Para obter mais exemplos de identificadores de chave KMS, consulte a KeyIdReferência da AWS Key Management Service API. Para obter informações sobre como encontrar identificadores de chave do KMS, consulte Encontrar o ID da chave e o ARN no Guia do desenvolvedor do AWS Key Management Service .

Importante

Há taxas adicionais pelo uso AWS KMS. Para obter mais informações, consulte Estimando custos AWS KMS e Definição de preço do AWS Key Management Service.

Criptografia de envelope

A segurança dos dados criptografados depende em parte da proteção da chave de dados que pode descriptografá-los. O Amazon SQS usa a chave do KMS para criptografar a chave de dados. Em seguida, a chave de dados criptografada é armazenada com a mensagem criptografada. Essa prática de uso de uma chave do KMS para criptografar chaves de dados é conhecida como criptografia de envelope.

Para obter mais informações, consulte Criptografia de envelope no Guia do desenvolvedor do AWS Encryption SDK .