Configuração da criptografia de tópicos do Amazon SNS com assinatura criptografada de filas do Amazon SQS - Amazon Simple Notification Service
Etapa 1: como criar uma chave do KMSEtapa 2: como criar um tópico do Amazon SNS criptografadoEtapa 3: como criar e se inscrever em filas criptografadas do Amazon SQSEtapa 4: como publicar uma mensagem no seu tópico criptografadoEtapa 5: como verificar entrega de mensagens

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Configuração da criptografia de tópicos do Amazon SNS com assinatura criptografada de filas do Amazon SQS

Você pode habilitar a criptografia no lado do servidor (SSE) para um tópico com o intuito de proteger seus dados. Para permitir que o Amazon SNS envie mensagens para filas do Amazon SQS criptografadas, a chave mestra de cliente (CMK) associada à fila do Amazon SQS deve ter uma declaração de política que conceda ao Amazon SNS o acesso principal ao serviço para as ações da API do AWS KMS , GenerateDataKey e Decrypt. Para obter mais informações sobre como usar a SSE, consulte Segurança dos dados do Amazon SNS com a criptografia do lado do servidor.

Este tópico explica como habilitar o SSE para um tópico do Amazon SNS com uma assinatura de fila criptografada do Amazon SQS usando o. AWS Management Console

Etapa 1: como criar uma chave do KMS

  1. Faça login no console do AWS KMS com um usuário que tenha pelo menos a política AWSKeyManagementServicePowerUser.

  2. Escolha Criar uma chave.

  3. Para criar uma chave do KMS de criptografia simétrica, em Tipo de chave, selecione Simétrica.

    Para obter informações sobre como criar uma chave do KMS assimétrica no console do AWS KMS , consulte Criar chaves do KMS assimétricas (console).

  4. Em Uso da chave, a opção Criptografar e descriptografar é selecionada para você.

    Para obter informações sobre como criar chaves do KMS que geram e verificam códigos MAC, consulte Criar chaves do KMS de HMAC.

    Para obter mais informações sobre as opções avançadas, consulte Chaves para fins especiais.

  5. Escolha Próximo.

  6. Digite um alias para a chave do KMS. O nome do alias não pode começar com aws/. O aws/ prefixo é reservado pela Amazon Web Services para representar Chaves gerenciadas pela AWS em sua conta.

    nota

    Adicionar, excluir ou atualizar um alias pode conceder ou negar uma permissão à chave do KMS. Para obter detalhes, consulte ABAC para AWS KMS e Uso de aliases para controlar o acesso às chaves do KMS.

    Um alias é um nome de exibição que identifica a chave do KMS. Recomendamos que você escolha um alias que indique o tipo de dados que pretende proteger ou a aplicação a ser usada com a chave do KMS.

    Aliases são necessários ao criar uma chave do KMS no AWS Management Console. Eles são opcionais quando você usa a CreateKeyoperação.

  7. (Opcional) Digite uma descrição para a chave do KMS.

    Você pode adicionar uma descrição agora ou atualizá-la a qualquer momento, a não ser que o estado da chave seja Pending Deletion ou Pending Replica Deletion. Para adicionar, alterar ou excluir a descrição de uma chave gerenciada pelo cliente existente, edite a descrição na operação AWS Management Console ou use a UpdateKeyDescriptionoperação.

  8. (Opcional) Digite uma chave de tag e um valor de tag opcional. Para adicionar mais de uma etiqueta à chave do KMS, selecione Adicionar tag.

    nota

    Marcar ou desmarcar uma chave do KMS pode conceder ou negar uma permissão a essa chave do KMS. Para obter detalhes, consulte ABAC para AWS KMS e Uso de tags para controlar o acesso às chaves do KMS.

    Quando você adiciona tags aos seus AWS recursos, AWS gera um relatório de alocação de custos com uso e custos agregados por tags. Tags também podem ser utilizadas para controlar o acesso a uma chave do KMS. Para informações sobre marcação de chaves do KMS, consulte Marcação de chaves e ABAC para AWS KMS.

  9. Escolha Próximo.

  10. Selecione os usuários e as funções do IAM que podem administrar a chave do KMS.

    nota

    Essa política de chaves dá o controle Conta da AWS total dessa chave KMS. Ela permite que os administradores de conta usem políticas do IAM para conceder a outras entidades principais a permissão para gerenciar a chave do KMS. Para obter mais detalhes, consulte Política de chaves padrão.

     

    As práticas recomendadas do IAM não encorajam o uso de usuários do IAM com credenciais de longo prazo. Sempre que possível, use os perfis do IAM, por fornecerem credenciais temporárias. Para obter detalhes, consulte Práticas recomendadas de segurança no IAM no Guia do usuário do IAM.

  11. (Opcional) Para evitar que os usuários e funções do IAM selecionados excluam essa chave do KMS, na seção Exclusão de chaves na parte inferior da página, desmarque a caixa de seleção Permitir que os administradores de chaves excluam essa chave.

  12. Escolha Próximo.

  13. Selecione os usuários e os perfis do IAM que podem usar a chave em operações de criptografia. Escolha Próximo.

  14. Na página Revisar e editar política de chaves, adicione a seguinte instrução à política de chaves e, em seguida, escolha Concluir.

    {
    "Sid": "Allow Amazon SNS to use this key",
    "Effect": "Allow",
    "Principal": {
        "Service": "sns.amazonaws.com"
    },
    "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey*"
    ],
    "Resource": "*"
}

Sua nova chave gerenciada pelo cliente será exibida na lista de chaves.

Mostrar maisMostrar menos

Etapa 2: como criar um tópico do Amazon SNS criptografado

  1. Faça login no console do Amazon SNS.

  2. No painel de navegação, escolha Tópicos.

  3. Escolha Criar tópico.

  4. Na página Criar novo tópico, em Nome, digite um nome para o tópico (por exemplo, MyEncryptedTopic) e escolha Criar tópico.

  5. Expanda a seção Criptografia e faça o seguinte:

    1. Escolha Habilitar criptografia no lado do servidor.

    2. Especifique a chave gerenciada pelo cliente. Para obter mais informações, consulte Principais termos.

      Para cada tipo de chave gerenciada pelo cliente, a Descrição, a Conta e o ARN da chave gerenciada pelo cliente são exibidos.

      Importante

      Se você não for o proprietário da chave gerenciada pelo cliente ou se fizer login com uma conta que não tenha as permissões kms:ListAliases e kms:DescribeKey, não será possível visualizar as informações sobre a chave gerenciada pelo cliente no console do Amazon SNS.

      Peça ao proprietário da chave gerenciada pelo cliente para conceder essas permissões a você. Para obter mais informações, consulte Permissões da API do KMS: referência de ações e recursos do AWS KMS no Guia do desenvolvedor do AWS Key Management Service .

    3. Para a chave gerenciada pelo cliente, escolha a MyCustomKeyque você criou anteriormente e, em seguida, escolha Ativar criptografia do lado do servidor.

  6. Escolha Salvar alterações.

    O SSE está ativado para o seu tópico e a MyTopicpágina é exibida.

    O status de Criptografia, a Conta da AWS , a Chave mestra do cliente, o ARN e a Descrição do tópico são exibidos na guia Criptografia.

Seu novo tópico criptografado será exibido na lista de tópicos.

Etapa 3: como criar e se inscrever em filas criptografadas do Amazon SQS

  1. Faça login no console do Amazon SQS.

  2. Selecione Criar nova fila.

  3. Na página Create New Queue (Criar nova fila), faça o seguinte:

    1. Insira um Queue Name (Nome da fila) (por exemplo, MyEncryptedQueue1).

    2. Escolha Standard Queue (Fila padrão) e, em seguida, escolha Configure Queue (Configurar fila).

    3. Selecione Use SSE (Usar SSE).

    4. Para AWS KMS key, escolha MyCustomKeyo que você criou anteriormente e, em seguida, escolha Criar fila.

  4. Repita o processo para criar uma segunda fila (por exemplo, chamada MyEncryptedQueue2).

    Suas novas filas criptografadas serão exibidas na lista de filas.

  5. No console do Amazon SQS, selecione MyEncryptedQueue1 e MyEncryptedQueue2, e escolha Queue Actions (Ações da fila), Subscribe Queues to SNS Topic (Inscrever filas em um tópico do SNS).

  6. Na caixa de diálogo Inscrever-se em um tópico, em Escolher um tópico MyEncryptedTopic, selecione e, em seguida, escolha Inscrever-se.

    Suas inscrições das filas criptografadas para o seu tópico criptografado são exibidas na caixa de diálogo Resultado de inscrição do tópico.

  7. Escolha OK.

Etapa 4: como publicar uma mensagem no seu tópico criptografado

  1. Faça login no console do Amazon SNS.

  2. No painel de navegação, escolha Tópicos.

  3. Na lista de tópicos, escolha MyEncryptedTopice, em seguida, escolha Publicar mensagem.

  4. Na página Publicar uma mensagem, faça o seguinte:

    1. (Opcional) Na seção Detalhes da mensagem, insira o Assunto (por exemplo, Testing message publishing).

    2. Na seção Corpo da mensagem, insira o corpo da mensagem (por exemplo, My message body is encrypted at rest.).

    3. Selecione Publish message (Publicar mensagem).

Sua mensagem será publicada nas suas filas criptografadas inscritas.

Etapa 5: como verificar entrega de mensagens

  1. Faça login no console do Amazon SQS.

  2. Na lista de filas, escolha MyEncryptedQueue1 e, em seguida, escolha Enviar e receber mensagens.

  3. Na página Enviar e receber mensagens em MyEncryptedQueue 1, escolha Sondagem de mensagens.

    A mensagem que você enviou anteriormente será exibida.

  4. Escolha Mais detalhes para visualizar sua mensagem.

  5. Quando terminar, escolha Fechar.

  6. Repita o processo para MyEncryptedQueue2.