Configurando a criptografia de SNS tópicos da Amazon com a assinatura criptografada de SQS filas da Amazon - Amazon Simple Notification Service
Etapa 1: criar uma KMS chave personalizadaEtapa 2: criar um SNS tópico criptografado da AmazonEtapa 3: criar e assinar SQS filas criptografadas da AmazonEtapa 4: como publicar uma mensagem no seu tópico criptografadoEtapa 5: como verificar entrega de mensagens

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Configurando a criptografia de SNS tópicos da Amazon com a assinatura criptografada de SQS filas da Amazon

Você pode ativar a criptografia do lado do servidor (SSE) para um tópico para proteger seus dados. Para permitir que SNS a Amazon envie mensagens para SQS filas criptografadas da Amazon, a chave gerenciada pelo cliente associada à SQS fila da Amazon deve ter uma declaração SNS de política que conceda ao principal serviço da Amazon acesso às ações e. AWS KMS API GenerateDataKey Decrypt Para obter mais informações sobre o usoSSE, consulteProtegendo os SNS dados da Amazon com criptografia do lado do servidor.

Esta página mostra como você pode ativar SSE um SNS tópico da Amazon no qual uma SQS fila criptografada da Amazon esteja inscrita, usando o. AWS Management Console

Etapa 1: criar uma KMS chave personalizada

  1. Faça login no console do AWS KMS com um usuário que tenha pelo menos a política AWSKeyManagementServicePowerUser.

  2. Escolha Create a key (Criar uma chave).

  3. Para criar uma KMS chave de criptografia simétrica, em Tipo de chave, escolha Simétrica.

    Para obter informações sobre como criar uma KMS chave assimétrica no AWS KMS console, consulte Criação de KMS chaves assimétricas (console).

  4. Em Key usage (Uso da chave), a opção Encrypt and decrypt (Criptografar e descriptografar) é selecionada para você.

    Para obter informações sobre como criar KMS chaves que geram e verificam MAC códigos, consulte Criação de HMAC KMS chaves.

    Para obter mais informações sobre as opções avançadas, consulte Chaves para fins especiais.

  5. Escolha Próximo.

  6. Digite um alias para a KMS chave. O nome do alias não pode começar com aws/. O aws/ prefixo é reservado pela Amazon Web Services para representar Chaves gerenciadas pela AWS em sua conta.

    nota

    Adicionar, excluir ou atualizar um alias pode permitir ou negar a permissão para a KMS chave. Para obter detalhes, consulte ABACPara AWS KMS e Usando aliases para controlar o acesso às KMS chaves.

    Um alias é um nome de exibição que você pode usar para identificar a KMS chave. Recomendamos que você escolha um alias que indique o tipo de dados que você planeja proteger ou o aplicativo que planeja usar com a KMS chave.

    Os aliases são necessários quando você cria uma KMS chave no AWS Management Console. Eles são opcionais quando você usa a CreateKeyoperação.

  7. (Opcional) Digite uma descrição para a KMS chave.

    Você pode adicionar uma descrição agora ou atualizá-la a qualquer momento, a não ser que o estado da chave seja Pending Deletion ou Pending Replica Deletion. Para adicionar, alterar ou excluir a descrição de uma chave gerenciada pelo cliente existente, edite a descrição na operação AWS Management Console ou use a UpdateKeyDescriptionoperação.

  8. (Opcional) Digite uma chave de tag e um valor de tag opcional. Para adicionar mais de uma tag à KMS chave, escolha Adicionar tag.

    nota

    Marcar ou desmarcar uma KMS chave pode permitir ou negar a permissão para a chave. KMS Para obter detalhes, consulte ABACPara AWS KMS e Usando tags para controlar o acesso às KMS chaves.

    Quando você adiciona tags aos seus AWS recursos, AWS gera um relatório de alocação de custos com uso e custos agregados por tags. As tags também podem ser usadas para controlar o acesso a uma KMS chave. Para obter informações sobre como marcar KMS chaves, consulte Como marcar chaves e ABAC para. AWS KMS

  9. Escolha Próximo.

  10. Selecione os IAM usuários e funções que podem administrar a KMS chave.

    nota

    Essa política de chaves dá o controle Conta da AWS total dessa KMS chave. Ele permite que os administradores da conta usem IAM políticas para dar permissão a outros diretores para gerenciar a KMS chave. Para obter mais detalhes, consulte Política de chaves padrão.

     

    IAMas melhores práticas desencorajam o uso de IAM usuários com credenciais de longo prazo. Sempre que possível, use IAM funções que forneçam credenciais temporárias. Para obter detalhes, consulte as melhores práticas de segurança IAM no Guia IAM do usuário.

  11. (Opcional) Para impedir que os IAM usuários e funções selecionados excluam essa KMS chave, na seção Exclusão de chave na parte inferior da página, desmarque a caixa de seleção Permitir que administradores de chaves excluam essa chave.

  12. Escolha Próximo.

  13. Selecione os IAM usuários e as funções que podem usar a chave em operações criptográficas. Escolha Próximo.

  14. Na página Review and edit key policy (Revisar e editar política de chaves), adicione a seguinte instrução à política de chaves e, em seguida, escolha Finish (Concluir).

    {
    "Sid": "Allow Amazon SNS to use this key",
    "Effect": "Allow",
    "Principal": {
        "Service": "sns.amazonaws.com"
    },
    "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey*"
    ],
    "Resource": "*"
}

Sua nova chave gerenciada pelo cliente será exibida na lista de chaves.

Mostrar maisMostrar menos

Etapa 2: criar um SNS tópico criptografado da Amazon

  1. Faça login no SNSconsole da Amazon.

  2. No painel de navegação, escolha Topics (Tópicos).

  3. Escolha Criar tópico.

  4. Na página Create new topic (Criar novo tópico), em Name (Nome), digite um nome para o tópico (por exemplo, MyEncryptedTopic) e escolha Create topic (Criar tópico).

  5. Expanda a seção Criptografia e faça o seguinte:

    1. Escolha Enable server-side encryption (Habilitar criptografia no lado do servidor).

    2. Especifique a chave gerenciada pelo cliente. Para obter mais informações, consulte Principais termos.

      Para cada tipo de chave gerenciada pelo cliente, a Descrição, a Conta e a chave gerenciada pelo cliente ARNsão exibidas.

      Importante

      Se você não for o proprietário da chave gerenciada pelo cliente ou se fizer login com uma conta que não tenha as kms:DescribeKey permissões kms:ListAliases e, não poderá visualizar as informações sobre a chave gerenciada pelo cliente no SNS console da Amazon.

      Peça ao proprietário da chave gerenciada pelo cliente para conceder essas permissões a você. Para obter mais informações, consulte a Referência de AWS KMS API permissões: ações e recursos no Guia do AWS Key Management Service desenvolvedor.

    3. Para a chave gerenciada pelo cliente, escolha a MyCustomKeyque você criou anteriormente e, em seguida, escolha Ativar criptografia do lado do servidor.

  6. Escolha Salvar alterações.

    SSEestá habilitado para o seu tópico e a MyTopicpágina é exibida.

    O status da criptografia, a AWS conta, a chave gerenciada pelo cliente, a chave ARNgerenciada pelo cliente e a descrição do tópico são exibidos na guia Criptografia.

Seu novo tópico criptografado será exibido na lista de tópicos.

Etapa 3: criar e assinar SQS filas criptografadas da Amazon

  1. Faça login no SQSconsole da Amazon.

  2. Selecione Create New Queue (Criar nova fila).

  3. Na página Create New Queue (Criar nova fila), faça o seguinte:

    1. Insira um Queue Name (Nome da fila) (por exemplo, MyEncryptedQueue1).

    2. Escolha Standard Queue (Fila padrão) e, em seguida, escolha Configure Queue (Configurar fila).

    3. Escolha Usar SSE.

    4. Para AWS KMS key, escolha MyCustomKeyo que você criou anteriormente e, em seguida, escolha Criar fila.

  4. Repita o processo para criar uma segunda fila (por exemplo, chamada MyEncryptedQueue2).

    Suas novas filas criptografadas serão exibidas na lista de filas.

  5. No SQS console da Amazon, escolha MyEncryptedQueue1 MyEncryptedQueue2 e, em seguida, escolha Queue Actions, Subscribe Queues to SNS Topic.

  6. Na caixa de diálogo Inscrever-se em um tópico, em Escolher um tópico MyEncryptedTopic, selecione e, em seguida, escolha Inscrever-se.

    Suas inscrições das filas criptografadas para o seu tópico criptografado são exibidas na caixa de diálogo Topic Subscription Result (Resultado de inscrição do tópico).

  7. Escolha OK.

Etapa 4: como publicar uma mensagem no seu tópico criptografado

  1. Faça login no SNSconsole da Amazon.

  2. No painel de navegação, escolha Topics (Tópicos).

  3. Na lista de tópicos, escolha MyEncryptedTopice, em seguida, escolha Publicar mensagem.

  4. Na página Publish a message (Publicar uma mensagem), faça o seguinte:

    1. (Opcional) Na seção Message details (Detalhes da mensagem), insira o Subject (Assunto) (por exemplo, Testing message publishing).

    2. Na seção Message body (Corpo da mensagem), insira o corpo da mensagem (por exemplo, My message body is encrypted at rest.).

    3. Selecione Publish message (Publicar mensagem).

Sua mensagem será publicada nas suas filas criptografadas inscritas.

Etapa 5: como verificar entrega de mensagens

  1. Faça login no SQSconsole da Amazon.

  2. Na lista de filas, escolha MyEncryptedQueue1 e, em seguida, escolha Enviar e receber mensagens.

  3. Na página Enviar e receber mensagens em MyEncryptedQueue 1, escolha Sondagem de mensagens.

    A mensagem que você enviou anteriormente será exibida.

  4. Escolha More Details (Mais detalhes) para visualizar sua mensagem.

  5. Quando terminar, escolha Close (Fechar).

  6. Repita o processo para MyEncryptedQueue2.