Amazon Simple Queue Service (Amazon SQS) - Arquitetando para Segurança HIPAA e Conformidade no Amazon Web Services

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Amazon Simple Queue Service (Amazon SQS)

Os clientes devem compreender os seguintes requisitos de criptografia chave para usar o Amazon SQS com PHI.

  • A comunicação com a fila do Amazon SQS por meio da solicitação de consulta deve ser criptografada com HTTPS. Para obter mais informações sobre como fazer solicitações de SQS, consulte Como fazer solicitações da API Query.

  • O Amazon SQS oferece suporte à criptografia do lado do servidor integrada ao AWS KMS para proteger dados em repouso. A adição da criptografia do lado do servidor permite que os clientes transmitam e recebam dados confidenciais com a maior segurança do uso de filas criptografadas. A criptografia do lado do servidor do Amazon SQS usa o Advanced Encryption Standard de 256 bits (algoritmo AES-256 GCM) para criptografar o corpo de cada mensagem. A integração com AWS KMS permite que os clientes gerenciem centralmente as chaves que protegem as mensagens do Amazon SQS junto com as chaves que protegem seus AWS outros recursos. AWS KMS registra cada uso de chaves de criptografia AWS CloudTrail para ajudar a atender às necessidades regulatórias e de conformidade. Para obter mais informações e verificar a disponibilidade do SSE na região para o Amazon SQS, consulte Encryption at Rest.

  • Se a criptografia do lado do servidor não for usada, a carga útil da mensagem em si deverá ser criptografada antes de ser enviada ao SQS. Uma forma de criptografar a carga útil da mensagem é usando o Amazon SQS Extended Client junto com o cliente de criptografia Amazon S3. Para obter mais informações sobre o uso da criptografia do lado do cliente, consulte Criptografando cargas de mensagens usando o Amazon SQS Extended Client e o Amazon S3 Encryption Client.

O Amazon SQS usa CloudTrail um serviço que registra chamadas de API feitas por ou em nome do Amazon SQS na conta de um cliente e entrega os arquivos AWS de log ao bucket especificado do Amazon S3. CloudTrail captura chamadas de API feitas a partir do console do Amazon SQS ou da API do Amazon SQS. Os clientes podem usar as informações coletadas pelo CloudTrail para determinar quais solicitações são feitas ao Amazon SQS, o endereço IP de origem a partir do qual a solicitação é feita, quem fez a solicitação, quando ela é feita e assim por diante. Para obter mais informações sobre o registro de operações do SQS, consulte Registro de chamadas de API do Amazon SQS usando. AWS CloudTrail