本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon Simple Queue Service(Amazon SQS)
要将 Amazon SQS 与 PHI 配合使用,客户应了解以下密钥加密要求。
-
通过查询请求与 Amazon SQS 队列的通信必须使用 HTTPS 进行加密。有关发出 SQS 请求的更多信息,请参阅发出查询 API 请求。
-
Amazon SQS 支持与集成的服务器端加密, AWS KMS 以保护静态数据。服务器端加密的增加使客户能够传输和接收敏感数据,同时使用加密队列可以提高安全性。Amazon SQS 服务器端加密使用 256 位高级加密标准(AES-256 GCM 算法)对每条消息的正文进行加密。与的集成 AWS KMS 允许客户集中管理保护 Amazon SQS 消息的密钥以及保护其其他 AWS 资源的密钥。 AWS KMS 记录加密密钥的每一次使用情况 AWS CloudTrail ,以帮助满足监管和合规需求。如需了解更多信息,以及要查看区域以了解适用于 Amazon SQS 的 SSE 的可用性,请参阅静态加密。
-
如果不使用服务器端加密,则必须先对消息负载本身进行加密,然后才能发送到 SQS。加密消息负载的一种方法是使用 Amazon SQS 扩展客户端和 Amazon S3 加密客户端。有关使用客户端加密的更多信息,请参阅使用 Amazon SQS 扩展客户端和 Amazon S3 加密客户端加密消息负载
。
Amazon SQS 使用一项服务 CloudTrail,用于记录客户账户中由亚马逊 SQS 或代表其进行的 API 调用,并将日志文件传输到指定 AWS 的 Amazon S3 存储桶。 CloudTrail 捕获从亚马逊 SQS 控制台或亚马逊 SQS API 发出的 API 调用。客户可以使用收集的信息 CloudTrail 来确定向 Amazon SQS 提出了哪些请求、发出请求的源 IP 地址、谁提出了请求、何时发出请求等。有关记录 SQS 操作的更多信息,请参阅使用记录 Amazon SQS API 调用。 AWS CloudTrail
