Amazon Simple Queue Service (Amazon SQS)

客戶應瞭解下列金鑰加密要求，才能搭配 PHI 使用 Amazon SQS。

• 透過查詢請求與 Amazon SQS 佇列的通訊必須使用 HTTPS 加密。如需提出 SQS 要求的詳細資訊，請參閱發出查詢 API 要求。

• Amazon SQS 支援與整合的伺服器端加密， AWS KMS 以保護靜態資料。新增伺服器端加密功能可讓客戶透過加密佇列的安全性提升，傳輸和接收敏感資料。Amazon SQS 伺服器端加密使用 256 位元進階加密標準 (AES-256 GCM 演算法) 來加密每則訊息的內文。與整合 AWS KMS 可讓客戶集中管理保護 Amazon SQS 訊息的金鑰，以及保護其他 AWS 資源的金鑰。 AWS KMS 記錄每次使用加密金鑰， AWS CloudTrail 以協助滿足法規和合規性需求。如需詳細資訊，並查看區域以瞭解適用於 Amazon SQS SSE 的可用性，請參閱靜態加密。

• 如果未使用伺服器端加密，則必須先加密訊息承載本身，才能傳送至 SQS。加密訊息承載的一種方法是使用 Amazon SQS 擴充用戶端以及 Amazon S3 加密用戶端。如需使用用戶端加密的詳細資訊，請參閱使用 Amazon SQS 擴充用戶端和 Amazon S3 加密用戶端加密訊息承載。

Amazon SQS 使用這項服務 CloudTrail，可記錄客戶 AWS 帳戶中 Amazon SQS 所發出或代表 Amazon SQS 發出的 API 呼叫，並將日誌檔傳送到指定的 Amazon S3 儲存貯體。 CloudTrail 擷取從 Amazon SQS 主控台或 Amazon SQS API 進行的 API 呼叫。客戶可以使用收集 CloudTrail 到的資訊來判斷向 Amazon SQS 發出哪些請求、發出請求的來源 IP 地址、提出請求的人員、提出請求的時間等。如需記錄 SQS 作業的詳細資訊，請參閱使用記錄 Amazon SQS API 呼叫。 AWS CloudTrail