Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Datenschutz in Amazon SQS
<a name="data-protection"></a>

Das AWS [Modell](https://aws.amazon.com/compliance/shared-responsibility-model/) der gilt für den Datenschutz in Amazon Simple Queue Service. Wie in diesem Modell beschrieben, AWS ist verantwortlich für den Schutz der globalen Infrastruktur, auf der alle Systeme laufen AWS Cloud. Sie sind dafür verantwortlich, die Kontrolle über Ihre in dieser Infrastruktur gehosteten Inhalte zu behalten. Sie sind auch für die Sicherheitskonfiguration und die Verwaltungsaufgaben für die von Ihnen verwendeten AWS-Services verantwortlich. Weitere Informationen zum Datenschutz finden Sie unter [Häufig gestellte Fragen zum Datenschutz](https://aws.amazon.com/compliance/data-privacy-faq/). Informationen zum Datenschutz in Europa finden Sie im Blog-Beitrag [AWS -Modell der geteilten Verantwortung und in der DSGVO](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) im *AWS -Sicherheitsblog*.

Aus Datenschutzgründen empfehlen wir, dass Sie AWS-Konto Anmeldeinformationen schützen und einzelne Benutzer mit AWS IAM Identity Center oder AWS Identity and Access Management (IAM) einrichten. So erhält jeder Benutzer nur die Berechtigungen, die zum Durchführen seiner Aufgaben erforderlich sind. Außerdem empfehlen wir, die Daten mit folgenden Methoden schützen:
+ Verwenden Sie für jedes Konto die Multi-Faktor-Authentifizierung (MFA).
+ Wird verwendet SSL/TLS , um mit AWS Ressourcen zu kommunizieren. Wir benötigen TLS 1.2 und empfehlen TLS 1.3.
+ Richten Sie die API und die Protokollierung von Benutzeraktivitäten mit ein AWS CloudTrail. Informationen zur Verwendung von CloudTrail Pfaden zur Erfassung von AWS Aktivitäten finden Sie unter [Arbeiten mit CloudTrail Pfaden](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) im *AWS CloudTrail Benutzerhandbuch*.
+ Verwenden Sie AWS Verschlüsselungslösungen zusammen mit allen darin enthaltenen Standardsicherheitskontrollen AWS-Services.
+ Verwenden Sie erweiterte verwaltete Sicherheitsservices wie Amazon Macie, die dabei helfen, in Amazon S3 gespeicherte persönliche Daten zu erkennen und zu schützen.
+ Wenn Sie für den Zugriff AWS über eine Befehlszeilenschnittstelle oder eine API FIPS 140-3-validierte kryptografische Module benötigen, verwenden Sie einen FIPS-Endpunkt. Weitere Informationen über verfügbare FIPS-Endpunkte finden Sie unter [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).

Wir empfehlen dringend, in Freitextfeldern, z. B. im Feld **Name**, keine vertraulichen oder sensiblen Informationen wie die E-Mail-Adressen Ihrer Kunden einzugeben. Dies gilt auch, wenn Sie mit Amazon SQS oder anderen AWS-Services über die Konsole AWS CLI, API oder AWS SDKs arbeiten. Alle Daten, die Sie in Tags oder Freitextfelder eingeben, die für Namen verwendet werden, können für Abrechnungs- oder Diagnoseprotokolle verwendet werden. Wenn Sie eine URL für einen externen Server bereitstellen, empfehlen wir dringend, keine Anmeldeinformationen zur Validierung Ihrer Anforderung an den betreffenden Server in die URL einzuschließen.

Die folgenden Abschnitte enthalten Informationen zum Datenschutz in Amazon SQS.

# Datenverschlüsselung in Amazon SQS
<a name="sqs-data-encryption"></a>

Datenschutz bezieht sich auf Daten in Übertragung (wenn sie zu Amazon SQS oder von diesem geschickt werden), ebenso wie auf ruhende Daten (die in Amazon-SQS-Rechenzentren auf Datenträgern gespeichert sind). Sie können Daten mithilfe von Secure Sockets Layer (SSL) oder einer clientseitigen Verschlüsselung während der Übertragung schützen. Standardmäßig speichert Amazon SQS Nachrichten und Dateien mit Festplattenverschlüsselung. Sie können Daten im Ruhezustand schützen, indem Sie Amazon SQS auffordern, Ihre Nachrichten zu verschlüsseln, bevor Sie sie im verschlüsselten Dateisystem in seinen Rechenzentren speichern. Amazon SQS empfiehlt die Verwendung von SSE für eine optimierte Datenverschlüsselung.

**Topics**
+ [Verschlüsselung im Ruhezustand](sqs-server-side-encryption.md)
+ [Schlüsselverwaltung](sqs-key-management.md)

# Verschlüsselung im Ruhezustand in Amazon SQS
<a name="sqs-server-side-encryption"></a>

Mit der serverseitigen Verschlüsselung (SSE) können Sie vertrauliche Daten in verschlüsselten Warteschlangen übermitteln. SSE schützt den Inhalt von Nachrichten in Warteschlangen mithilfe von SQS-verwalteten Verschlüsselungsschlüsseln (SSE-SQS) oder Schlüsseln, die im (SSE-KMS) verwaltet werden. AWS Key Management Service Informationen zur Verwaltung von SSE mithilfe von finden Sie im Folgenden: AWS-Managementkonsole
+ [Konfigurieren von SSE-SQS für eine Warteschlange (Konsole)](sqs-configure-sqs-sse-queue.md)
+ [Konfigurieren von SSE-KMS für eine Warteschlange (Konsole)](sqs-configure-sse-existing-queue.md)

 Informationen zur Verwaltung von SSE mithilfe der `[GetQueueAttributes](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_GetQueueAttributes.html)` Aktionen AWS SDK für Java (und `[CreateQueue](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_CreateQueue.html)``[SetQueueAttributes](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_SetQueueAttributes.html)`, und) finden Sie in den folgenden Beispielen:
+ [Serverseitige Verschlüsselung mit Amazon SQS SQS-Warteschlangen verwenden](sqs-java-configure-sse.md)
+ [Konfiguration von KMS-Berechtigungen für AWS-Services](sqs-key-management.md#compatibility-with-aws-services)

[![AWS Videos](http://img.youtube.com/vi/https://www.youtube.com/embed/Mw1NVpJsOZc?rel=0&amp;controls=0&amp;showinfo=0/0.jpg)](http://www.youtube.com/watch?v=https://www.youtube.com/embed/Mw1NVpJsOZc?rel=0&amp;controls=0&amp;showinfo=0)


SSE verschlüsselt Nachrichten, sobald sie bei Amazon SQS eingehen. Die Nachrichten werden verschlüsselt gespeichert. Amazon SQS entschlüsselt Nachrichten nur, wenn sie an einen autorisierten Konsumenten gesendet werden.

**Wichtig**  
Alle Anfragen zu Warteschlangen mit aktiviertem SSE müssen HTTPS und [Signature Version 4](https://docs.aws.amazon.com/general/latest/gr/signature-version-4.html) verwenden.  
Eine [verschlüsselte Warteschlange](#sqs-server-side-encryption), die den Standardschlüssel (AWS verwalteter KMS-Schlüssel für Amazon SQS) verwendet, kann keine Lambda-Funktion in einer anderen aufrufen. AWS-Konto  
Einige Funktionen von AWS Diensten, die mithilfe der AWS -Security-Token-Service `[AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)` Aktion Benachrichtigungen an Amazon SQS senden können, sind mit SSE kompatibel, funktionieren jedoch *nur mit Standardwarteschlangen*:  
[Auto Scaling Lifecycle Hooks](https://docs.aws.amazon.com/autoscaling/ec2/userguide/lifecycle-hooks.html)
[AWS Lambda Warteschlangen für unzustellbare Nachrichten](https://docs.aws.amazon.com/lambda/latest/dg/dlq.html)
Weitere Informationen zur Kompatibilität anderer Services mit verschlüsselten Warteschlangen finden Sie unter [Konfigurieren Sie KMS-Berechtigungen für Dienste AWS](sqs-key-management.md#compatibility-with-aws-services) und in Ihrer Service-Dokumentation.

AWS KMS kombiniert sichere, hochverfügbare Hardware und Software zu einem für die Cloud skalierten Schlüsselverwaltungssystem. Wenn Sie Amazon SQS mit verwenden AWS KMS, werden die [Datenschlüssel](#sqs-sse-key-terms), die Ihre Nachrichtendaten verschlüsseln, ebenfalls verschlüsselt und zusammen mit den Daten gespeichert, die sie schützen.

Vorteile von AWS KMS:
+ Sie können [AWS KMS keys](#sqs-sse-key-terms) selbst erstellen und verwalten.
+ Sie können auch den AWS verwalteten KMS-Schlüssel für Amazon SQS verwenden, der für jedes Konto und jede Region einzigartig ist.
+ Die AWS KMS Sicherheitsstandards können Ihnen dabei helfen, die Compliance-Anforderungen im Zusammenhang mit der Verschlüsselung zu erfüllen.

Weitere Informationen finden Sie unter [Was ist AWS Key Management Service?](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) im *AWS Key Management Service -Entwicklerhandbuch*.

## Verschlüsselungsumfang
<a name="sqs-encryption-what-does-sse-encrypt"></a>

SSE verschlüsselt den Nachrichtentext in einer Amazon-SQS-Warteschlange.

Folgendes wird von SSE nicht verschlüsselt:
+ Warteschlangen-Metadaten (Name und Attribute der Warteschlange)
+ Metadaten der Nachrichten (ID, Zeitstempel und Attribute)
+ Metriken pro Warteschlange

Durch die Verschlüsselung sind die Nachrichteninhalte für nicht autorisierte oder anonyme Benutzer nicht zugänglich. Wenn SSE aktiviert ist, werden anonyme `SendMessage`- und `ReceiveMessage`-Anfragen an die verschlüsselte Warteschlange abgewiesen. Die bewährten Sicherheitsmethoden von Amazon SQS raten davon ab, anonyme Anfragen zu verwenden. Wenn Sie anonyme Anfragen an eine Amazon-SQS-Warteschlange senden möchten, stellen Sie sicher, dass Sie SSE deaktivieren. Dies wirkt sich nicht auf die normale Funktion von Amazon SQS aus:
+ Eine Nachricht ist nur dann verschlüsselt, wenn sie gesendet wurde, nachdem die Verschlüsselung einer Warteschlange aktiviert wurde. Amazon SQS verschlüsselt keine Nachrichten, die sich bereits in der Queue befinden.
+ Verschlüsselte Nachrichten bleiben auch dann verschlüsselt, wenn die Verschlüsselung der Warteschlange deaktiviert wird.

Das Verschieben einer Nachricht in eine [Warteschlange für unzustellbare Nachrichten](sqs-dead-letter-queues.md) wirkt sich nicht auf ihre Verschlüsselung aus:
+ Wenn Amazon SQS eine Nachricht aus einer verschlüsselten Quellwarteschlange in eine unverschlüsselte Warteschlange für unzustellbare Nachrichten verschiebt, bleibt die Nachricht verschlüsselt.
+ Wenn Amazon SQS eine Nachricht aus einer unverschlüsselten Quellwarteschlange in eine verschlüsselte Warteschlange für unzustellbare Nachrichten verschiebt, bleibt die Nachricht unverschlüsselt.

## Wichtige Begriffe
<a name="sqs-sse-key-terms"></a>

Die folgenden wichtigen Begriffe vermitteln Ihnen ein besseres Verständnis für die Funktionalität von SSE. Detaillierte Beschreibungen finden Sie in der *[Amazon-Simple-Queue-Service-API-Referenz](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/)*.

**Datenschlüssel**  
Der Schlüssel (DEK), der dafür zuständig ist, den Inhalt von Amazon-SQS-Nachrichten zu verschlüsseln.  
Weitere Informationen finden Sie unter [Datenschlüssel](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#data-keys) im *AWS Key Management Service -Entwicklerhandbuch* im *AWS Encryption SDK -Entwicklerhandbuch*.

**Data key reuse period (Wiederverwendungszeitraum für den Datenschlüssel)**  
Die Zeitspanne in Sekunden, für die Amazon SQS einen Datenschlüssel wiederverwenden kann, um Nachrichten zu verschlüsseln oder zu entschlüsseln, bevor ein erneuter Anruf erfolgt. AWS KMS Eine Ganzzahl stellt Sekunden dar, und zwar zwischen 60 Sekunden (1 Minute) und 86 400 Sekunden (24 Stunden). Der Standardwert ist 300 (5 Minuten). Weitere Informationen finden Sie unter [Grundlegendes zum Wiederverwendungszeitraum für den Datenschlüssel](sqs-key-management.md#sqs-how-does-the-data-key-reuse-period-work).  
In dem unwahrscheinlichen Fall, dass keine Verbindung hergestellt werden kann AWS KMS, verwendet Amazon SQS weiterhin den zwischengespeicherten Datenschlüssel, bis eine Verbindung wiederhergestellt ist.

**KMS-Schlüssel-ID**  
Der Alias, Alias-ARN, die Schlüssel-ID oder der Schlüssel-ARN eines AWS verwalteten KMS-Schlüssels oder eines benutzerdefinierten KMS-Schlüssels — in Ihrem Konto oder in einem anderen Konto. Während der Alias des AWS verwalteten KMS-Schlüssels für Amazon SQS immer ist`alias/aws/sqs`, kann der Alias eines benutzerdefinierten KMS-Schlüssels beispielsweise sein`alias/MyAlias`. Sie können diese KMS-Schlüssel zum Schutz der Nachrichten in Amazon-SQS-Warteschlangen verwenden.   
Beachten Sie Folgendes:  
+ Wenn Sie keinen benutzerdefinierten KMS-Schlüssel angeben, verwendet Amazon SQS den AWS verwalteten KMS-Schlüssel für Amazon SQS.
+ Wenn Sie AWS-Managementkonsole zum ersten Mal den AWS verwalteten KMS-Schlüssel für Amazon SQS für eine Warteschlange angeben, AWS KMS wird der AWS verwaltete KMS-Schlüssel für Amazon SQS erstellt.
+ Alternativ können Sie, wenn Sie die `SendMessageBatch` Aktion `SendMessage` oder zum ersten Mal in einer Warteschlange mit aktivierter SSE verwenden, der AWS verwaltete KMS-Schlüssel für Amazon SQS AWS KMS erstellt.
Sie können KMS-Schlüssel erstellen, die Richtlinien definieren, die steuern, wie KMS-Schlüssel verwendet werden können, und die Verwendung von KMS-Schlüsseln mithilfe des Abschnitts „**Vom Kunden verwaltete Schlüssel**“ der AWS KMS Konsole oder der `[CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)` AWS KMS Aktion überprüfen. Weitere Informationen zum Erstellen von [KMS-Schlüsseln](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#master_keys) finden Sie unter [Erstellen von Schlüsseln](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) im *AWS Key Management Service -Entwicklerhandbuch*. Weitere Beispiele für KMS-Schlüsselkennungen finden Sie [KeyId](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html#API_DescribeKey_RequestParameters)in der *AWS Key Management Service API-Referenz.* Weitere Informationen zum Suchen von KMS-Schlüssel-IDs finden Sie unter [Suchen der Schlüssel-ID und des ARNs](https://docs.aws.amazon.com/kms/latest/developerguide/viewing-keys.html#find-cmk-id-arn) im *AWS Key Management Service -Entwicklerhandbuch*.  
Für die Nutzung AWS KMS fallen zusätzliche Gebühren an. Weitere Informationen finden Sie unter [Schätzung der Kosten AWS KMS](sqs-key-management.md#sqs-estimate-kms-usage-costs) und [Preise zu AWS Key Management Service](https://aws.amazon.com/kms/pricing).

**Envelope-Verschlüsselung**  
Die Sicherheit Ihrer verschlüsselten Daten hängt teilweise vom Schutz des Datenschlüssels ab, der sie entschlüsseln kann. Amazon SQS verwendet den KMS-Schlüssel, um den Datenschlüssel zu verschlüsseln. Anschließend wird der verschlüsselte Datenschlüssel zusammen mit der verschlüsselten Nachricht gespeichert. Diese Vorgehensweise der Verwendung eines KMS-Schlüssels zum Verschlüsseln von Datenschlüsseln wird als Umschlagverschlüsselung bezeichnet.   
Weitere Informationen zur [Envelope-Verschlüsselung](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/how-it-works.html#envelope-encryption) finden im *AWS Encryption SDK Entwicklerhandbuch*.

# Amazon SQS Schlüsselverwaltung
<a name="sqs-key-management"></a>

Amazon SQS lässt sich in das AWS Key Management Service (KMS) integrieren, um [KMS-Schlüssel](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#master_keys) für serverseitige Verschlüsselung (SSE) zu verwalten. SSE-Informationen und Definitionen zur Schlüsselverwaltung finden Sie unter [Verschlüsselung im Ruhezustand in Amazon SQS](sqs-server-side-encryption.md). Amazon SQS verwendet KMS-Schlüssel, um die Datenschlüssel zu validieren und zu sichern, mit denen die Nachrichten ver- und entschlüsselt werden. Die folgenden Abschnitte enthalten Informationen über das Arbeiten mit KMS-Schlüsseln und Datenschlüsseln im Amazon-SQS-Service.

## Berechtigungen konfigurieren AWS KMS
<a name="sqs-what-permissions-for-sse"></a>

Jeder KMS-Schlüssel muss über eine Schlüsselrichtlinie verfügen. Beachten Sie, dass Sie die Schlüsselrichtlinie eines AWS verwalteten KMS-Schlüssels für Amazon SQS nicht ändern können. Die Richtlinie für diesen KMS-Schlüssel beinhaltet Berechtigungen für alle Prinzipale im Konto (die zur Verwendung von Amazon SQS berechtigt sind), verschlüsselte Warteschlangen zu verwenden. 

 Amazon SQS unterscheidet Anrufer anhand ihrer AWS Anmeldeinformationen, unabhängig davon, ob sie unterschiedliche AWS Konten, IAM-Benutzer oder IAM-Rollen verwenden. Darüber hinaus wird dieselbe IAM-Rolle mit unterschiedlichen Bereichsrichtlinien als separate Anforderer behandelt. Bei der Verwendung von IAM-Rollensitzungen werden jedoch keine unterschiedlichen Anforderer erstellt, wenn nur die Variation unter `RoleSessionName` Beibehaltung der gleichen IAM-Rollen- und Bereichsrichtlinien vorgenommen wird. Vermeiden Sie es daher, sich bei der Angabe AWS KMS wichtiger Richtlinienprinzipale ausschließlich auf `RoleSessionName` Unterschiede zu verlassen, da diese Sitzungen als derselbe Anforderer behandelt werden. 

Alternativ können Sie die erforderlichen Berechtigungen in einer IAM-Richtlinie angeben, die den Prinzipalen zugewiesen ist, die verschlüsselte Nachrichten produzieren und konsumieren. Weitere Informationen finden Sie unter [Verwenden von IAM-Richtlinien mit AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/iam-policies.html) im *AWS Key Management Service -Entwicklerhandbuch*.

**Anmerkung**  
Sie können zwar globale Berechtigungen für das Senden an und Empfangen von Amazon SQS konfigurieren, AWS KMS erfordert jedoch die ausdrückliche Benennung des vollständigen ARN der KMS-Schlüssel in bestimmten Regionen im `Resource` Abschnitt einer IAM-Richtlinie.

### Konfigurieren Sie KMS-Berechtigungen für Dienste AWS
<a name="compatibility-with-aws-services"></a>

Verschiedene AWS Dienste dienen als Ereignisquellen, die Ereignisse an Amazon SQS SQS-Warteschlangen senden können. Damit diese Ereignisquellen mit verschlüsselten Warteschlangen arbeiten können, müssen Sie einen vom Kunden verwalteten KMS-Schlüssel erstellen und der Schlüsselrichtlinie Berechtigungen hinzufügen, damit der Service die erforderlichen AWS KMS API-Methoden verwenden kann. Führen Sie zum Konfigurieren der Berechtigungen die folgenden Schritte durch.

**Warnung**  
Wenn Sie den KMS-Schlüssel für die Verschlüsselung Ihrer Amazon SQS SQS-Nachrichten ändern, beachten Sie, dass bestehende Nachrichten, die mit dem alten KMS-Schlüssel verschlüsselt wurden, mit diesem Schlüssel verschlüsselt bleiben. Um diese Nachrichten zu entschlüsseln, müssen Sie den alten KMS-Schlüssel beibehalten und sicherstellen, dass seine Schlüsselrichtlinie Amazon SQS die Berechtigungen für `kms:Decrypt` und gewährt. `kms:GenerateDataKey` Stellen Sie nach der Aktualisierung auf einen neuen KMS-Schlüssel zur Verschlüsselung neuer Nachrichten sicher, dass alle vorhandenen Nachrichten, die mit dem alten KMS-Schlüssel verschlüsselt wurden, verarbeitet und aus der Warteschlange entfernt werden, bevor Sie den alten KMS-Schlüssel löschen oder deaktivieren.

1. Erstellen Sie einen vom Kunden verwalteten KMS-Schlüssel. Weitere Informationen finden Sie unter [Erstellen von Schlüsseln](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) im *AWS Key Management Service -Entwicklerhandbuch*.

1. Damit die AWS Dienstereignisquelle die Methoden `kms:Decrypt` und `kms:GenerateDataKey` API verwenden kann, fügen Sie der KMS-Schlüsselrichtlinie die folgende Anweisung hinzu.

------
#### [ JSON ]

****  

   ```
   {
      "Version":"2012-10-17",		 	 	 
         "Statement": [{
            "Effect": "Allow",
            "Principal": {
               "Service": "service.amazonaws.com"
            },
            "Action": [
               "kms:Decrypt",
               "kms:GenerateDataKey"
            ],
            "Resource": "*"
          }]
   }
   ```

------

   Ersetzen Sie „service“ im obigen Beispiel durch den *Servicenamen* der Ereignisquelle. Zu den Ereignisquellen gehören die folgenden Services.    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-key-management.html)

1.  [Konfigurieren Sie eine vorhandene SSE-Warteschlange](sqs-configure-sse-existing-queue.md) mit dem ARN Ihres KMS-Schlüssels.

1. Stellen Sie der verschlüsselten Warteschlange den ARN der Ereignisquelle zur Verfügung.

### AWS KMS Berechtigungen für Produzenten konfigurieren
<a name="send-to-encrypted-queue"></a>

Wenn der [Zeitraum für die Wiederverwendung des Datenschlüssels](#sqs-how-does-the-data-key-reuse-period-work) abgelaufen ist, löst der nächste Aufruf des Produzenten von `SendMessage` oder `SendMessageBatch` auch Aufrufe von `kms:Decrypt` und `kms:GenerateDataKey` aus. Der Aufruf von `kms:Decrypt` dient dazu, die Integrität des neuen Datenschlüssels vor dessen Verwendung zu überprüfen. Daher muss der Produzent über die Berechtigungen `kms:Decrypt` und `kms:GenerateDataKey` für den KMS-Schlüssel verfügen. 

Fügen Sie der IAM-Richtlinie des Produzenten die folgende Anweisung hinzu. Denken Sie daran, die richtigen ARN-Werte für die Schlüsselressource und die Warteschlangenressource zu verwenden.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": "arn:aws:kms:us-east-2:123456789012:key/111112222233333"
        },
        {
            "Effect": "Allow",
            "Action": [
                "sqs:SendMessage"
            ],
            "Resource": "arn:aws:sqs:*:123456789012:MyQueue"
        }
    ]
}
```

------

### Konfigurieren Sie AWS KMS Berechtigungen für Verbraucher
<a name="receive-from-encrypted-queue"></a>

Wenn der Zeitraum für die Wiederverwendung des Datenschlüssels abläuft, löst der nächste Aufruf des Konsumenten von `ReceiveMessage` ebenfalls einen Auruf von `kms:Decrypt` aus, um die Integrität des neuen Datenschlüssels vor dessen Verwendung zu überprüfen. Deshalb muss der Konsument über die Berechtigung `kms:Decrypt` für alle KMS-Schlüssel verfügen, die für die Verschlüsselung von Nachrichten in der angegebenen Warteschlange verwendet werden. Wenn es sich bei der Warteschlange um eine [Warteschlange für unzustellbare Nachrichten](sqs-dead-letter-queues.md) handelt, muss der Konsument zusätzlich die Berechtigung `kms:Decrypt` für jeden KMS-Schlüssel haben, mit dem die Nachrichten in der Quellwarteschlange verschlüsselt werden. Fügen Sie der IAM-Richtlinie des Konsumenten die folgende Anweisung hinzu. Denken Sie daran, die richtigen ARN-Werte für die Schlüsselressource und die Warteschlangenressource zu verwenden.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt"
            ],
            "Resource": "arn:aws:kms:us-east-2:123456789012:key/111112222233333"
        },
        {
            "Effect": "Allow",
            "Action": [
                "sqs:ReceiveMessage"
            ],
            "Resource": "arn:aws:sqs:*:123456789012:MyQueue"
        }
    ]
}
```

------

### Konfigurieren Sie AWS KMS Berechtigungen mit dem Schutz vor verwirrten Stellvertretern
<a name="sqs-adding-confused-deputy-protection"></a>

Wenn der Prinzipal in einer Schlüsselrichtlinie ein [AWS -Service-Prinzipal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html#principal-services) ist, können Sie die globalen Zustandsschlüssel [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) oder [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) zum Schutz vor dem [Confused Deputy Scenario](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html) verwenden. Um diese globalen Bedingungsschlüssel zu verwenden, legen Sie den Wert auf den Amazon-Ressourcennamen (ARN) oder das Konto der Ressource fest, die verschlüsselt wird. Wenn Sie den ARN der Ressource nicht kennen, verwenden Sie stattdessen `aws:SourceAccount`. 

In dieser KMS-Schlüsselrichtlinie darf eine bestimmte Ressource aus einem *Service*, der dem Konto `111122223333` gehört, KMS für die Aktionen `Decrypt` und `GenerateDataKey` Aktionen aufrufen, die während der SSE-Nutzung von Amazon SQS auftreten.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "sqs.amazonaws.com"
            },
            "Action": [
                "kms:GenerateDataKey",
                "kms:Decrypt"
            ],
            "Resource": "*",
            "Condition": {
                "ArnEquals": {
                    "aws:SourceArn": [
                        "arn:aws:sqs:us-west-1:111122223333:resource"
                    ]
                }
            }
        }
    ]
}
```

------

Bei Verwendung von SSE-fähigen Amazon-SQS-Warteschlangen unterstützen die folgenden Services `aws:SourceArn`:
+ Amazon SNS
+ Amazon S3
+ CloudWatch Events
+ AWS Lambda
+ CodeBuild
+ Amazon Connect Customer Profiles
+ AWS Auto Scaling
+ Amazon Chime

## Grundlegendes zum Wiederverwendungszeitraum für den Datenschlüssel
<a name="sqs-how-does-the-data-key-reuse-period-work"></a>

Der [Zeitraum für die Wiederverwendung des Datenschlüssels](sqs-server-side-encryption.md#sqs-sse-key-terms) definiert die maximale Dauer für Amazon SQS zur Wiederverwendung desselben Datenschlüssels. Endet der Zeitraum der Datenschlüssel-Wiederverwendung, generiert Amazon SQS einen neuen Datenschlüssel. Beachten Sie die folgenden Richtlinien zum Wiederverwendungszeitraum.
+ Ein kürzerer Wiederverwendungszeitraum bietet mehr Sicherheit, führt jedoch zu mehr Anrufen AWS KMS, wodurch Gebühren anfallen können, die über das kostenlose Kontingent hinausgehen.
+ Obwohl der Datenschlüssel für die Verschlüsselung und Entschlüsselung separat zwischengespeichert wird, gilt der Wiederverwendungszeitraum für beide Kopien des Datenschlüssels.
+ Wenn der Zeitraum für die Wiederverwendung von Datenschlüsseln endet, löst der nächste Aufruf von `SendMessage` oder `SendMessageBatch` in der Regel einen Aufruf der AWS KMS `GenerateDataKey` Methode aus, um einen neuen Datenschlüssel abzurufen. Außerdem lösen die nächsten Aufrufe jeweils einen Aufruf von aus, AWS KMS `Decrypt` um die Integrität des Datenschlüssels zu überprüfen, bevor er verwendet wird. `SendMessage` `ReceiveMessage`
+ [Prinzipale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#Principal) (AWS-Konten oder Benutzer) verwenden keine gemeinsamen Datenschlüssel (Nachrichten, die von eindeutigen Prinzipalen gesendet werden, erhalten immer eindeutige Datenschlüssel). Daher entspricht die Anzahl der Anrufe an AWS KMS ein Vielfaches der Anzahl der eindeutigen Prinzipale, die während der Wiederverwendung von Datenschlüsseln verwendet wurden.

## Schätzung der Kosten AWS KMS
<a name="sqs-estimate-kms-usage-costs"></a>

Um Kosten vorherzusagen und Ihre AWS Rechnung besser zu verstehen, möchten Sie vielleicht wissen, wie oft Amazon SQS Ihren KMS-Schlüssel verwendet.

**Anmerkung**  
Mit der nachstehenden Formel erhalten Sie eine gute Vorstellung davon, welche Kosten auf Sie zukommen. Allerdings können die tatsächlichen Kosten aufgrund der verteilten Struktur von Amazon SQS höher liegen.

Zur Berechnung der Anzahl der API-Anfragen (`R`) *pro Warteschlange* verwenden Sie folgende Formel:

```
R = (B / D) * (2 * P + C)
```

`B` ist der Abrechnungszeitraum (in Sekunden).

`D` ist der [Zeitraum für die Wiederverwendung des Datenschlüssels](sqs-server-side-encryption.md#sqs-sse-key-terms) (in Sekunden).

`P` ist die Anzahl der produzierenden [Prinzipale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#Principal), die Nachrichten an die Amazon-SQS-Warteschlange senden.

`C` ist die Anzahl der konsumierenden Prinzipale, die Nachrichten aus der Amazon-SQS-Warteschlange erhalten.

**Wichtig**  
Für produzierende Prinzipale entstehen in der Regel doppelt so hohe Kosten wie für konsumierende Prinzipale. Weitere Informationen finden Sie unter [Grundlegendes zum Wiederverwendungszeitraum für den Datenschlüssel](#sqs-how-does-the-data-key-reuse-period-work).  
Die Kosten erhöhen sich, wenn der Produzent und der Verbraucher unterschiedliche -Benutzer haben.

Es folgen Beispielberechnungen: Preisinformationen finden Sie unter [AWS Key Management Service -Preise](https://aws.amazon.com/kms/pricing/).

### Beispiel 1: Berechnung der Anzahl der AWS KMS API-Aufrufe für 2 Principals und 1 Warteschlange
<a name="example-1-queue-2-principals"></a>

In diesem Beispiel wird Folgendes angenommen:
+ Der Abrechnungszeitraum ist 1. bis 31. Januar (2 678 400 Sekunden).
+ Der Wiederverwendungszeitraum für den Datenschlüssel ist auf 5 Minuten (300 Sekunden) eingestellt.
+ Es ist 1 Warteschlange vorhanden.
+ Es gibt 1 produzierenden und 1 konsumierenden Prinzipal.

```
(2,678,400 / 300) * (2 * 1 + 1) = 26,784
```

### Beispiel 2: Berechnung der Anzahl von AWS KMS API-Aufrufen für mehrere Produzenten und Verbraucher sowie für 2 Warteschlangen
<a name="example-2-queues-multiple-principals"></a>

In diesem Beispiel wird Folgendes angenommen:
+ Der Abrechnungszeitraum ist 1. bis 28. Februar (2 419 200 Sekunden).
+ Der Wiederverwendungszeitraum für den Datenschlüssel ist auf 24 Stunden (86 400 Sekunden) eingestellt.
+ Es gibt 2 Warteschlangen.
+ Die erste Warteschlange hat 3 produzierende Prinzipale und 1 konsumierenden Prinzipal.
+ Die zweite Warteschlange hat 5 produzierende und 2 konsumierende Prinzipale.

```
(2,419,200 / 86,400 * (2 * 3 + 1)) + (2,419,200 / 86,400 * (2 * 5 + 2)) = 532
```

## AWS KMS Fehler
<a name="sqs-sse-troubleshooting-errors"></a>

Wenn Sie mit Amazon SQS und arbeiten AWS KMS, können Fehler auftreten. In den folgenden Referenzen werden die Fehler und möglichen Lösungen zur Fehlerbehebung beschrieben.
+ [ Häufige AWS KMS -Fehler](https://docs.aws.amazon.com/kms/latest/APIReference/CommonErrors.html)
+ [AWS KMS -Entschlüsselungsfehler](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html#API_Decrypt_Errors)
+ [AWS KMS GenerateDataKey Fehler](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html#API_GenerateDataKey_Errors)

# Datenschutz im Netzwerkverkehr in Amazon SQS
<a name="sqs-internetwork-traffic-privacy"></a>

Ein Amazon Virtual Private Cloud (Amazon VPC)-Endpunkt für Amazon SQS ist eine logische Einheit innerhalb einer VPC, die nur Konnektivität mit Amazon SQS ermöglicht. Die VPC leitet Anforderungen an Amazon SQS weiter und Antworten an die VPC zurück. In den folgenden Abschnitten finden Sie Informationen zum Arbeiten mit VPC-Endpunkten und zum Erstellen von VPC-Endpunktrichtlinien.

## Endpunkte von Amazon Virtual Private Cloud für Amazon SQS
<a name="sqs-vpc-endpoints"></a>

Wenn Sie Amazon VPC zum Hosten Ihrer AWS Ressourcen verwenden, können Sie eine Verbindung zwischen Ihrer VPC und Amazon SQS herstellen. Sie können diese Verbindung zum Senden von Nachrichten an Ihre Amazon-SQS-Warteschlangen ganz ohne das öffentliche Internet verwenden.

Mit Amazon VPC können Sie AWS Ressourcen in einem benutzerdefinierten virtuellen Netzwerk starten. Mit einer VPC können Sie Netzwerkeinstellungen, wie IP-Adressbereich, Subnetze, Routing-Tabellen und Netzwerk-Gateways, steuern. Weitere Informationen VPCs dazu finden Sie im *[Amazon VPC-Benutzerhandbuch](https://docs.aws.amazon.com/vpc/latest/userguide/)*.

Um Ihre VPC mit Amazon SQS zu verbinden, müssen Sie zunächst einen *Schnittstellen-VPC-Endpunkt* definieren, der eine Verbindung zwischen Ihrer VPC mit anderen AWS -Services ermöglicht. Der Endpunkt bietet zuverlässige, skalierbare Konnektivität zu Amazon SQS, ohne dass ein Internet-Gateway, eine Network Address Translation (NAT)-Instance oder eine VPN-Verbindung erforderlich ist. Weitere Informationen finden Sie unter [Tutorial: Senden einer Nachricht an eine Amazon-SQS-Warteschlange aus Amazon Virtual Private Cloud](sqs-sending-messages-from-vpc.md) und [Beispiel 5: Verweigerung des Zugriffs, wenn dieser nicht von einem VPC-Endpunkt aus erfolgt](sqs-creating-custom-policies-access-policy-examples.md#deny-not-from-vpc) in diesem Handbuch und unter [Interface-VPC-Endpunkte (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html) im *Amazon-VPC-Benutzerhandbuch*.

**Wichtig**  
Sie können Amazon Virtual Private Cloud nur mit HTTPS-Amazon-SQS-Endpunkten verwenden.
Wenn Sie Amazon SQS für das Senden von Nachrichten von Amazon VPC konfigurieren, müssen Sie privates DNS aktivieren und Endpunkte im Format `sqs.us-east-2.amazonaws.com` oder `sqs.us-east-2.api.aws` für den Dual-Stack-Endpunkt angeben.
Amazon SQS unterstützt auch FIPS-Endpunkte PrivateLink mithilfe des `com.amazonaws.region.sqs-fips` Endpoint Service. Sie können im folgenden Format eine Verbindung zu FIPS-Endpunkten herstellen. `sqs-fips.region.amazonaws.com`
Wenn Sie den Dual-Stack-Endpunkt in Amazon Virtual Private Cloud verwenden, werden Anfragen mit IPv4 und IPv6 gesendet.
Ein privates DNS unterstützt keine Legacy-Endpunkte wie z. B. `queue.amazonaws.com` oder `us-east-2.queue.amazonaws.com`.

## Erstellen einer Amazon-VPC-Endpunkt-Richtlinie für Amazon SQS
<a name="sqs-vpc-endpoint-policy"></a>

Sie können eine Richtlinie für Amazon-VPC-Endpunkte für Amazon SQS erstellen, in der Sie Folgendes angeben:
+ Prinzipal, der die Aktionen ausführen kann.
+ Aktionen, die ausgeführt werden können
+ Die Ressourcen, für die Aktionen ausgeführt werden können.

Weitere Informationen finden Sie unter [Steuerung des Zugriffs auf Services mit VPC-Endpunkten](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html) im *Amazon VPC-Benutzerhandbuch*.

Im folgenden Beispiel für eine VPC-Endpunkt-Richtlinie wird angegeben, dass der `MyUser`-Benutzer Nachrichten an die Amazon-SQS-Warteschlange `MyQueue` senden darf.

```
{
   "Statement": [{
      "Action": ["sqs:SendMessage"],
      "Effect": "Allow",
      "Resource": "arn:aws:sqs:us-east-2:123456789012:MyQueue",
      "Principal": {
        "AWS": "arn:aws:iam:123456789012:user/MyUser"
      }
   }]
}
```

Folgendes wird abgelehnt:
+ Andere Amazon-SQS-API-Aktionen, z. B. `sqs:CreateQueue` und `sqs:DeleteQueue`.
+ Andere -Benutzer und -Regeln, die versuchen, diesen VPC-Endpunkt zu verwenden.
+ `MyUser` Senden von Nachrichten an eine andere Amazon-SQS-Warteschlange.

**Anmerkung**  
Der Benutzer kann nach wie vor andere Amazon-SQS-API-Aktionen von *außerhalb* der VPC verwenden. Weitere Informationen finden Sie unter [Beispiel 5: Verweigerung des Zugriffs, wenn dieser nicht von einem VPC-Endpunkt aus erfolgt](sqs-creating-custom-policies-access-policy-examples.md#deny-not-from-vpc).

# Stellen Sie mithilfe von Dual-Stack IPv4 - (und IPv6) Endpunkten eine Connect zu Amazon SQS her
<a name="sqs-dual-stack"></a>

 Dual-Stack-Endpunkte unterstützen sowohl IPv4 den Datenverkehr als auch. IPv6 Wenn Sie eine Anfrage an einen Dual-Stack-Endpunkt stellen, wird die Endpunkt-URL in eine Adresse oder eine IPv4 Adresse aufgelöst. IPv6 [Weitere Informationen zu Dual-Stack- und FIPS-Endpunkten finden Sie im SDK-Referenzhandbuch.](https://docs.aws.amazon.com/sdkref/latest/guide/feature-endpoints.html) 

 Amazon SQS unterstützt regionale Dual-Stack-Endpunkte, was bedeutet, dass Sie die AWS Region als Teil des Endpunktnamens angeben müssen. Dual-Stack-Endpunktnamen verwenden die folgende Benennungskonvention:. `sqs.Region.amazonaws.com` Beispielsweise ist der Dual-Stack-Endpunktname für die Region `eu-west-1` `sqs.eu-west-1.amazonaws.com`. 

Die vollständige Liste der Amazon SQS SQS-Endpunkte finden Sie in der [AWS Allgemeinen](https://docs.aws.amazon.com/general/latest/gr/sqs-service.html) Referenz.