Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich. # Verschlüsselung im Ruhezustand in Amazon SQS Mit der serverseitigen Verschlüsselung (SSE) können Sie vertrauliche Daten in verschlüsselten Warteschlangen übermitteln. SSE schützt den Inhalt von Nachrichten in Warteschlangen mithilfe von SQS-verwalteten Verschlüsselungsschlüsseln (SSE-SQS) oder Schlüsseln, die im (SSE-KMS) verwaltet werden. AWS Key Management Service Informationen zur Verwaltung von SSE mithilfe von finden Sie im Folgenden: AWS-Managementkonsole + [Konfigurieren von SSE-SQS für eine Warteschlange (Konsole)](sqs-configure-sqs-sse-queue.md) + [Konfigurieren von SSE-KMS für eine Warteschlange (Konsole)](sqs-configure-sse-existing-queue.md) Informationen zur Verwaltung von SSE mithilfe der `[GetQueueAttributes](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_GetQueueAttributes.html)` Aktionen AWS SDK für Java (und `[CreateQueue](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_CreateQueue.html)``[SetQueueAttributes](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_SetQueueAttributes.html)`, und) finden Sie in den folgenden Beispielen: + [Serverseitige Verschlüsselung mit Amazon SQS SQS-Warteschlangen verwenden](sqs-java-configure-sse.md) + [Konfiguration von KMS-Berechtigungen für AWS-Services](sqs-key-management.md#compatibility-with-aws-services) [![AWS Videos](http://img.youtube.com/vi/https://www.youtube.com/embed/Mw1NVpJsOZc?rel=0&controls=0&showinfo=0/0.jpg)](http://www.youtube.com/watch?v=https://www.youtube.com/embed/Mw1NVpJsOZc?rel=0&controls=0&showinfo=0) SSE verschlüsselt Nachrichten, sobald sie bei Amazon SQS eingehen. Die Nachrichten werden verschlüsselt gespeichert. Amazon SQS entschlüsselt Nachrichten nur, wenn sie an einen autorisierten Konsumenten gesendet werden. **Wichtig** Alle Anfragen zu Warteschlangen mit aktiviertem SSE müssen HTTPS und [Signature Version 4](https://docs.aws.amazon.com/general/latest/gr/signature-version-4.html) verwenden. Eine [verschlüsselte Warteschlange](#sqs-server-side-encryption), die den Standardschlüssel (AWS verwalteter KMS-Schlüssel für Amazon SQS) verwendet, kann keine Lambda-Funktion in einer anderen aufrufen. AWS-Konto Einige Funktionen von AWS Diensten, die mithilfe der AWS -Security-Token-Service `[AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)` Aktion Benachrichtigungen an Amazon SQS senden können, sind mit SSE kompatibel, funktionieren jedoch *nur mit Standardwarteschlangen*: [Auto Scaling Lifecycle Hooks](https://docs.aws.amazon.com/autoscaling/ec2/userguide/lifecycle-hooks.html) [AWS Lambda Warteschlangen für unzustellbare Nachrichten](https://docs.aws.amazon.com/lambda/latest/dg/dlq.html) Weitere Informationen zur Kompatibilität anderer Services mit verschlüsselten Warteschlangen finden Sie unter [Konfigurieren Sie KMS-Berechtigungen für Dienste AWS](sqs-key-management.md#compatibility-with-aws-services) und in Ihrer Service-Dokumentation. AWS KMS kombiniert sichere, hochverfügbare Hardware und Software zu einem für die Cloud skalierten Schlüsselverwaltungssystem. Wenn Sie Amazon SQS mit verwenden AWS KMS, werden die [Datenschlüssel](#sqs-sse-key-terms), die Ihre Nachrichtendaten verschlüsseln, ebenfalls verschlüsselt und zusammen mit den Daten gespeichert, die sie schützen. Vorteile von AWS KMS: + Sie können [AWS KMS keys](#sqs-sse-key-terms) selbst erstellen und verwalten. + Sie können auch den AWS verwalteten KMS-Schlüssel für Amazon SQS verwenden, der für jedes Konto und jede Region einzigartig ist. + Die AWS KMS Sicherheitsstandards können Ihnen dabei helfen, die Compliance-Anforderungen im Zusammenhang mit der Verschlüsselung zu erfüllen. Weitere Informationen finden Sie unter [Was ist AWS Key Management Service?](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) im *AWS Key Management Service -Entwicklerhandbuch*. ## Verschlüsselungsumfang SSE verschlüsselt den Nachrichtentext in einer Amazon-SQS-Warteschlange. Folgendes wird von SSE nicht verschlüsselt: + Warteschlangen-Metadaten (Name und Attribute der Warteschlange) + Metadaten der Nachrichten (ID, Zeitstempel und Attribute) + Metriken pro Warteschlange Durch die Verschlüsselung sind die Nachrichteninhalte für nicht autorisierte oder anonyme Benutzer nicht zugänglich. Wenn SSE aktiviert ist, werden anonyme `SendMessage`- und `ReceiveMessage`-Anfragen an die verschlüsselte Warteschlange abgewiesen. Die bewährten Sicherheitsmethoden von Amazon SQS raten davon ab, anonyme Anfragen zu verwenden. Wenn Sie anonyme Anfragen an eine Amazon-SQS-Warteschlange senden möchten, stellen Sie sicher, dass Sie SSE deaktivieren. Dies wirkt sich nicht auf die normale Funktion von Amazon SQS aus: + Eine Nachricht ist nur dann verschlüsselt, wenn sie gesendet wurde, nachdem die Verschlüsselung einer Warteschlange aktiviert wurde. Amazon SQS verschlüsselt keine Nachrichten, die sich bereits in der Queue befinden. + Verschlüsselte Nachrichten bleiben auch dann verschlüsselt, wenn die Verschlüsselung der Warteschlange deaktiviert wird. Das Verschieben einer Nachricht in eine [Warteschlange für unzustellbare Nachrichten](sqs-dead-letter-queues.md) wirkt sich nicht auf ihre Verschlüsselung aus: + Wenn Amazon SQS eine Nachricht aus einer verschlüsselten Quellwarteschlange in eine unverschlüsselte Warteschlange für unzustellbare Nachrichten verschiebt, bleibt die Nachricht verschlüsselt. + Wenn Amazon SQS eine Nachricht aus einer unverschlüsselten Quellwarteschlange in eine verschlüsselte Warteschlange für unzustellbare Nachrichten verschiebt, bleibt die Nachricht unverschlüsselt. ## Wichtige Begriffe Die folgenden wichtigen Begriffe vermitteln Ihnen ein besseres Verständnis für die Funktionalität von SSE. Detaillierte Beschreibungen finden Sie in der *[Amazon-Simple-Queue-Service-API-Referenz](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/)*. **Datenschlüssel** Der Schlüssel (DEK), der dafür zuständig ist, den Inhalt von Amazon-SQS-Nachrichten zu verschlüsseln. Weitere Informationen finden Sie unter [Datenschlüssel](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#data-keys) im *AWS Key Management Service -Entwicklerhandbuch* im *AWS Encryption SDK -Entwicklerhandbuch*. **Data key reuse period (Wiederverwendungszeitraum für den Datenschlüssel)** Die Zeitspanne in Sekunden, für die Amazon SQS einen Datenschlüssel wiederverwenden kann, um Nachrichten zu verschlüsseln oder zu entschlüsseln, bevor ein erneuter Anruf erfolgt. AWS KMS Eine Ganzzahl stellt Sekunden dar, und zwar zwischen 60 Sekunden (1 Minute) und 86 400 Sekunden (24 Stunden). Der Standardwert ist 300 (5 Minuten). Weitere Informationen finden Sie unter [Grundlegendes zum Wiederverwendungszeitraum für den Datenschlüssel](sqs-key-management.md#sqs-how-does-the-data-key-reuse-period-work). In dem unwahrscheinlichen Fall, dass keine Verbindung hergestellt werden kann AWS KMS, verwendet Amazon SQS weiterhin den zwischengespeicherten Datenschlüssel, bis eine Verbindung wiederhergestellt ist. **KMS-Schlüssel-ID** Der Alias, Alias-ARN, die Schlüssel-ID oder der Schlüssel-ARN eines AWS verwalteten KMS-Schlüssels oder eines benutzerdefinierten KMS-Schlüssels — in Ihrem Konto oder in einem anderen Konto. Während der Alias des AWS verwalteten KMS-Schlüssels für Amazon SQS immer ist`alias/aws/sqs`, kann der Alias eines benutzerdefinierten KMS-Schlüssels beispielsweise sein`alias/MyAlias`. Sie können diese KMS-Schlüssel zum Schutz der Nachrichten in Amazon-SQS-Warteschlangen verwenden. Beachten Sie Folgendes: + Wenn Sie keinen benutzerdefinierten KMS-Schlüssel angeben, verwendet Amazon SQS den AWS verwalteten KMS-Schlüssel für Amazon SQS. + Wenn Sie AWS-Managementkonsole zum ersten Mal den AWS verwalteten KMS-Schlüssel für Amazon SQS für eine Warteschlange angeben, AWS KMS wird der AWS verwaltete KMS-Schlüssel für Amazon SQS erstellt. + Alternativ können Sie, wenn Sie die `SendMessageBatch` Aktion `SendMessage` oder zum ersten Mal in einer Warteschlange mit aktivierter SSE verwenden, der AWS verwaltete KMS-Schlüssel für Amazon SQS AWS KMS erstellt. Sie können KMS-Schlüssel erstellen, die Richtlinien definieren, die steuern, wie KMS-Schlüssel verwendet werden können, und die Verwendung von KMS-Schlüsseln mithilfe des Abschnitts „**Vom Kunden verwaltete Schlüssel**“ der AWS KMS Konsole oder der `[CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)` AWS KMS Aktion überprüfen. Weitere Informationen zum Erstellen von [KMS-Schlüsseln](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#master_keys) finden Sie unter [Erstellen von Schlüsseln](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) im *AWS Key Management Service -Entwicklerhandbuch*. Weitere Beispiele für KMS-Schlüsselkennungen finden Sie [KeyId](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html#API_DescribeKey_RequestParameters)in der *AWS Key Management Service API-Referenz.* Weitere Informationen zum Suchen von KMS-Schlüssel-IDs finden Sie unter [Suchen der Schlüssel-ID und des ARNs](https://docs.aws.amazon.com/kms/latest/developerguide/viewing-keys.html#find-cmk-id-arn) im *AWS Key Management Service -Entwicklerhandbuch*. Für die Nutzung AWS KMS fallen zusätzliche Gebühren an. Weitere Informationen finden Sie unter [Schätzung der Kosten AWS KMS](sqs-key-management.md#sqs-estimate-kms-usage-costs) und [Preise zu AWS Key Management Service](https://aws.amazon.com/kms/pricing). **Envelope-Verschlüsselung** Die Sicherheit Ihrer verschlüsselten Daten hängt teilweise vom Schutz des Datenschlüssels ab, der sie entschlüsseln kann. Amazon SQS verwendet den KMS-Schlüssel, um den Datenschlüssel zu verschlüsseln. Anschließend wird der verschlüsselte Datenschlüssel zusammen mit der verschlüsselten Nachricht gespeichert. Diese Vorgehensweise der Verwendung eines KMS-Schlüssels zum Verschlüsseln von Datenschlüsseln wird als Umschlagverschlüsselung bezeichnet. Weitere Informationen zur [Envelope-Verschlüsselung](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/how-it-works.html#envelope-encryption) finden im *AWS Encryption SDK Entwicklerhandbuch*.