Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Protección de datos en Amazon SQS
El [modelo de ](https://aws.amazon.com/compliance/shared-responsibility-model/) se aplica a protección de datos en Amazon Simple Queue Service. Como se describe en este modelo, AWS es responsable de proteger la infraestructura global en la que se ejecutan todos los Nube de AWS. Eres responsable de mantener el control sobre el contenido alojado en esta infraestructura. También eres responsable de las tareas de administración y configuración de seguridad para los Servicios de AWS que utiliza. Para obtener más información sobre la privacidad de los datos, consulte las [Preguntas frecuentes sobre la privacidad de datos](https://aws.amazon.com/compliance/data-privacy-faq/). Para obtener información sobre la protección de datos en Europa, consulte la publicación de blog sobre el [Modelo de responsabilidad compartida de AWS y GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) en el * Blog de seguridad de AWS *.
Con fines de protección de datos, le recomendamos que proteja Cuenta de AWS las credenciales y configure los usuarios individuales con AWS IAM Identity Center o AWS Identity and Access Management (IAM). De esta manera, solo se otorgan a cada usuario los permisos necesarios para cumplir sus obligaciones laborales. También recomendamos proteger sus datos de la siguiente manera:
+ Utiliza la autenticación multifactor (MFA) en cada cuenta.
+ Se utiliza SSL/TLS para comunicarse con AWS los recursos. Exigimos TLS 1.2 y recomendamos TLS 1.3.
+ Configure la API y el registro de actividad de los usuarios con AWS CloudTrail. Para obtener información sobre el uso de CloudTrail senderos para capturar AWS actividades, consulte [Cómo trabajar con CloudTrail senderos](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) en la *Guía del AWS CloudTrail usuario*.
+ Utilice soluciones de AWS cifrado, junto con todos los controles de seguridad predeterminados que contienen Servicios de AWS.
+ Utiliza servicios de seguridad administrados avanzados, como Amazon Macie, que lo ayuden a detectar y proteger la información confidencial almacenada en Amazon S3.
+ Si necesita módulos criptográficos validados por FIPS 140-3 para acceder a AWS través de una interfaz de línea de comandos o una API, utilice un punto final FIPS. Para obtener más información sobre los puntos de conexión de FIPS disponibles, consulte [Estándar de procesamiento de la información federal (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Se recomienda encarecidamente no introducir nunca información confidencial o sensible, como por ejemplo, direcciones de correo electrónico de clientes, en etiquetas o campos de formato libre, tales como el campo **Nombre**. Esto incluye cuando trabaja con Amazon SQS u otro dispositivo Servicios de AWS mediante la consola, la API o. AWS CLI AWS SDKs Cualquier dato que introduzca en etiquetas o campos de formato libre utilizados para los nombres se pueden emplear para los registros de facturación o diagnóstico. Si proporciona una URL a un servidor externo, recomendamos encarecidamente que no incluya información de credenciales en la URL a fin de validar la solicitud para ese servidor.
En las siguientes secciones se proporciona información sobre la protección de datos en Amazon SQS.
# Cifrado de datos en Amazon SQS
La protección de datos se refiere a salvaguardarlos en tránsito (al desplazarse desde y hacia Amazon SQS) y en reposo (almacenados en discos en centros de datos de Amazon SQS). Puede proteger los datos en tránsito con una Capa de sockets seguros (SSL, Secure Sockets Layer) o con el cifrado del lado del cliente. De forma predeterminada, Amazon SQS almacena los mensajes y archivos mediante el cifrado de disco. Puede proteger los datos en reposo solicitando a Amazon SQS que cifre los mensajes antes de guardarlos en el sistema de archivos cifrados en sus centros de datos. Amazon SQS recomienda usar SSE para optimizar el cifrado de datos.
**Topics**
+ [Cifrado en reposo](sqs-server-side-encryption.md)
+ [Administración de claves](sqs-key-management.md)
# Cifrado en reposo en Amazon SQS
El cifrado del servidor (SSE) le permite transferir información confidencial en colas cifradas. El SSE protege el contenido de los mensajes en las colas mediante claves de cifrado administradas por SQL (SSE-SQS) o claves administradas en el (SSE-KMS). AWS Key Management Service Para obtener información sobre cómo administrar el SSE mediante el, consulte lo siguiente: Consola de administración de AWS
+ [Configuración de SSE-SQS para una cola (consola)](sqs-configure-sqs-sse-queue.md)
+ [Configuración de SSE-KMS para una cola (consola)](sqs-configure-sse-existing-queue.md)
Para obtener información sobre la gestión de la ESS mediante las AWS SDK para Java (y `[GetQueueAttributes](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_GetQueueAttributes.html)` las acciones `[CreateQueue](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_CreateQueue.html)``[SetQueueAttributes](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_SetQueueAttributes.html)`, y), consulte los siguientes ejemplos:
+ [Uso del cifrado del servidor con colas de Amazon SQS](sqs-java-configure-sse.md)
+ [Configuración de los permisos de KMS para Servicios de AWS](sqs-key-management.md#compatibility-with-aws-services)
[](http://www.youtube.com/watch?v=https://www.youtube.com/embed/Mw1NVpJsOZc?rel=0&controls=0&showinfo=0)
SSE cifra los mensajes en cuanto Amazon SQS los recibe. Los mensajes se almacenan cifrados y Amazon SQS los descifra únicamente cuando se envían a un consumidor autorizado.
**importante**
Todas las solicitudes hechas a las colas con SSE habilitado deben usar HTTPS y [Signature Version 4](https://docs.aws.amazon.com/general/latest/gr/signature-version-4.html).
Una [cola cifrada](#sqs-server-side-encryption) que usa la clave predeterminada (clave de KMS AWS administrada para Amazon SQS) no puede invocar una función Lambda en otra. Cuenta de AWS
Algunas funciones de AWS los servicios que pueden enviar notificaciones a Amazon SQS mediante la AWS Security Token Service `[AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)` acción son compatibles con SSE, pero *solo funcionan con colas estándar*:
[Enlaces de ciclo de vida de escalado automático](https://docs.aws.amazon.com/autoscaling/ec2/userguide/lifecycle-hooks.html)
[AWS Lambda Colas de mensajes fallidos](https://docs.aws.amazon.com/lambda/latest/dg/dlq.html)
Para obtener información acerca de la compatibilidad de otros servicios con temas de cifrado, consulte [Configure los permisos de KMS para los servicios AWS](sqs-key-management.md#compatibility-with-aws-services) y la documentación de los servicios.
AWS KMS combina hardware y software seguros y de alta disponibilidad para proporcionar un sistema de administración de claves adaptado a la nube. Cuando utiliza Amazon SQS con AWS KMS, [las claves de datos](#sqs-sse-key-terms) que cifran los datos de sus mensajes también se cifran y almacenan con los datos que protegen.
A continuación, se describen los beneficios de usar AWS KMS:
+ Puede crear y administrar [AWS KMS keys](#sqs-sse-key-terms) usted mismo.
+ También puede usar la clave de KMS AWS administrada para Amazon SQS, que es única para cada cuenta y región.
+ Los estándares AWS KMS de seguridad pueden ayudarle a cumplir los requisitos de conformidad relacionados con el cifrado.
Para obtener más información, consulte [¿Qué es AWS Key Management Service?](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) en la *Guía para desarrolladores de AWS Key Management Service *.
## Ámbito de cifrado
SSE cifra el cuerpo de un mensaje en una cola de Amazon SQS.
SSE no cifra lo siguiente:
+ Metadatos de la cola (atributos y nombre de la cola)
+ Metadatos del mensaje (ID de mensaje, marca temporal y atributos)
+ Métricas por cola
El cifrado de un mensaje evita que usuarios no autorizados o anónimos obtengan acceso a su contenido. Con SSE activado, se rechazarán las solicitudes `SendMessage` y `ReceiveMessage` anónimas a la cola cifrada. Las prácticas recomendadas de seguridad de Amazon SQS desaconsejan utilizar solicitudes anónimas. Si desea enviar solicitudes anónimas a una cola de Amazon SQS, asegúrese de desactivar SSE. Esto no afecta al funcionamiento normal de Amazon SQS:
+ Un mensaje se cifra únicamente si se envía con posterioridad a la habilitación del cifrado de una cola. Amazon SQS no cifra mensajes atrasados.
+ Cualquier mensaje cifrado permanece en dicho estado aunque el cifrado de su cola esté deshabilitado.
Mover un mensaje a una [cola de mensajes fallidos](sqs-dead-letter-queues.md) no afecta a su cifrado:
+ Cuando Amazon SQS mueve un mensaje de una cola de origen cifrada a una cola de mensajes fallidos sin cifrar, el mensaje permanece cifrado.
+ Cuando Amazon SQS mueve un mensaje de una cola de origen sin cifrar a una cola de mensajes fallidos cifrada, el mensaje permanece sin cifrar.
## Términos clave
Los siguientes términos clave pueden ayudarle a comprender mejor la funcionalidad de SSE. Para obtener descripciones detalladas, consulte la *[Referencia de la API de Amazon Simple Queue Service](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/)*.
**Clave de datos**
La clave (DEK) es responsable de cifrar el contenido de los mensajes de Amazon SQS.
Para obtener más información, consulte [Claves de datos](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#data-keys) en la *Guía para desarrolladores de AWS Key Management Service * en la *Guía para desarrolladores de AWS Encryption SDK *.
**Periodo de reutilización de la clave de datos**
El tiempo, en segundos, durante el que Amazon SQS puede reutilizar una clave de datos para cifrar o descifrar los mensajes antes de volver a llamar. AWS KMS Un entero que representa segundos, entre 60 segundos (1 minuto) y 86 400 segundos (24 horas). El valor predeterminado es 300 (5 minutos). Para obtener más información, consulte [Descripción del período de reutilización de la clave de datos](sqs-key-management.md#sqs-how-does-the-data-key-reuse-period-work).
En el improbable caso de que no pueda conectarse AWS KMS, Amazon SQS seguirá utilizando la clave de datos en caché hasta que se restablezca la conexión.
**ID de clave de KMS**
El alias, el ARN del alias, el ID de clave o el ARN de clave de una clave de KMS AWS administrada o una clave de KMS personalizada, en su cuenta o en otra cuenta. Si bien el alias de la clave de KMS AWS administrada para Amazon SQS es siempre`alias/aws/sqs`, el alias de una clave de KMS personalizada puede, por ejemplo, ser. `alias/MyAlias` Puede utilizar estas claves de KMS para proteger los mensajes que se encuentran en las colas de Amazon SQS.
Tenga en cuenta lo siguiente:
+ Si no especifica una clave de KMS personalizada, Amazon SQS utilizará la clave de KMS AWS gestionada para Amazon SQS.
+ La primera vez que utilice Consola de administración de AWS para especificar la clave de KMS AWS gestionada de Amazon SQS para una cola, AWS KMS crea la clave de KMS AWS gestionada para Amazon SQS.
+ Como alternativa, la primera vez que utilice la `SendMessageBatch` acción `SendMessage` o en una cola con SSE activado, AWS KMS creará la clave de KMS AWS gestionada para Amazon SQS.
Puede crear claves de KMS, definir las políticas que controlan cómo se pueden usar las claves de KMS y auditar el uso de las claves de KMS mediante la sección de **claves administradas por el cliente** de la AWS KMS consola o la `[CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)` AWS KMS acción. Para obtener más información, consulte [Claves de KMS](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#master_keys) y [Creación de claves](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) en la *Guía para desarrolladores de AWS Key Management Service *. Para ver más ejemplos de identificadores clave de KMS, consulta [KeyId](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html#API_DescribeKey_RequestParameters)la *Referencia de la AWS Key Management Service API*. Para obtener información sobre la búsqueda de identificadores de claves de KMS, consulte [Encontrar el ID y el ARN de la clave](https://docs.aws.amazon.com/kms/latest/developerguide/viewing-keys.html#find-cmk-id-arn) en la *Guía para desarrolladores de AWS Key Management Service *.
Su uso AWS KMS conlleva cargos adicionales. Para obtener más información, consulte [Estimación de costos AWS KMS](sqs-key-management.md#sqs-estimate-kms-usage-costs) y [Precios de AWS Key Management Service](https://aws.amazon.com/kms/pricing).
**Cifrado de sobre**
La seguridad de los datos cifrados depende en parte de la protección de la clave de datos que permite descifrarlos. Amazon SQS utiliza la clave de KMS para cifrar la clave de datos y, a continuación, la clave de datos cifrada se almacena con el mensaje cifrado. Esta práctica de utilizar una clave de KMS para cifrar las claves de datos se denomina cifrado de sobre.
Para obtener más información, consulte [Cifrado de envoltura](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/how-it-works.html#envelope-encryption) en la *Guía del desarrollador de AWS Encryption SDK *.
# Administración de claves de Amazon SQS
Amazon SQS se integra con el AWS Key Management Service (KMS) para administrar [las claves de KMS](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#master_keys) para el cifrado del lado del servidor (SSE). Consulte [Cifrado en reposo en Amazon SQS](sqs-server-side-encryption.md) para obtener información sobre SSE y las definiciones de administración de claves. Amazon SQS utiliza las claves de KMS para validar y proteger las claves de datos que cifran y descifran los mensajes. En las siguientes secciones se proporciona información sobre cómo trabajar con las claves de KMS y las claves de datos en el servicio de Amazon SQS.
## Configuración de permisos AWS KMS
Cada clave de KMS debe tener una política de claves. Tenga en cuenta que no puede modificar la política de claves de una clave de KMS AWS gestionada para Amazon SQS. La política de esta clave de KMS incluye permisos para que todas las entidades principales de la cuenta (que tienen permiso para usar Amazon SQS) utilicen colas cifradas.
Amazon SQS distingue a las personas que llaman en función de sus AWS credenciales, ya sea que utilicen AWS cuentas, usuarios de IAM o funciones de IAM diferentes. Además, se considerará que el mismo rol de IAM con diferentes políticas de alcance son solicitantes distintos. Sin embargo, no se considerarán solicitantes distintos las sesiones de rol de IAM con un `RoleSessionName` diferente que mantengan el mismo rol de IAM y las mismas políticas de alcance. Por lo tanto, al especificar los principios de la política AWS KMS clave, evite basarse únicamente en `RoleSessionName` las diferencias, ya que estas sesiones se tratarán como si fuera el mismo solicitante.
De forma alternativa, puede especificar los permisos necesarios en una política de IAM asignada a las entidades principales que producen y consumen mensajes cifrados. Para obtener más información, consulte [Uso de políticas de IAM con AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/iam-policies.html) en la *Guía para desarrolladores de AWS Key Management Service *.
**nota**
Si bien puede configurar los permisos globales para enviar y recibir desde Amazon SQS, es AWS KMS necesario nombrar explícitamente el ARN completo de las claves de KMS en regiones específicas en la `Resource` sección de una política de IAM.
### Configure los permisos de KMS para los servicios AWS
Varios AWS servicios actúan como fuentes de eventos que pueden enviar eventos a las colas de Amazon SQS. Para permitir que estas fuentes de eventos funcionen con colas cifradas, debe crear una clave de KMS administrada por el cliente y añadir permisos en la política de claves para que el servicio utilice los métodos de API necesarios AWS KMS . Realice los siguientes pasos para configurar los permisos.
**aviso**
Al cambiar la clave de KMS para cifrar los mensajes de Amazon SQS, tenga en cuenta que los mensajes cifrados con la clave de KMS anterior permanecerán cifrados con esa clave. Para descifrar estos mensajes, debe conservar la antigua clave de KMS y asegurarse de que su política de claves concede a Amazon SQS los permisos para `kms:Decrypt` y `kms:GenerateDataKey`. Tras actualizar a una nueva clave de KMS para cifrar los mensajes nuevos, asegúrese de que todos los mensajes cifrados con la antigua clave de KMS se procesen y se eliminen de la cola antes de eliminar o deshabilitar la antigua clave de KMS.
1. Cree una clave de KMS administrada por el cliente. Para obtener más información, consulte [Creación de claves](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) en la *Guía para desarrolladores de AWS Key Management Service *.
1. Para permitir que la fuente de eventos del AWS servicio utilice los métodos `kms:Decrypt` y `kms:GenerateDataKey` API, añada la siguiente declaración a la política de claves de KMS.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Principal": {
"Service": "service.amazonaws.com"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "*"
}]
}
```
------
Reemplace "service" (servicio) en el ejemplo anterior por *Service name (Nombre del servicio)* del origen del evento. Los orígenes de eventos incluyen los siguientes servicios.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-key-management.html)
1. [Configure una cola SSE existente](sqs-configure-sse-existing-queue.md) mediante el ARN de su clave de KMS.
1. Proporcione el ARN de la cola cifrada al origen de eventos.
### Configure AWS KMS los permisos para los productores
Cuando caduca el [periodo de reutilización de la clave de datos](#sqs-how-does-the-data-key-reuse-period-work), la siguiente llamada del productor a `SendMessage` o `SendMessageBatch` también desencadena llamadas a `kms:Decrypt` y `kms:GenerateDataKey`. La llamada a `kms:Decrypt` es para verificar la integridad de la nueva clave de datos antes de usarla. Por lo tanto, el productor debe tener los permisos `kms:Decrypt` y `kms:GenerateDataKey` para la clave de KMS.
Agregue la siguiente instrucción a la política de IAM del productor. Recuerde utilizar los valores de ARN correctos para el recurso de clave y el recurso de cola.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "arn:aws:kms:us-east-2:123456789012:key/111112222233333"
},
{
"Effect": "Allow",
"Action": [
"sqs:SendMessage"
],
"Resource": "arn:aws:sqs:*:123456789012:MyQueue"
}
]
}
```
------
### Configure AWS KMS los permisos para los consumidores
Cuando caduca el periodo de reutilización de la clave de datos, la siguiente llamada del cliente a `ReceiveMessage` también desencadena una llamada a `kms:Decrypt`, para verificar la integridad de la nueva clave de datos antes de usarla. Por lo tanto, el cliente debe tener el permiso `kms:Decrypt` para cualquier clave de KMS que se utilice para cifrar los mensajes en la cola especificada. Si la cola funciona como una [cola de mensajes fallidos](sqs-dead-letter-queues.md), el consumidor también debe tener el permiso `kms:Decrypt` para todas las clave de KMS que se utilicen para cifrar los mensajes en la cola de origen. Agregue la siguiente instrucción a la política de IAM del cliente. Recuerde utilizar los valores de ARN correctos para el recurso de clave y el recurso de cola.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-2:123456789012:key/111112222233333"
},
{
"Effect": "Allow",
"Action": [
"sqs:ReceiveMessage"
],
"Resource": "arn:aws:sqs:*:123456789012:MyQueue"
}
]
}
```
------
### Configure AWS KMS los permisos con una confusa protección adjunta
Cuando la entidad principal de una instrucción de política de claves es una [entidad principal de servicio de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html#principal-services), puede utilizar las claves de condición global [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) o [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) para protegerse del [escenario del suplente confuso](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html). Para utilizar estas claves de condición, establezca el valor al nombre de recurso de Amazon (ARN) o la cuenta del recurso que se está cifrando. Si no conoce el ARN del recurso, utilice `aws:SourceAccount` en su lugar.
En esta política de claves de KMS, un recurso específico de un *servicio* que sea propiedad de la cuenta `111122223333` puede llamar a KMS para las acciones `Decrypt` y `GenerateDataKey`, que se producen durante el uso de SSE de Amazon SQS.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "sqs.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "*",
"Condition": {
"ArnEquals": {
"aws:SourceArn": [
"arn:aws:sqs:us-west-1:111122223333:resource"
]
}
}
}
]
}
```
------
Cuando se utilizan colas Amazon SQS habilitadas para SSE, los siguientes servicios admiten `aws:SourceArn`:
+ Amazon SNS
+ Amazon S3
+ CloudWatch Eventos
+ AWS Lambda
+ CodeBuild
+ Perfiles de clientes de Amazon Connect
+ AWS Auto Scaling
+ Amazon Chime
## Descripción del período de reutilización de la clave de datos
El [periodo de reutilización de la clave de datos](sqs-server-side-encryption.md#sqs-sse-key-terms) define la duración máxima de Amazon SQS para reutilizar la misma clave de datos. Cuando finaliza el periodo de reutilización de la clave de datos, Amazon SQS genera una nueva clave de datos. Tenga en cuenta las siguientes directrices sobre el periodo de reutilización.
+ Un período de reutilización más corto proporciona una mayor seguridad, pero se traduce en más llamadas AWS KMS, lo que puede conllevar gastos superiores al nivel gratuito.
+ Aunque la clave de datos se almacena en caché de forma independiente para el cifrado y el descifrado, el periodo de reutilización se aplica a ambas copias de la clave de datos.
+ Cuando finaliza el período de reutilización de la clave de datos, se realiza la siguiente llamada al método `SendMessage` o `SendMessageBatch` normalmente se activa una llamada al AWS KMS `GenerateDataKey` método para obtener una nueva clave de datos. Además, las siguientes llamadas a, `SendMessage` y cada una de ellas `ReceiveMessage` activará una llamada AWS KMS `Decrypt` a, para comprobar la integridad de la clave de datos antes de utilizarla.
+ [Los directores](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#Principal) (Cuentas de AWS o los usuarios) no comparten claves de datos (los mensajes enviados por directores únicos siempre reciben claves de datos únicas). Por lo tanto, el volumen de llamadas a AWS KMS es un múltiplo del número de principales únicos que se utilizan durante el período de reutilización de las claves de datos.
## Estimación de costos AWS KMS
Para predecir los costes y comprender mejor su AWS factura, quizá le interese saber con qué frecuencia Amazon SQS utiliza su clave de KMS.
**nota**
Si bien la siguiente fórmula puede brindarle una muy buena idea de los costos esperados, los costos reales podrían ser más elevados debido a la naturaleza distribuida de Amazon SQS.
Para calcular el número de solicitudes de la API (`R`) *por cola*, utilice la siguiente fórmula:
```
R = (B / D) * (2 * P + C)
```
`B` es el período de facturación (en segundos).
`D` es el [período de reutilización de claves de datos](sqs-server-side-encryption.md#sqs-sse-key-terms) (en segundos).
`P` es el número de [entidades principales](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#Principal) de producción que realizan envíos a la cola de Amazon SQS.
`C` es el número de entidades principales de consumo que reciben información desde la cola de Amazon SQS.
**importante**
En general, las entidades principales de producción generan el doble del costo que las de consumo. Para obtener más información, consulte [Descripción del período de reutilización de la clave de datos](#sqs-how-does-the-data-key-reuse-period-work).
Si el productor y el consumidor tienen diferentes usuarios de , el costo aumenta.
A continuación se muestran algunos cálculos de ejemplo. Para obtener información exacta sobre precios, consulte [Precios de AWS Key Management Service](https://aws.amazon.com/kms/pricing/).
### Ejemplo 1: Calcular el número de llamadas a la AWS KMS API para 2 directores y 1 cola
En este ejemplo se presupone lo siguiente:
+ El período de facturación va del 1 al 31 de enero (2 678 400 segundos).
+ El periodo de reutilización de la clave de datos está establecido en 5 minutos (300 segundos).
+ Hay una cola.
+ Hay una entidad principal de producción y una entidad principal de consumo.
```
(2,678,400 / 300) * (2 * 1 + 1) = 26,784
```
### Ejemplo 2: Calcular el número de llamadas a la AWS KMS API para varios productores y consumidores y 2 colas
En este ejemplo se presupone lo siguiente:
+ El período de facturación va del 1 al 28 de febrero (2 419 200 segundos).
+ El periodo de reutilización de la clave de datos está establecido en 24 horas (86 400 segundos).
+ Hay 2 colas.
+ La primera cola tiene 3 entidades principales productoras y una entidad principal consumidora.
+ La segunda cola tiene 5 entidades principales productoras y 2 entidades principales consumidoras.
```
(2,419,200 / 86,400 * (2 * 3 + 1)) + (2,419,200 / 86,400 * (2 * 5 + 2)) = 532
```
## AWS KMS errores
Cuando trabaja con Amazon SQS AWS KMS, es posible que se produzcan errores. Las siguientes referencias describen los errores y sus posibles soluciones.
+ [Errores comunes de AWS KMS](https://docs.aws.amazon.com/kms/latest/APIReference/CommonErrors.html)
+ [Errores Decrypt de AWS KMS](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html#API_Decrypt_Errors)
+ [AWS KMS GenerateDataKey errores](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html#API_GenerateDataKey_Errors)
# Privacidad del tráfico entre redes en Amazon SQS
El punto de conexión de Amazon Virtual Private Cloud (Amazon VPC) para Amazon SQS es una entidad lógica en una VPC que permite la conectividad solo a Amazon SQS. La VPC direcciona las solicitudes a Amazon SQS y vuelve a direccionar las respuestas a la VPC. En las siguientes secciones se proporciona información sobre cómo trabajar con puntos de enlace de la VPC y crear políticas de puntos de enlace de la VPC.
## Puntos de conexión de Amazon Virtual Private Cloud para Amazon SQS
Si utiliza Amazon VPC para alojar sus AWS recursos, puede establecer una conexión entre su VPC y Amazon SQS. Puede utilizar esta conexión para enviar mensajes a sus colas de Amazon SQS sin atravesar el Internet público.
Amazon VPC le permite lanzar AWS recursos en una red virtual personalizada. Puede utilizar una VPC para controlar la configuración de red, como el intervalo de direcciones IP, las subredes, las tablas de enrutamiento y las puertas de enlace de red. Para obtener más información VPCs, consulte la Guía del *[usuario de Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/)*.
Para conectar la VPC a Amazon SQS, primero debe definir un *punto de conexión de VPC de interfaz*, lo que le permitirá conectar la VPC a otros servicios de AWS . Con el punto de conexión, se ofrece conectividad escalable y fiable con Amazon SQS sin necesidad de utilizar una puerta de enlace de Internet, una instancia de traducción de direcciones de red (NAT) o una conexión de VPN. Para obtener más información, consulte [Tutorial: Envío de un mensaje a una cola de Amazon SQS desde Amazon Virtual Private Cloud](sqs-sending-messages-from-vpc.md) y [Ejemplo 5: denegar el acceso si no es desde un punto de enlace de la VPC](sqs-creating-custom-policies-access-policy-examples.md#deny-not-from-vpc) en esta guía y [Puntos de conexión de VPC de interfaz (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html) en la *Guía del usuario de Amazon VPC*.
**importante**
Puede usar Amazon Virtual Private Cloud solo con puntos de conexión HTTPS de Amazon SQS.
Al configurar Amazon SQS para enviar mensajes desde Amazon VPC, debe habilitar el DNS privado y especificar los puntos de conexión en el formato `sqs.us-east-2.amazonaws.com` o `sqs.us-east-2.api.aws` para el punto de conexión de doble pila.
Amazon SQS también admite puntos de enlace FIPS mediante el PrivateLink uso del servicio de puntos de enlace. `com.amazonaws.region.sqs-fips` Puede conectarse a puntos de conexión FIPS con el formato `sqs-fips.region.amazonaws.com`.
Al utilizar el punto de conexión de doble pila en Amazon Virtual Private Cloud, las solicitudes se enviarán mediante IPv4 y IPv6.
Los DNS privados no admiten los puntos de enlace heredados, como `queue.amazonaws.com` o `us-east-2.queue.amazonaws.com`.
## Creación de una política de punto de conexión de VPC para Amazon SQS
Puede crear una política para los puntos de conexión de Amazon VPC correspondiente a Amazon SQS y especificar lo siguiente:
+ La entidad principal que puede realizar acciones.
+ Las acciones que se pueden realizar.
+ Los recursos en los que se pueden llevar a cabo las acciones.
Para obtener más información, consulte [Control del acceso a servicios con puntos de conexión de VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html) en la *Guía del usuario de Amazon VPC*
En la política de puntos de conexión de VPC del ejemplo siguiente, se especifica que el usuario `MyUser` puede enviar mensajes a la cola `MyQueue` de Amazon SQS.
```
{
"Statement": [{
"Action": ["sqs:SendMessage"],
"Effect": "Allow",
"Resource": "arn:aws:sqs:us-east-2:123456789012:MyQueue",
"Principal": {
"AWS": "arn:aws:iam:123456789012:user/MyUser"
}
}]
}
```
Se deniega lo siguiente:
+ Otras acciones de la API de Amazon SQS, como `sqs:CreateQueue` y `sqs:DeleteQueue`.
+ Otros usuarios y reglas de que intentan utilizar este punto de enlace de la VPC.
+ El envío de mensajes por parte de `MyUser` a otra cola de Amazon SQS.
**nota**
El usuario puede seguir utilizando otras acciones de la API de Amazon SQS desde *fuera* de la VPC. Para obtener más información, consulte [Ejemplo 5: denegar el acceso si no es desde un punto de enlace de la VPC](sqs-creating-custom-policies-access-policy-examples.md#deny-not-from-vpc).
# Connect a Amazon SQS mediante puntos de enlace de doble pila (IPv4 y) IPv6
Los puntos de enlace de doble pila admiten tanto el tráfico como el tráfico. IPv4 IPv6 Cuando realizas una solicitud a un punto final de doble pila, la URL del punto final se convierte en una IPv4 o una dirección. IPv6 Para obtener más información sobre los puntos de conexión de doble pila y FIPS, consulte la [Guía de referencia de SDK](https://docs.aws.amazon.com/sdkref/latest/guide/feature-endpoints.html).
Amazon SQS admite puntos de enlace regionales de doble pila, lo que significa que debe especificar la AWS región como parte del nombre del punto de enlace. Los nombres de puntos finales de doble pila utilizan la siguiente convención de nomenclatura:. `sqs.Region.amazonaws.com` Por ejemplo, el nombre del punto de conexión de doble pila para la región `eu-west-1` es `sqs.eu-west-1.amazonaws.com`.
Para obtener la lista completa de puntos de conexión de Amazon SQS, consulte la [Referencia general de AWS](https://docs.aws.amazon.com/general/latest/gr/sqs-service.html).