El cifrado en reposo en Amazon SQS - Amazon Simple Queue Service
Ámbito de cifradoTérminos clave

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

El cifrado en reposo en Amazon SQS

El cifrado del lado del servidor (SSE) le permite transmitir datos confidenciales en colas cifradas. SSEprotege el contenido de los mensajes en las colas mediante claves de cifrado SQS administradas (SSE-SQS) o claves administradas en (-). AWS Key Management Service SSE KMS Para obtener información sobre cómo administrar el SSE uso de AWS Management Console, consulte lo siguiente:

Para obtener información sobre la administración SSE mediante las AWS SDK for Java (y las GetQueueAttributes acciones CreateQueueSetQueueAttributes, y), consulte los siguientes ejemplos:

SSEcifra los mensajes en cuanto Amazon los SQS recibe. Los mensajes se almacenan de forma cifrada y Amazon solo SQS descifra los mensajes cuando se envían a un consumidor autorizado.

importante

Todas las solicitudes a las colas que SSE estén habilitadas deben utilizar la versión 4 HTTPS de Signature.

Una cola cifrada que utiliza la clave predeterminada (KMSclave AWS gestionada para AmazonSQS) no puede invocar una función Lambda en otra. Cuenta de AWS

Algunas funciones de AWS los servicios que pueden enviar notificaciones a Amazon SQS mediante la AWS Security Token Service AssumeRole acción son compatibles con las colas estándarSSE, pero solo funcionan con ellas:

Para obtener información acerca de la compatibilidad de otros servicios con temas de cifrado, consulte Configura KMS los permisos de AWS los servicios y la documentación de los servicios.

AWS KMS combina hardware y software seguros y de alta disponibilidad para proporcionar un sistema de gestión de claves adaptado a la nube. Cuando utilizas Amazon SQS con AWS KMS, las claves de datos que cifran los datos de tus mensajes también se cifran y almacenan con los datos que protegen.

A continuación, se describen los beneficios de usar AWS KMS:

  • Puede crear y administrar AWS KMS keys usted mismo.

  • También puedes usar la KMS clave AWS gestionada de AmazonSQS, que es única para cada cuenta y región.

  • Los estándares AWS KMS de seguridad pueden ayudarte a cumplir los requisitos de conformidad relacionados con el cifrado.

Para obtener más información, consulte ¿Qué es AWS Key Management Service? en la Guía para desarrolladores de AWS Key Management Service .

Ámbito de cifrado

SSEcifra el cuerpo de un mensaje en una SQS cola de Amazon.

SSE no cifra lo siguiente:

  • Metadatos de la cola (atributos y nombre de la cola)

  • Metadatos del mensaje (ID de mensaje, marca temporal y atributos)

  • Métricas por cola

El cifrado de un mensaje evita que usuarios no autorizados o anónimos obtengan acceso a su contenido. Si SSE está activado, se rechazarán ReceiveMessage las solicitudes anónimas SendMessage y las enviadas a la cola cifrada. Las mejores prácticas SQS de seguridad de Amazon recomiendan no utilizar solicitudes anónimas. Si deseas enviar solicitudes anónimas a una SQS cola de Amazon, asegúrate de SSE desactivarlas. Esto no afecta al funcionamiento normal de AmazonSQS:

  • Un mensaje se cifra únicamente si se envía con posterioridad a la habilitación del cifrado de una cola. Amazon SQS no cifra los mensajes acumulados.

  • Cualquier mensaje cifrado permanece en dicho estado aunque el cifrado de su cola esté deshabilitado.

Mover un mensaje a una cola de mensajes fallidos no afecta a su cifrado:

  • Cuando Amazon SQS mueve un mensaje de una cola de fuentes cifradas a una cola de letras muertas sin cifrar, el mensaje permanece cifrado.

  • Cuando Amazon SQS mueve un mensaje de una cola de fuentes no cifradas a una cola de letras muertas cifradas, el mensaje permanece sin cifrar.

Términos clave

Los siguientes términos clave pueden ayudarle a comprender mejor la funcionalidad deSSE. Para obtener descripciones detalladas, consulte la APIreferencia de Amazon Simple Queue Service.

Clave de datos

La clave (DEK) responsable de cifrar el contenido de los SQS mensajes de Amazon.

Para obtener más información, consulte Claves de datos en la Guía para desarrolladores de AWS Key Management Service en la Guía para desarrolladores de AWS Encryption SDK .

Periodo de reutilización de la clave de datos

El tiempo, en segundos, durante el que Amazon SQS puede reutilizar una clave de datos para cifrar o descifrar los mensajes antes de volver a llamar AWS KMS . Un entero que representa segundos, entre 60 segundos (1 minuto) y 86 400 segundos (24 horas). El valor predeterminado es 300 (5 minutos). Para obtener más información, consulte Descripción del período de reutilización de la clave de datos.

nota

En el improbable caso de que no pueda comunicarse AWS KMS, Amazon SQS seguirá utilizando la clave de datos en caché hasta que se restablezca la conexión.

ID de clave KMS

El aliasARN, el identificador de clave o la clave ARN de una KMS clave AWS gestionada o personalizada, de tu cuenta o KMS de otra cuenta. Si bien el alias de la KMS clave AWS gestionada de Amazon siempre SQS esalias/aws/sqs, el alias de una KMS clave personalizada puede serlo, por ejemploalias/MyAlias. Puedes usar estas KMS claves para proteger los mensajes en las SQS colas de Amazon.

nota

Tenga en cuenta lo siguiente:

  • Si no especificas una KMS clave personalizada, Amazon SQS utilizará la KMS clave AWS gestionada para AmazonSQS.

  • La primera vez que utilices AWS Management Console para especificar la KMS clave AWS gestionada de Amazon SQS para una cola, se AWS KMS crea la KMS clave AWS gestionada de AmazonSQS.

  • Como alternativa, la primera vez que utilices la SendMessageBatch acción SendMessage o en una cola con la SSE opción activada, se AWS KMS crea la KMS clave AWS gestionada de AmazonSQS.

Puedes crear KMS claves, definir las políticas que controlan cómo se pueden usar KMS las claves y auditar el uso de las KMS claves mediante la sección de claves gestionadas por el cliente de la AWS KMS consola o la CreateKey AWS KMS acción. Para obtener más información, consulte KMSlas claves y su creación en la Guía para AWS Key Management Service desarrolladores. Para ver más ejemplos de identificadores KMS clave, consulta KeyIdla AWS Key Management Service APIReferencia. Para obtener información sobre cómo encontrar los identificadores KMS clave, consulte Buscar el ID clave y ARN en la Guía para AWS Key Management Service desarrolladores.

importante

Su uso AWS KMS conlleva cargos adicionales. Para obtener más información, consulte Estimación de costes AWS KMS y Precios de AWS Key Management Service.

Cifrado de sobre

La seguridad de los datos cifrados depende en parte de la protección de la clave de datos que permite descifrarlos. Amazon SQS utiliza la KMS clave para cifrar la clave de datos y, a continuación, la clave de datos cifrada se almacena con el mensaje cifrado. Esta práctica de usar una KMS clave para cifrar las claves de datos se conoce como cifrado de sobres.

Para obtener más información, consulte Cifrado de envoltura en la Guía del desarrollador de AWS Encryption SDK .