Cifrado inactivo en Amazon SQS - Amazon Simple Queue Service
Ámbito de cifradoTérminos clave

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Cifrado inactivo en Amazon SQS

El cifrado del servidor (SSE) le permite transferir información confidencial en colas cifradas. El SSE protege el contenido de los mensajes en las colas mediante claves de cifrado administradas por SQL (SSE-SQS) o claves administradas en el (SSE-KMS). AWS Key Management Service Para obtener información sobre cómo administrar el SSE mediante el, consulte lo siguiente: AWS Management Console

Para obtener información sobre la gestión de la ESS mediante las AWS SDK for Java (y GetQueueAttributes las acciones CreateQueueSetQueueAttributes, y), consulte los siguientes ejemplos:

SSE cifra los mensajes en cuanto Amazon SQS los recibe. Los mensajes se almacenan cifrados y Amazon SQS los descifra únicamente cuando se envían a un consumidor autorizado.

importante

Todas las solicitudes hechas a las colas con SSE habilitado deben usar HTTPS y Signature Version 4.

Una cola cifrada que usa la clave predeterminada (clave de KMS AWS administrada para Amazon SQS) no puede invocar una función Lambda en otra. Cuenta de AWS

Algunas funciones de AWS los servicios que pueden enviar notificaciones a Amazon SQS mediante la AWS Security Token Service AssumeRole acción son compatibles con SSE, pero solo funcionan con colas estándar:

Para obtener información acerca de la compatibilidad de otros servicios con temas de cifrado, consulte Configure los permisos de KMS para los servicios AWS y la documentación de los servicios.

AWS KMS combina hardware y software seguros y de alta disponibilidad para proporcionar un sistema de administración de claves adaptado a la nube. Cuando utiliza Amazon SQS con AWS KMS, las claves de datos que cifran los datos de sus mensajes también se cifran y almacenan con los datos que protegen.

A continuación, se describen los beneficios de usar AWS KMS:

  • Puede crear y administrar AWS KMS keys usted mismo.

  • También puede usar la clave de KMS AWS administrada para Amazon SQS, que es única para cada cuenta y región.

  • Los estándares AWS KMS de seguridad pueden ayudarle a cumplir los requisitos de conformidad relacionados con el cifrado.

Para obtener más información, consulte ¿Qué es AWS Key Management Service? en la Guía para desarrolladores de AWS Key Management Service .

Ámbito de cifrado

SSE cifra el cuerpo de un mensaje en una cola de Amazon SQS.

SSE no cifra lo siguiente:

  • Metadatos de la cola (atributos y nombre de la cola)

  • Metadatos del mensaje (ID de mensaje, marca temporal y atributos)

  • Métricas por cola

El cifrado de un mensaje evita que usuarios no autorizados o anónimos obtengan acceso a su contenido. Con SSE activado, se rechazarán las solicitudes SendMessage y ReceiveMessage anónimas a la cola cifrada. Las prácticas recomendadas de seguridad de Amazon SQS desaconsejan utilizar solicitudes anónimas. Si desea enviar solicitudes anónimas a una cola de Amazon SQS, asegúrese de desactivar SSE. Esto no afecta al funcionamiento normal de Amazon SQS:

  • Un mensaje se cifra únicamente si se envía con posterioridad a la habilitación del cifrado de una cola. Amazon SQS no cifra mensajes atrasados.

  • Cualquier mensaje cifrado permanece en dicho estado aunque el cifrado de su cola esté deshabilitado.

Mover un mensaje a una cola de mensajes fallidos no afecta a su cifrado:

  • Cuando Amazon SQS mueve un mensaje de una cola de origen cifrada a una cola de mensajes fallidos sin cifrar, el mensaje permanece cifrado.

  • Cuando Amazon SQS mueve un mensaje de una cola de origen sin cifrar a una cola de mensajes fallidos cifrada, el mensaje permanece sin cifrar.

Términos clave

Los siguientes términos clave pueden ayudarle a comprender mejor la funcionalidad de SSE. Para obtener descripciones detalladas, consulte la Referencia de la API de Amazon Simple Queue Service.

Clave de datos

La clave (DEK) es responsable de cifrar el contenido de los mensajes de Amazon SQS.

Para obtener más información, consulte Claves de datos en la Guía para desarrolladores de AWS Key Management Service en la Guía para desarrolladores de AWS Encryption SDK .

Periodo de reutilización de la clave de datos

El tiempo, en segundos, durante el que Amazon SQS puede reutilizar una clave de datos para cifrar o descifrar los mensajes antes de volver a llamar. AWS KMS Un entero que representa segundos, entre 60 segundos (1 minuto) y 86 400 segundos (24 horas). El valor predeterminado es 300 (5 minutos). Para obtener más información, consulte Descripción del período de reutilización de la clave de datos.

nota

En el improbable caso de que no pueda conectarse AWS KMS, Amazon SQS seguirá utilizando la clave de datos en caché hasta que se restablezca la conexión.

ID de clave de KMS

El alias, el ARN del alias, el ID de clave o el ARN de clave de una clave de KMS AWS administrada o una clave de KMS personalizada, en su cuenta o en otra cuenta. Si bien el alias de la clave de KMS AWS administrada para Amazon SQS es siemprealias/aws/sqs, el alias de una clave de KMS personalizada puede ser, por ejemplo. alias/MyAlias Puede utilizar estas claves de KMS para proteger los mensajes que se encuentran en las colas de Amazon SQS.

nota

Tenga en cuenta lo siguiente:

  • Si no especifica una clave de KMS personalizada, Amazon SQS utilizará la clave de KMS AWS gestionada para Amazon SQS.

  • La primera vez que utilice AWS Management Console para especificar la clave de KMS AWS gestionada de Amazon SQS para una cola, AWS KMS crea la clave de KMS AWS gestionada para Amazon SQS.

  • Como alternativa, la primera vez que utilice la SendMessageBatch acción SendMessage o en una cola con SSE activado, AWS KMS creará la clave de KMS AWS gestionada para Amazon SQS.

Puede crear claves de KMS, definir las políticas que controlan cómo se pueden usar las claves de KMS y auditar el uso de las claves de KMS mediante la sección de claves administradas por el cliente de la AWS KMS consola o la CreateKey AWS KMS acción. Para obtener más información, consulte Claves de KMS y Creación de claves en la Guía para desarrolladores de AWS Key Management Service . Para ver más ejemplos de identificadores clave de KMS, consulta KeyIdla Referencia de la AWS Key Management Service API. Para obtener información sobre la búsqueda de identificadores de claves de KMS, consulte Encontrar el ID y el ARN de la clave en la Guía para desarrolladores de AWS Key Management Service .

importante

Su uso AWS KMS conlleva cargos adicionales. Para obtener más información, consulte Estimación de costos AWS KMS y Precios de AWS Key Management Service.

Cifrado de sobre

La seguridad de los datos cifrados depende en parte de la protección de la clave de datos que permite descifrarlos. Amazon SQS utiliza la clave de KMS para cifrar la clave de datos y, a continuación, la clave de datos cifrada se almacena con el mensaje cifrado. Esta práctica de utilizar una clave de KMS para cifrar las claves de datos se denomina cifrado de sobre.

Para obtener más información, consulte Cifrado de envoltura en la Guía del desarrollador de AWS Encryption SDK .