Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Cifrado en reposo en Amazon SQS
El cifrado del servidor (SSE) le permite transferir información confidencial en colas cifradas. El SSE protege el contenido de los mensajes en las colas mediante claves de cifrado administradas por SQL (SSE-SQS) o claves administradas en el (SSE-KMS). AWS Key Management Service Para obtener información sobre cómo administrar el SSE mediante el, consulte lo siguiente: Consola de administración de AWS
+ [Configuración de SSE-SQS para una cola (consola)](sqs-configure-sqs-sse-queue.md)
+ [Configuración de SSE-KMS para una cola (consola)](sqs-configure-sse-existing-queue.md)
Para obtener información sobre la gestión de la ESS mediante las AWS SDK para Java (y `[GetQueueAttributes](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_GetQueueAttributes.html)` las acciones `[CreateQueue](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_CreateQueue.html)``[SetQueueAttributes](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_SetQueueAttributes.html)`, y), consulte los siguientes ejemplos:
+ [Uso del cifrado del servidor con colas de Amazon SQS](sqs-java-configure-sse.md)
+ [Configuración de los permisos de KMS para Servicios de AWS](sqs-key-management.md#compatibility-with-aws-services)
[](http://www.youtube.com/watch?v=https://www.youtube.com/embed/Mw1NVpJsOZc?rel=0&controls=0&showinfo=0)
SSE cifra los mensajes en cuanto Amazon SQS los recibe. Los mensajes se almacenan cifrados y Amazon SQS los descifra únicamente cuando se envían a un consumidor autorizado.
**importante**
Todas las solicitudes hechas a las colas con SSE habilitado deben usar HTTPS y [Signature Version 4](https://docs.aws.amazon.com/general/latest/gr/signature-version-4.html).
Una [cola cifrada](#sqs-server-side-encryption) que usa la clave predeterminada (clave de KMS AWS administrada para Amazon SQS) no puede invocar una función Lambda en otra. Cuenta de AWS
Algunas funciones de AWS los servicios que pueden enviar notificaciones a Amazon SQS mediante la AWS Security Token Service `[AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)` acción son compatibles con SSE, pero *solo funcionan con colas estándar*:
[Enlaces de ciclo de vida de escalado automático](https://docs.aws.amazon.com/autoscaling/ec2/userguide/lifecycle-hooks.html)
[AWS Lambda Colas de mensajes fallidos](https://docs.aws.amazon.com/lambda/latest/dg/dlq.html)
Para obtener información acerca de la compatibilidad de otros servicios con temas de cifrado, consulte [Configure los permisos de KMS para los servicios AWS](sqs-key-management.md#compatibility-with-aws-services) y la documentación de los servicios.
AWS KMS combina hardware y software seguros y de alta disponibilidad para proporcionar un sistema de administración de claves adaptado a la nube. Cuando utiliza Amazon SQS con AWS KMS, [las claves de datos](#sqs-sse-key-terms) que cifran los datos de sus mensajes también se cifran y almacenan con los datos que protegen.
A continuación, se describen los beneficios de usar AWS KMS:
+ Puede crear y administrar [AWS KMS keys](#sqs-sse-key-terms) usted mismo.
+ También puede usar la clave de KMS AWS administrada para Amazon SQS, que es única para cada cuenta y región.
+ Los estándares AWS KMS de seguridad pueden ayudarle a cumplir los requisitos de conformidad relacionados con el cifrado.
Para obtener más información, consulte [¿Qué es AWS Key Management Service?](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) en la *Guía para desarrolladores de AWS Key Management Service *.
## Ámbito de cifrado
SSE cifra el cuerpo de un mensaje en una cola de Amazon SQS.
SSE no cifra lo siguiente:
+ Metadatos de la cola (atributos y nombre de la cola)
+ Metadatos del mensaje (ID de mensaje, marca temporal y atributos)
+ Métricas por cola
El cifrado de un mensaje evita que usuarios no autorizados o anónimos obtengan acceso a su contenido. Con SSE activado, se rechazarán las solicitudes `SendMessage` y `ReceiveMessage` anónimas a la cola cifrada. Las prácticas recomendadas de seguridad de Amazon SQS desaconsejan utilizar solicitudes anónimas. Si desea enviar solicitudes anónimas a una cola de Amazon SQS, asegúrese de desactivar SSE. Esto no afecta al funcionamiento normal de Amazon SQS:
+ Un mensaje se cifra únicamente si se envía con posterioridad a la habilitación del cifrado de una cola. Amazon SQS no cifra mensajes atrasados.
+ Cualquier mensaje cifrado permanece en dicho estado aunque el cifrado de su cola esté deshabilitado.
Mover un mensaje a una [cola de mensajes fallidos](sqs-dead-letter-queues.md) no afecta a su cifrado:
+ Cuando Amazon SQS mueve un mensaje de una cola de origen cifrada a una cola de mensajes fallidos sin cifrar, el mensaje permanece cifrado.
+ Cuando Amazon SQS mueve un mensaje de una cola de origen sin cifrar a una cola de mensajes fallidos cifrada, el mensaje permanece sin cifrar.
## Términos clave
Los siguientes términos clave pueden ayudarle a comprender mejor la funcionalidad de SSE. Para obtener descripciones detalladas, consulte la *[Referencia de la API de Amazon Simple Queue Service](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/)*.
**Clave de datos**
La clave (DEK) es responsable de cifrar el contenido de los mensajes de Amazon SQS.
Para obtener más información, consulte [Claves de datos](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#data-keys) en la *Guía para desarrolladores de AWS Key Management Service * en la *Guía para desarrolladores de AWS Encryption SDK *.
**Periodo de reutilización de la clave de datos**
El tiempo, en segundos, durante el que Amazon SQS puede reutilizar una clave de datos para cifrar o descifrar los mensajes antes de volver a llamar. AWS KMS Un entero que representa segundos, entre 60 segundos (1 minuto) y 86 400 segundos (24 horas). El valor predeterminado es 300 (5 minutos). Para obtener más información, consulte [Descripción del período de reutilización de la clave de datos](sqs-key-management.md#sqs-how-does-the-data-key-reuse-period-work).
En el improbable caso de que no pueda conectarse AWS KMS, Amazon SQS seguirá utilizando la clave de datos en caché hasta que se restablezca la conexión.
**ID de clave de KMS**
El alias, el ARN del alias, el ID de clave o el ARN de clave de una clave de KMS AWS administrada o una clave de KMS personalizada, en su cuenta o en otra cuenta. Si bien el alias de la clave de KMS AWS administrada para Amazon SQS es siempre`alias/aws/sqs`, el alias de una clave de KMS personalizada puede, por ejemplo, ser. `alias/MyAlias` Puede utilizar estas claves de KMS para proteger los mensajes que se encuentran en las colas de Amazon SQS.
Tenga en cuenta lo siguiente:
+ Si no especifica una clave de KMS personalizada, Amazon SQS utilizará la clave de KMS AWS gestionada para Amazon SQS.
+ La primera vez que utilice Consola de administración de AWS para especificar la clave de KMS AWS gestionada de Amazon SQS para una cola, AWS KMS crea la clave de KMS AWS gestionada para Amazon SQS.
+ Como alternativa, la primera vez que utilice la `SendMessageBatch` acción `SendMessage` o en una cola con SSE activado, AWS KMS creará la clave de KMS AWS gestionada para Amazon SQS.
Puede crear claves de KMS, definir las políticas que controlan cómo se pueden usar las claves de KMS y auditar el uso de las claves de KMS mediante la sección de **claves administradas por el cliente** de la AWS KMS consola o la `[CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)` AWS KMS acción. Para obtener más información, consulte [Claves de KMS](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#master_keys) y [Creación de claves](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) en la *Guía para desarrolladores de AWS Key Management Service *. Para ver más ejemplos de identificadores clave de KMS, consulta [KeyId](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html#API_DescribeKey_RequestParameters)la *Referencia de la AWS Key Management Service API*. Para obtener información sobre la búsqueda de identificadores de claves de KMS, consulte [Encontrar el ID y el ARN de la clave](https://docs.aws.amazon.com/kms/latest/developerguide/viewing-keys.html#find-cmk-id-arn) en la *Guía para desarrolladores de AWS Key Management Service *.
Su uso AWS KMS conlleva cargos adicionales. Para obtener más información, consulte [Estimación de costos AWS KMS](sqs-key-management.md#sqs-estimate-kms-usage-costs) y [Precios de AWS Key Management Service](https://aws.amazon.com/kms/pricing).
**Cifrado de sobre**
La seguridad de los datos cifrados depende en parte de la protección de la clave de datos que permite descifrarlos. Amazon SQS utiliza la clave de KMS para cifrar la clave de datos y, a continuación, la clave de datos cifrada se almacena con el mensaje cifrado. Esta práctica de utilizar una clave de KMS para cifrar las claves de datos se denomina cifrado de sobre.
Para obtener más información, consulte [Cifrado de envoltura](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/how-it-works.html#envelope-encryption) en la *Guía del desarrollador de AWS Encryption SDK *.