Configuración del cifrado de temas de Amazon SNS con una suscripción a una cola cifrada de Amazon SQS - Amazon Simple Notification Service
Paso 1: crear una clave de KMS personalizadaPaso 2: crear un tema de Amazon SNS cifradoPaso 3: crear colas de Amazon SQS cifradas y suscribirse a ellasPaso 4: publicar un mensaje en el tema cifradoPaso 5: verificar la entrega de mensajes

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configuración del cifrado de temas de Amazon SNS con una suscripción a una cola cifrada de Amazon SQS

Puede habilitar el cifrado del lado del servidor (SSE) para un tema con el fin de proteger sus datos. Para permitir que Amazon SNS envíe mensajes a colas de Amazon SQS cifradas, la clave administrada por el cliente asociada a la cola de Amazon SQS debe tener una instrucción de política que conceda a la entidad principal de servicio de Amazon SNS acceso a las acciones de la API de AWS KMS GenerateDataKey y Decrypt. Para obtener más información acerca del uso de SSE, consulte Protección de los datos de Amazon SNS con cifrado del servidor.

En este tema se explica cómo habilitar SSE para un tema de Amazon SNS con una suscripción de cola de Amazon SQS cifrada mediante el. AWS Management Console

Paso 1: crear una clave de KMS personalizada

  1. Inicie sesión en la consola de AWS KMS con un usuario que tenga al menos la política AWSKeyManagementServicePowerUser.

  2. Elija Create a key (Crear clave).

  3. Para crear una clave KMS de cifrado simétrica, para Key type (Tipo de clave) seleccione Symmetric (Simétrica).

    Para obtener información acerca de cómo crear una clave de KMS asimétrica en la consola de AWS KMS , consulte Creación de claves de KMS asimétricas (consola).

  4. En Key usage (Uso de claves), se selecciona la opción Encrypt and decrypt (Cifrar y descifrar) para usted.

    Para obtener información acerca de cómo crear claves de KMS que generan y verifican códigos MAC, consulte Creación de claves de KMS HMAC.

    Para obtener más información acerca de las Opciones avanzadas, consulte Claves para fines especiales.

  5. Elija Next (Siguiente).

  6. Escriba un alias para la clave KMS. El nombre del alias no puede empezar por aws/. Amazon Web Services se reserva el aws/ prefijo para representarlo Claves administradas por AWS en su cuenta.

    nota

    Agregar, eliminar o actualizar un alias puede permitir o denegar el permiso a la clave KMS. Para obtener más información, consulte ABAC para AWS KMS y Uso de alias para controlar el acceso a las claves de KMS.

    Un alias es un nombre de visualización que puede usar para identificar a una clave KMS. Le recomendamos que elija un alias que indique el tipo de datos que piensa proteger o la aplicación que piensa usar con la clave KMS.

    Los alias son necesarios para crear una clave KMS en la AWS Management Console. Son opcionales cuando se utiliza la CreateKeyoperación.

  7. (Opcional) Escriba una descripción de la clave KMS.

    Puede agregar una descripción ahora o actualizarla en cualquier momento, a menos que el estado de la clave sea Pending Deletion o Pending Replica Deletion. Para añadir, cambiar o eliminar la descripción de una clave gestionada por el cliente existente, edite la descripción en la operación AWS Management Console o utilice la UpdateKeyDescriptionoperación.

  8. (Opcional) Escriba una clave de etiqueta y un valor de etiqueta opcional. Para agregar más de una etiqueta a la clave KMS, elija Add tag (Agregar etiqueta).

    nota

    Etiquetar o quitar las etiquetas de la clave KMS puede permitir o denegar permiso a la clave KMS. Para obtener más información, consulte ABAC para AWS KMS y Uso de etiquetas para controlar el acceso a las claves de KMS.

    Al añadir etiquetas a AWS los recursos, AWS genera un informe de asignación de costes con el uso y los costes agregados por etiquetas. Las etiquetas también pueden utilizarse para controlar el acceso a una clave KMS. Para obtener información acerca del etiquetado de claves de KMS, consulte Etiquetado de claves y ABAC para AWS KMS.

  9. Elija Next (Siguiente).

  10. Seleccione los usuarios y roles de IAM que pueden administrar la clave de KMS.

    nota

    Esta política clave proporciona el control Cuenta de AWS total de esta clave de KMS. Permite a los administradores de cuentas utilizar las políticas de IAM para dar permiso a otras entidades principales para administrar la clave KMS. Para obtener más detalles, consulte Política de claves predeterminada.

     

    Las prácticas recomendadas de IAM desalientan el uso de usuarios de IAM con credenciales a largo plazo. Siempre que sea posible, utilice los roles de IAM, que proporcionan credenciales temporales. Para obtener más información, consulte Prácticas recomendadas de seguridad de IAM en la Guía del usuario de IAM.

  11. (Opcional) Para evitar que los usuarios y los roles de IAM seleccionados eliminen esta clave de KMS, en la sección Eliminación de claves situada en la parte inferior de la página, desactive la casilla Permitir que los administradores de claves eliminen esta clave.

  12. Elija Next (Siguiente).

  13. Seleccione los usuarios y roles de IAM que pueden usar la clave en operaciones criptográficas. Elija Next (Siguiente).

  14. En la página Review and edit key policy (Revisar y editar política de claves), agregue la instrucción siguiente a la política de claves y, a continuación, elija Finish (Finalizar).

    {
    "Sid": "Allow Amazon SNS to use this key",
    "Effect": "Allow",
    "Principal": {
        "Service": "sns.amazonaws.com"
    },
    "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey*"
    ],
    "Resource": "*"
}

La nueva clave administrada por el cliente aparece en la lista de claves.

Mostrar másMostrar menos

Paso 2: crear un tema de Amazon SNS cifrado

  1. Inicie sesión en la consola de Amazon SNS.

  2. En el panel de navegación, elija Temas.

  3. Seleccione Crear tema.

  4. En la página Create new topic (Crear nuevo tema), en Name (Nombre), escriba un nombre para el tema (por ejemplo, MyEncryptedTopic) y, a continuación, elija Create topic (Crear tema).

  5. Expanda la sección Cifrado y haga lo siguiente:

    1. Elija Enable server-side encryption (Habilitar cifrado del lado del servidor).

    2. Especifique la clave administrada por el cliente. Para obtener más información, consulte Términos clave.

      Para cada tipo de clave administrada por el cliente, se muestran la Descripción, la Cuenta y el ARN de la clave administrada por el cliente.

      importante

      Si no es el propietario de la clave administrada por el cliente o si ha iniciado sesión con una cuenta que no tiene los permisos kms:ListAliases y kms:DescribeKey, no podrá ver la información sobre la clave administrada por el cliente en la consola de Amazon SNS.

      Pida al propietario de la clave administrada por el cliente que le conceda estos permisos. Para obtener más información, consulte Permisos API de AWS KMS : referencia de recursos y acciones en la Guía para desarrolladores de AWS Key Management Service .

    3. Para la clave administrada por el cliente, elija la MyCustomKeyque creó anteriormente y, a continuación, elija Habilitar el cifrado del lado del servidor.

  6. Elija Guardar cambios.

    El SSE está activado para el tema y se muestra la MyTopicpágina.

    El estado Cifrado del tema, la Cuenta de AWS , la clave administrada por el cliente, el ARN de la clave administrada por el cliente y la Descripción del tema se muestran en la pestaña Cifrado.

El nuevo tema cifrado aparecerá en la lista de temas.

Paso 3: crear colas de Amazon SQS cifradas y suscribirse a ellas

  1. Inicie sesión en la consola de Amazon SQS.

  2. Elija Create New Queue (Crear nueva cola).

  3. En la página Create New Queue (Crear nueva cola), haga lo siguiente:

    1. Escriba un nombre en Queue Name (Nombre de cola) (por ejemplo, MyEncryptedQueue1).

    2. Seleccione Standard Queue (Cola estándar) y, a continuación, elija Configure Queue (Configurar cola).

    3. Elija Use SSE (Usar SSE).

    4. Para AWS KMS keyello, elija MyCustomKeyel que creó anteriormente y, a continuación, elija Crear cola.

  4. Repita el proceso para crear una segunda cola (por ejemplo, denominada MyEncryptedQueue2).

    Las nuevas colas cifradas aparecerán en la lista de colas.

  5. En la consola de Amazon SQS, seleccione MyEncryptedQueue1 y MyEncryptedQueue2. A continuación, elija Acciones de colas, Suscribir colas al tema de SNS.

  6. En el cuadro de diálogo Suscribirse a un tema, en Elegir un tema, seleccione y MyEncryptedTopic, a continuación, elija Suscribirse.

    Las suscripciones de las colas cifradas al tema cifrado se muestran en el cuadro de diálogo Topic Subscription Result (Resultado de suscripción al tema).

  7. Seleccione OK.

Paso 4: publicar un mensaje en el tema cifrado

  1. Inicie sesión en la consola de Amazon SNS.

  2. En el panel de navegación, elija Temas.

  3. En la lista de temas, selecciona MyEncryptedTopicy, a continuación, selecciona Publicar mensaje.

  4. En la página Publish a message (Publicar mensaje) haga lo siguiente:

    1. (Opcional) En la sección Message details (Detalles del mensaje), introduzca el Subject (Asunto) (por ejemplo, Testing message publishing).

    2. En la sección Message body (Cuerpo del mensaje), introduzca el cuerpo del mensaje (por ejemplo, My message body is encrypted at rest.).

    3. Elija Publish message (Publicar mensaje).

El mensaje se publica en las colas cifradas suscritas.

Paso 5: verificar la entrega de mensajes

  1. Inicie sesión en la consola de Amazon SQS.

  2. En la lista de colas, selecciona MyEncryptedQueue1 y, a continuación, selecciona Enviar y recibir mensajes.

  3. En la página Enviar y recibir mensajes en MyEncryptedQueue 1, selecciona Buscar mensajes.

    Aparecerá el mensaje que envió antes.

  4. Elija More Details (Más información) para ver el mensaje.

  5. Cuando haya finalizado, elija Close (Cerrar).

  6. Repite el proceso para MyEncryptedQueue2.