Configuración del cifrado de temas de Amazon SNS con cifrado del servidor - Amazon Simple Notification Service
Habilitación del SSE mediante la AWS Management ConsoleTema de Amazon SNS con cifrado del servidorImpacto en los consumidores

Configuración del cifrado de temas de Amazon SNS con cifrado del servidor

Con el cifrado del servidor (SSE), puede almacenar información confidencial en temas cifrados. SSE protege el contenido de los mensajes en temas de Amazon SNS mediante claves que se administran en AWS Key Management Service (AWS KMS). Para obtener más información acerca del cifrado del servidor con Amazon SNS, consulte Protección de los datos de Amazon SNS con cifrado del servidor. Para obtener más información sobre cómo crear claves de AWS KMS, consulte Creación de claves en la Guía para desarrolladores de AWS Key Management Service.

importante

Todas las solicitudes hechas a los temas con SSE habilitado deben usar HTTPS y Signature Version 4.

Habilitar el cifrado del servidor (SSE) para un tema de Amazon SNS mediante la AWS Management Console

  1. Inicie sesión en la consola de Amazon SNS.

  2. En el panel de navegación, elija Topics (Temas).

  3. En la página Topics (Temas), seleccione un tema y elija Actions (Acciones), Edit (Editar).

  4. Expanda la sección Cifrado y haga lo siguiente:

    1. Elija Habilitar el cifrado.

    2. Especifique la clave de AWS KMS. Para obtener más información, consulte Términos clave.

      Se muestran los valores de Description (Descripción), Account (Cuenta) y KMS ARN (ARN de KMS) de cada tipo de KMS.

      importante

      Si no es el propietario de la KMS o si ha iniciado sesión con una cuenta que no tiene los permisos kms:ListAliases y kms:DescribeKey, no podrá ver la información sobre la KMS en la consola de Amazon SNS.

      Pida al propietario de la KMS que le conceda estos permisos. Para obtener más información, consulte Permisos API de AWS KMS: referencia de recursos y acciones en la Guía para desarrolladores de AWS Key Management Service.

      • De forma predeterminada, se selecciona la KMS administrada por AWS en Amazon SNS alias/aws/sns (predeterminado).

        nota

        Tenga en cuenta lo siguiente:

        • La primera vez que use la AWS Management Console con el fin de especificar la KMS administrada por AWS en Amazon SNS para un tema, AWS KMS crea la KMS administrada por AWS en Amazon SNS.

        • Como alternativa, la primera vez que utilice la acción Publish sobre un tema con SSE habilitado, AWS KMS crea la KMS administrada por AWS en Amazon SNS.

      • Para usar una KMS personalizada de la cuenta de AWS, elija el campo Clave de KMS y, a continuación, elija la KMS personalizada de la lista.

        nota

        Para obtener instrucciones acerca de cómo crear KMS personalizadas, consulte Creación de claves en la Guía para desarrolladores de AWS Key Management Service.

      • Para utilizar un ARN de KMS personalizado desde la cuenta de AWS o desde otra cuenta de AWS, ingréselo en el campo Clave de KMS.

  5. Elija Guardar cambios.

    SSE está habilitado para su tema y se muestra la página MiTema.

    El estado Encryption (Cifrado), la Account (Cuenta) de AWS, la Customer master key (CMK) [Clave maestra del cliente (CMK)], el CMK ARN (ARN de la CMK) y la Description (Descripción) del tema se muestran en la pestaña Encryption (Cifrado).

Configurar un tema de Amazon SNS con cifrado del servidor

Al crear la clave de KMS, utilice la siguiente política de claves de KMS:

{ 
    "Effect": "Allow", 
    "Principal": { 
        "Service": "service.amazonaws.com" 
     },
    "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey"
    ],
    "Resource": "*",
    "Condition": {
        "ArnLike": { 
            "aws:SourceArn": "arn:aws:service:region:customer-account-id:resource-type/customer-resource-id" 
        },
        "StringEquals": { 
            "kms:EncryptionContext:aws:sns:topicArn": "arn:aws:sns:your_region:customer-account-id:your_sns_topic_name" 
        }
    }
}

Impacto en los consumidores

Cuando se habilita el SSE para un tema de Amazon SNS, el proceso de consumo de mensajes permanece sin cambios para los suscriptores. AWS administra el proceso de cifrado y descifrado mediante KMS. Por lo tanto, los suscriptores no tienen que hacer ningún cambio en su configuración actual para gestionar los mensajes cifrados. AWS garantiza que los mensajes se cifren en reposo y se descifren automáticamente antes de entregarlos a los suscriptores. Esto significa que los suscriptores seguirán recibiendo y procesando los mensajes como lo hacían antes de activar el cifrado, sin necesidad de ninguna configuración ni lógica de descifrado adicionales. Además, AWS recomienda utilizar HTTPS para garantizar la transmisión segura de los mensajes.