Protección de los datos de Amazon SNS con cifrado del servidor

Ámbito de cifrado Términos clave

El cifrado del servidor (SSE) le permite almacenar datos confidenciales en temas cifrados protegiendo el contenido de los mensajes en temas de Amazon SNS mediante claves administradas en AWS Key Management Service (AWS KMS).

SSE cifra los mensajes en cuanto Amazon SNS los recibe. Los mensajes se almacenan cifrados y solo se descifran cuando se envían.

Para obtener información sobre cómo administrar SSE utilizando la AWS Management Console o AWS SDK for Java (estableciendo el atributo KmsMasterKeyId mediante las acciones CreateTopic y SetTopicAttributes de la API), consulte Configuración del cifrado de temas de Amazon SNS con cifrado del servidor.
Para obtener información sobre cómo crear temas cifrados mediante AWS CloudFormation (al establecer la propiedad KmsMasterKeyId mediante el recurso AWS::SNS::Topic), consulte la Guía del usuario de AWS CloudFormation.

importante

Todas las solicitudes hechas a los temas con SSE habilitado deben usar HTTPS y Signature Version 4.

Para obtener información acerca de la compatibilidad de otros servicios con temas de cifrado, consulte la documentación de los servicios.

Amazon SNS solo admite claves de KMS de cifrado simétricas. No puede utilizar ningún otro tipo de clave de KMS para cifrar los recursos del servicio. Para obtener ayuda para determinar si una clave de KMS es una clave de cifrado simétrica, consulte Identificar claves de KMS asimétricas.

AWS KMS combina hardware y software seguros de alta disponibilidad para ofrecer un sistema de administración de claves adaptado a la nube. Cuando utiliza Amazon SNS con AWS KMS, las claves de datos que cifran los datos de los mensajes también se cifran y almacenan con los datos que protegen.

A continuación, se describen los beneficios de usar AWS KMS:

Puede crear y administrar la AWS KMS key usted mismo.
También puede utilizar claves KMS administradas por AWS para Amazon SNS, que son únicas para cada cuenta y región.
Los estándares de seguridad de AWS KMS pueden ayudarle a cumplir los requisitos de conformidad relacionados con el cifrado.

Para obtener más información, consulte ¿Qué es AWS Key Management Service? en la Guía para desarrolladores de AWS Key Management Service.

Ámbito de cifrado

SSE cifra el cuerpo de un mensaje en un tema de Amazon SNS.

SSE no cifra lo siguiente:

Metadatos del tema (atributos y nombre del tema)
Metadatos del mensaje (asunto, ID de mensaje, marca temporal y atributos)
Política de protección de datos
Métricas por temas

nota

Un mensaje se cifra únicamente si se envía con posterioridad a la habilitación del cifrado de un tema. Amazon SNS no cifra mensajes atrasados.
Cualquier mensaje cifrado permanece en dicho estado aunque se deshabilite el cifrado de su tema.

Términos clave

Los siguientes términos clave pueden ayudarle a comprender mejor la funcionalidad de SSE. Para obtener descripciones detalladas, consulte la Referencia de la API de Amazon Simple Notification Service.

Clave de datos

La clave de cifrado de datos (DEK) es responsable de cifrar el contenido de los mensajes de Amazon SNS.

Para obtener más información, consulte Claves de datos en la Guía para desarrolladores de AWS Key Management Service y Cifrado de sobre en la Guía para desarrolladores de AWS Encryption SDK.

ID de AWS KMS key

El alias, el ARN de alias, el ID de clave o el ARN de clave de una AWS KMS key o una AWS KMS personalizada, ya sea de su cuenta o de otra cuenta. Aunque el alias de la AWS KMS administrada por AWS para Amazon SNS siempre es alias/aws/sns, el alias de una AWS KMS personalizada puede ser, por ejemplo, alias/MyAlias. Puede utilizar estas claves AWS KMS para proteger los mensajes que se encuentran en los temas de Amazon SNS.

nota

Tenga en cuenta lo siguiente:

La primera vez que use la AWS Management Console con el fin de especificar la KMS administrada por AWS en Amazon SNS para un tema, AWS KMS crea la KMS administrada por AWS en Amazon SNS.
Como alternativa, la primera vez que utilice la acción Publish sobre un tema con SSE habilitado, AWS KMS crea la KMS administrada por AWS en Amazon SNS.

Puede crear claves de AWS KMS, definir las políticas que controlan cómo se pueden utilizar las claves de AWS KMS y auditar el uso de AWS KMS con la sección AWS KMS keys de la consola de AWS KMS o la acción CreateKey de AWS KMS. Para obtener más información, consulte AWS KMS keys y Creación de claves en la Guía para desarrolladores de AWS Key Management Service. Para obtener más ejemplos de identificadores de AWS KMS, consulte KeyId en la Referencia de la API de AWS Key Management Service. Para obtener información sobre la búsqueda de identificadores de AWS KMS, consulte Encontrar el ID y el ARN de la clave en la Guía para desarrolladores de AWS Key Management Service.

importante

La utilización de AWS KMS conlleva cargos adicionales. Para obtener más información, consulte Estimación de los costos de AWS KMS y Precios de AWS Key Management Service.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Cifrado de datos

Administración de claves