Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Chiffrement au repos dans Amazon SQS
Le chiffrement côté serveur (SSE, Server-Side Encryption) vous permet de transférer des données sensibles dans des files d'attente chiffrées. SSE protège le contenu des messages dans les files d'attente à l'aide de clés de chiffrement gérées par SQS (SSE-SQS) ou de clés gérées dans le (SSE-KMS). AWS Key Management Service Pour plus d'informations sur la gestion de l'ESS à l'aide de AWS Management Console, consultez les rubriques suivantes :
+ [Configuration de SSE-SQS pour une file d'attente (console)](sqs-configure-sqs-sse-queue.md)
+ [Configuration de SSE-KMS pour une file d'attente (console)](sqs-configure-sse-existing-queue.md)
Pour plus d'informations sur la gestion de l'ESS à l'aide des `[GetQueueAttributes](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_GetQueueAttributes.html)` actions AWS SDK pour Java (et des`[CreateQueue](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_CreateQueue.html)`, `[SetQueueAttributes](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/API_SetQueueAttributes.html)` et), consultez les exemples suivants :
+ [Utilisation du chiffrement côté serveur avec les files d'attente Amazon SQS](sqs-java-configure-sse.md)
+ [Configuration des autorisations KMS pour Services AWS](sqs-key-management.md#compatibility-with-aws-services)
[](http://www.youtube.com/watch?v=https://www.youtube.com/embed/Mw1NVpJsOZc?rel=0&controls=0&showinfo=0)
SSE chiffre les messages une fois reçus par Amazon SQS. Les messages sont stockés sous forme chiffrée et Amazon SQS les déchiffre uniquement lorsqu'ils sont envoyés à un consommateur autorisé.
**Important**
Toutes les demandes adressées aux files d'attente avec le chiffrement SSE activé doivent utiliser HTTPS et [Signature version 4](https://docs.aws.amazon.com/general/latest/gr/signature-version-4.html).
Une [file d'attente chiffrée](#sqs-server-side-encryption) qui utilise la clé par défaut (clé KMS AWS gérée pour Amazon SQS) ne peut pas appeler de fonction Lambda dans un autre. Compte AWS
Certaines fonctionnalités des AWS services qui peuvent envoyer des notifications à Amazon SQS à l'aide de cette AWS Security Token Service `[AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)` action sont compatibles avec SSE mais *ne fonctionnent qu'avec les files d'attente standard* :
[Hooks de cycle de vie autoscaling](https://docs.aws.amazon.com/autoscaling/ec2/userguide/lifecycle-hooks.html)
[AWS Lambda Files d'attente de lettres mortes](https://docs.aws.amazon.com/lambda/latest/dg/dlq.html)
Pour plus d'informations sur la compatibilité d'autres services avec les files d'attente chiffrées, consultez [Configuration des autorisations KMS pour les AWS services](sqs-key-management.md#compatibility-with-aws-services) et la documentation de votre service.
AWS KMS combine du matériel et des logiciels sécurisés et hautement disponibles pour fournir un système de gestion des clés adapté au cloud. Lorsque vous utilisez Amazon SQS avec AWS KMS, les [clés de données](#sqs-sse-key-terms) qui chiffrent les données de vos messages sont également chiffrées et stockées avec les données qu'elles protègent.
L'utilisation d' AWS KMS offre les avantages suivants :
+ Vous pouvez créer et gérer des [AWS KMS keys](#sqs-sse-key-terms) vous-même.
+ Vous pouvez également utiliser la clé KMS AWS gérée pour Amazon SQS, qui est unique pour chaque compte et chaque région.
+ Les normes AWS KMS de sécurité peuvent vous aider à respecter les exigences de conformité liées au chiffrement.
Pour plus d'informations, veuillez consulter [Présentation de AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) dans le *Manuel du développeur AWS Key Management Service *.
## Portée du chiffrement
Le chiffrement SSE chiffre le corps d'un message dans une file d'attente Amazon SQS.
Le chiffrement SSE ne chiffre pas les éléments suivants :
+ métadonnées de la file d'attente (nom et attributs)
+ métadonnées du message (ID de message, horodatage et attributs)
+ métriques par file d'attente
Le chiffrement d'un message rend son contenu indisponible pour les utilisateurs non autorisés ou anonymes. Lorsque SSE est activé, les demandes anonymes `SendMessage` et `ReceiveMessage` adressées à la file d'attente chiffrée sont rejetées. Les bonnes pratiques de sécurité d'Amazon SQS déconseillent l'utilisation de demandes anonymes. Si vous souhaitez envoyer des demandes anonymes à une file d'attente Amazon SQS, assurez-vous de désactiver SSE. Cela n'affecte pas le fonctionnement normal d'Amazon SQS :
+ Un message est chiffré uniquement s'il est envoyé après l'activation du chiffrement d'une file d'attente. Amazon SQS ne chiffre pas les messages en backlog.
+ Tout message chiffré reste chiffré même si le chiffrement de sa file d'attente est désactivé.
Le placement d'un message dans une [file d'attente de lettres mortes](sqs-dead-letter-queues.md) n'affecte pas son chiffrement :
+ Lorsqu'Amazon SQS transfère un message d'une file d'attente source chiffrée vers une file d'attente de lettres mortes non chiffrée, le message reste chiffré.
+ Lorsqu'Amazon SQS transfère un message d'une file d'attente source non chiffrée vers une file d'attente de lettres mortes chiffrée, le message reste non chiffré.
## Termes clés
Les termes clés suivants peuvent vous aider à mieux comprendre les fonctionnalités de chiffrement SSE. Pour des descriptions détaillées, consultez la *[Référence de l'API Amazon Simple Queue Service](https://docs.aws.amazon.com/AWSSimpleQueueService/latest/APIReference/)*.
**Clé de données**
Clé (DEK) permettant de chiffrer le contenu des messages Amazon SQS.
Pour plus d'informations, consultez la section [Clés de données](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#data-keys) du *Guide du développeur AWS Key Management Service * et du *Guide du développeur AWS Encryption SDK *.
**Période de réutilisation des clés de données**
Durée, en secondes, pendant laquelle Amazon SQS peut réutiliser une clé de données pour chiffrer ou déchiffrer des messages avant de réappeler. AWS KMS Entier en secondes, compris entre 60 secondes (1 minute) et 86 400 secondes (24 heures). La valeur par défaut est 300 (5 minutes). Pour de plus amples informations, veuillez consulter [Présentation de la période de réutilisation des clés de données](sqs-key-management.md#sqs-how-does-the-data-key-reuse-period-work).
Dans le cas peu probable où il serait impossible de l'atteindre AWS KMS, Amazon SQS continue d'utiliser la clé de données mise en cache jusqu'à ce qu'une connexion soit rétablie.
**ID de clé KMS**
Alias, alias ARN, ID de clé ou ARN de clé d'une clé KMS AWS gérée ou d'une clé KMS personnalisée, dans votre compte ou dans un autre compte. Bien que l'alias de la clé KMS AWS gérée pour Amazon SQS soit toujours`alias/aws/sqs`, l'alias d'une clé KMS personnalisée peut, par exemple, être. `alias/MyAlias` Vous pouvez utiliser ces clés KMS pour protéger les messages des files d'attente Amazon SQS.
Gardez à l'esprit les points suivants :
+ Si vous ne spécifiez pas de clé KMS personnalisée, Amazon SQS utilise la clé KMS AWS gérée pour Amazon SQS.
+ La première fois que vous utilisez le AWS Management Console pour spécifier la clé KMS AWS gérée pour Amazon SQS pour une file d'attente, la clé KMS AWS gérée est AWS KMS créée pour Amazon SQS.
+ Sinon, la première fois que vous utilisez l'`SendMessageBatch`action `SendMessage` ou sur une file d'attente avec SSE activé, vous AWS KMS créez la clé KMS AWS gérée pour Amazon SQS.
Vous pouvez créer des clés KMS, définir les politiques qui contrôlent la manière dont les clés KMS peuvent être utilisées et auditer l'utilisation des clés KMS à l'aide de la section **Clés gérées par le client** de la AWS KMS console ou de l'`[CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)` AWS KMS action. Pour plus d'informations, consultez [Clés KMS](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#master_keys) et [Création de clés](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) du *Guide du développeur AWS Key Management Service *. Pour plus d'exemples d'identifiants de clé KMS, consultez [KeyId](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html#API_DescribeKey_RequestParameters)la *référence AWS Key Management Service d'API*. Pour plus d'informations sur la recherche d'identifiants de clés KMS, consultez la section [Recherche de l'ID et de l'ARN d'une clé](https://docs.aws.amazon.com/kms/latest/developerguide/viewing-keys.html#find-cmk-id-arn) du *Guide du développeur AWS Key Management Service *.
L'utilisation entraîne des frais supplémentaires AWS KMS. Pour plus d'informations, veuillez consulter les sections [Estimation AWS KMS des coûts](sqs-key-management.md#sqs-estimate-kms-usage-costs) et [Tarification d'AWS Key Management Service](https://aws.amazon.com/kms/pricing).
**Chiffrement d'enveloppe**
La sécurité de vos données chiffrées dépend partiellement de la protection de la clé de données capable de les déchiffrer. Amazon SQS utilise la clé KMS pour chiffrer la clé de données, puis la clé de données chiffrée est stockée avec le message chiffré. La pratique qui consiste à utiliser une clé KMS pour chiffrer des clés de données s'appelle le chiffrement d'enveloppe.
Pour plus d'informations, consultez [Chiffrement d'enveloppe](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/how-it-works.html#envelope-encryption) dans le *Guide du développeur AWS Encryption SDK *.