Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Utilisation du chiffrement avec le crawler d'événements Amazon S3
Cette section décrit l'utilisation du chiffrement sur SQS uniquement ou sur SQS et Amazon S3.
Rubriques
Activation du chiffrement sur SQS uniquement
Amazon SQS fournit par défaut un chiffrement en transit. Pour ajouter un chiffrement côté serveur (SSE) à votre file d'attente, vous pouvez attacher une clé principale client (CMK) dans le panneau d'édition. Cela signifie que SQS chiffre toutes les données client au repos sur les serveurs SQS.
Créez une clé principale client (CMK).
Choisissez Service de gestion des clés (KMS) > Clés gérées par le client > Créer une clé.
Suivez les étapes pour ajouter votre propre alias et votre description.
Ajoutez les rôles IAM respectifs auxquels vous souhaitez accorder le droit d'utiliser cette clé.
Dans la politique de clés, ajoutez une autre instruction à la liste « Instruction » afin que votre Politique de clés personnalisée donne à Amazon SNS des autorisations suffisantes pour l'utilisation des clés.
"Statement": [ { "Effect": "Allow", "Principal": { "Service": "sns.amazonaws.com" }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "*" } ]
Activer le chiffrement côté serveur (SSE) dans votre file d'attente
Choisissez l'onglet Amazon SQS > Files d'attente > sqs_queue_name > Chiffrement.
Choisissez Modifier, puis faites défiler l'écran jusqu'au menu déroulant Chiffrement.
Sélectionnez Activé pour ajouter SSE.
Sélectionnez la CMK que vous avez créée précédemment, et non la clé par défaut portant le nom
alias/aws/sqs
.Après l'avoir ajoutée, votre onglet Chiffrement est mis à jour avec la clé que vous avez ajoutée.
Note
Amazon SQS supprime automatiquement d'une file d'attente les messages qui dépassent la période maximale de conservation des messages. La période de conservation des messages par défaut est de 4 jours. Pour ne pas manquer d'événements, modifiez la MessageRetentionPeriod du SQS jusqu'à la durée maximale de 14 jours.
Activation du chiffrement à la fois sur SQS et S3
Activer le chiffrement côté serveur (SSE) sur SQS
Suivez les étapes de Activation du chiffrement sur SQS uniquement.
Lors de la dernière étape de la configuration de CMK, accordez à Amazon S3 des autorisations suffisantes pour l'utilisation des clés.
Collez ce qui suit dans la liste « Instruction » :
"Statement": [ { "Effect": "Allow", "Principal": { "Service": "s3.amazonaws.com" }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "*" } ]
Activer le chiffrement côté serveur (SSE) sur votre compartiment S3
Suivez les étapes de Activation du chiffrement sur SQS uniquement.
-
Effectuez l'une des actions suivantes :
-
Afin d'activer SSE pour l'intégralité de votre compartiment S3, accédez à l'onglet Propriétés dans votre compartiment cible.
Vous pouvez activer SSE et choisir le type de chiffrement que vous souhaitez utiliser. Amazon S3 fournit une clé de chiffrement qu'Amazon S3 crée, gère et utilise pour vous. Vous pouvez également choisir une clé à partir de KMS.
-
Pour activer SSE sur un dossier spécifique, cochez la case située à côté de votre dossier cible et choisissez Modifier le chiffrement côté serveur sous le menu déroulant Actions.
-
FAQ
Pourquoi les messages que je publie sur ma rubrique Amazon SNS ne sont-ils pas livrés à ma file d'attente Amazon SQS abonnée dont le chiffrement côté serveur (SSE) est activé ?
Vérifiez que votre file d'attente Amazon SQS utilise :
Une clé principale client (CMK) qui est gérée par le client. Il ne s'agit pas de celle fournie par défaut par SQS.
Votre CMK de (1) comprend une politique de clés personnalisée qui donne à Amazon SNS des autorisations suffisantes pour l'utilisation des clés.
Pour plus d'informations, consultez cet article
Je suis abonné aux notifications par e-mail, mais je ne reçois aucune mise à jour par e-mail lorsque je modifie mon compartiment Amazon S3.
Assurez-vous d'avoir confirmé votre adresse e-mail en cliquant sur le lien « Confirmer l'abonnement » dans votre e-mail. Vous pouvez valider l'état de votre confirmation en vérifiant le tableau Abonnements sous votre rubrique SNS.
Choisissez Amazon SNS > Rubriques > sns_topic_name
> Tableau des abonnements.
Si vous avez suivi notre script de condition préalable, vous constaterez que le sns_topic_name
est égal à votre sqs_queue_name
. Il doit ressembler à l'exemple ci-dessous.
Seuls certains des dossiers que j'ai ajoutés apparaissent dans ma table après avoir activé le chiffrement côté serveur dans ma file d'attente SQS. Pourquoi est-ce que je manque des parquets ?
Si les modifications du compartiment Amazon S3 ont été apportées avant d'activer SSE dans votre file d'attente SQS, il se peut que le crawler ne les reprenne pas. Pour vous assurer que vous avez analysé toutes les mises à jour de votre compartiment S3, exécutez à nouveau l'crawler en mode de liste (« Analyser tous les dossiers »). Une autre option consiste à redémarrer en créant un nouvel crawler en ayant les événements S3 activés.