Sécurisation SNS des données Amazon grâce au chiffrement côté serveur

Portée du chiffrement Termes clés

Le chiffrement côté serveur (SSE) vous permet de stocker des données sensibles dans des rubriques chiffrées en protégeant le contenu des messages des SNS rubriques Amazon à l'aide de clés gérées dans AWS Key Management Service ()AWS KMS.

SSEchiffre les messages dès qu'Amazon les SNS reçoit. Les messages sont stockés sous forme cryptée et ne sont déchiffrés que lorsqu'ils sont envoyés.

Pour plus d'informations sur la gestion SSE à l'aide du AWS Management Console ou du AWS SDK for Java (en définissant l'KmsMasterKeyIdattribut à l'aide SetTopicAttributes API des actions CreateTopic et), consultezConfiguration du chiffrement des SNS rubriques Amazon avec le chiffrement côté serveur.
Pour plus d'informations sur la création de sujets chiffrés à l'aide de AWS CloudFormation (en définissant la KmsMasterKeyId propriété à l'aide de la AWS::SNS::Topic ressource), consultez le guide de AWS CloudFormation l'utilisateur.

Important

Toutes les demandes adressées à des sujets pour lesquels SSE cette option est activée doivent utiliser HTTPS et signer la version 4.

Pour plus d'informations sur la compatibilité d'autres services avec les rubriques chiffrées, consultez la documentation de votre service.

Amazon SNS ne prend en charge que les KMS clés de chiffrement symétriques. Vous ne pouvez utiliser aucun autre type de KMS clé pour chiffrer les ressources de votre service. Pour savoir si une KMS clé est une clé de chiffrement symétrique, consultez la section Identification des clés asymétriques KMS.

AWS KMS combine du matériel et des logiciels sécurisés et hautement disponibles pour fournir un système de gestion des clés adapté au cloud. Lorsque vous utilisez Amazon SNS avec AWS KMS, les clés de données qui chiffrent les données de vos messages sont également cryptées et stockées avec les données qu'elles protègent.

L'utilisation d' AWS KMS offre les avantages suivants :

Vous pouvez créer et gérer la AWS KMS key vous-même.
Vous pouvez également utiliser des KMS clés AWS gérées pour AmazonSNS, qui sont uniques pour chaque compte et chaque région.
Les normes AWS KMS de sécurité peuvent vous aider à respecter les exigences de conformité liées au chiffrement.

Pour plus d'informations, voir Qu'est-ce que c'est AWS Key Management Service ? dans le Guide AWS Key Management Service du développeur.

Portée du chiffrement

SSEchiffre le corps d'un message dans une SNS rubrique Amazon.

SSE ne chiffre pas les éléments suivants :

Métadonnées de rubrique (nom et attributs de la rubrique)
Métadonnées de message (objet, ID, horodatage et attributs du message)
Politique de protection des données
Métriques par rubrique

Note

Un message est chiffré uniquement s'il est envoyé après l'activation du chiffrement d'une rubrique. Amazon SNS ne chiffre pas les messages en attente.
Tout message chiffré reste chiffré même si le chiffrement de sa rubrique est désactivé.

Termes clés

Les termes clés suivants peuvent vous aider à mieux comprendre les fonctionnalités deSSE. Pour des descriptions détaillées, consultez le manuel Amazon Simple Notification Service API Reference.

Clé de données

La clé de chiffrement des données (DEK) chargée de chiffrer le contenu des SNS messages Amazon.

Pour plus d'informations, consultez Clés de données dans le Guide du développeur AWS Key Management Service et Chiffrement d'enveloppe dans le Guide du développeur AWS Encryption SDK .

AWS KMS key ID

L'alias, l'aliasARN, l'identifiant ARN de clé ou la clé d'un compte personnalisé AWS KMS key, AWS KMS dans votre compte ou dans un autre compte. Bien que l'alias du AWS géré AWS KMS pour Amazon SNS soit toujours le alias/aws/sns cas, l'alias d'un compte personnalisé AWS KMS peut, par exemple, êtrealias/MyAlias. Vous pouvez utiliser ces AWS KMS clés pour protéger les messages dans les SNS rubriques Amazon.

Note

Gardez à l'esprit les points suivants :

La première fois que vous utilisez le AWS Management Console pour spécifier le AWS géré KMS pour Amazon SNS pour un sujet, AWS KMS cela crée le AWS géré KMS pour AmazonSNS.
Sinon, la première fois que vous utilisez l'Publishaction sur un sujet SSE activé, l'action AWS gérée KMS pour Amazon est AWS KMS crééeSNS.

Vous pouvez créer des AWS KMS clés, définir les politiques qui contrôlent la manière dont AWS KMS les clés peuvent être utilisées et auditer l' AWS KMS utilisation à l'aide de la AWS KMS keyssection de la AWS KMS console ou de l'CreateKey AWS KMS action. Pour en savoir plus, consultez AWS KMS keys et Création des clés dans le Manuel du développeur AWS Key Management Service . Pour plus d'exemples AWS KMS d'identifiants, voir KeyIdla AWS Key Management Service APIréférence. Pour plus d'informations sur la recherche AWS KMS d'identifiants, voir Trouver l'identifiant de clé et ARN dans le guide du AWS Key Management Service développeur.

Important

L'utilisation entraîne des frais supplémentaires AWS KMS. Pour plus d'informations, veuillez consulter les sections Estimation AWS KMS des coûts et Tarification d'AWS Key Management Service.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Chiffrement des données

Gestion des clés