Enkripsi saat istirahat di Amazon SQS - Amazon Simple Queue Service
Lingkup enkripsiIstilah kunci

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Enkripsi saat istirahat di Amazon SQS

Server-side encryption (SSE) memungkinkan Anda mengirimkan data sensitif dalam antrian terenkripsi. SSE melindungi isi pesan dalam antrian menggunakan kunci enkripsi yang dikelola SQS (SSE-SQS) atau kunci yang dikelola di (SSE-KMS). AWS Key Management Service Untuk informasi tentang mengelola SSE menggunakan AWS Management Console, lihat berikut ini:

Untuk informasi tentang mengelola SSE menggunakan AWS SDK for Java (danCreateQueue,SetQueueAttributes, dan GetQueueAttributes tindakan), lihat contoh berikut:

SSE mengenkripsi pesan segera setelah Amazon SQS menerimanya. Pesan disimpan dalam bentuk terenkripsi dan Amazon SQS mendekripsi pesan hanya ketika dikirim ke konsumen yang berwenang.

penting

Semua permintaan untuk antrian dengan SSE diaktifkan harus menggunakan HTTPS dan Signature Version 4.

Antrian terenkripsi yang menggunakan kunci default (kunci KMS AWS terkelola untuk Amazon SQS) tidak dapat menjalankan fungsi Lambda secara berbeda. Akun AWS

Beberapa fitur AWS layanan yang dapat mengirim pemberitahuan ke Amazon SQS menggunakan AWS Security Token Service AssumeRole tindakan kompatibel dengan SSE tetapi hanya berfungsi dengan antrian standar:

Untuk informasi tentang kompatibilitas layanan lain dengan antrian terenkripsi, lihat Konfigurasikan izin KMS untuk layanan AWS dan dokumentasi layanan Anda.

AWS KMS menggabungkan perangkat keras dan perangkat lunak yang aman dan sangat tersedia untuk menyediakan sistem manajemen kunci yang diskalakan untuk cloud. Saat Anda menggunakan Amazon SQS AWS KMS, kunci data yang mengenkripsi data pesan Anda juga dienkripsi dan disimpan dengan data yang dilindunginya.

Berikut ini adalah manfaat menggunakan AWS KMS:

  • Anda dapat membuat dan mengelola AWS KMS keysdiri sendiri.

  • Anda juga dapat menggunakan kunci KMS AWS terkelola untuk Amazon SQS, yang unik untuk setiap akun dan wilayah.

  • Standar AWS KMS keamanan dapat membantu Anda memenuhi persyaratan kepatuhan terkait enkripsi.

Untuk informasi lebih lanjut, lihat Apa yang dimaksud AWS Key Management Service? dalam Panduan Developer AWS Key Management Service .

Lingkup enkripsi

SSE mengenkripsi isi pesan dalam antrian Amazon SQS.

SSE tidak mengenkripsi berikut ini:

  • Metadata antrian (nama antrian dan atribut)

  • Metadata pesan (ID pesan, stempel waktu, dan atribut)

  • Metrik per antrian

Mengenkripsi pesan membuat isinya tidak tersedia untuk pengguna yang tidak sah atau anonim. Dengan SSE diaktifkan, anonim SendMessage dan ReceiveMessage permintaan ke antrian terenkripsi akan ditolak. Praktik terbaik keamanan Amazon SQS merekomendasikan agar tidak menggunakan permintaan anonim. Jika Anda ingin mengirim permintaan anonim ke antrian Amazon SQS, pastikan Anda menonaktifkan SSE. Ini tidak memengaruhi fungsi normal Amazon SQS:

  • Pesan dienkripsi hanya jika dikirim setelah enkripsi antrian diaktifkan. Amazon SQS tidak mengenkripsi pesan yang di-backlog.

  • Setiap pesan terenkripsi tetap dienkripsi bahkan jika enkripsi antreannya dinonaktifkan.

Memindahkan pesan ke antrian huruf mati tidak memengaruhi enkripsi:

  • Saat Amazon SQS memindahkan pesan dari antrian sumber terenkripsi ke antrian huruf mati yang tidak terenkripsi, pesan tetap terenkripsi.

  • Saat Amazon SQS memindahkan pesan dari antrian sumber yang tidak terenkripsi ke antrian huruf mati terenkripsi, pesan tetap tidak terenkripsi.

Istilah kunci

Istilah kunci berikut ini dapat membantu Anda lebih memahami fungsionalitas SSE. Untuk deskripsi mendetail, lihat Referensi API Layanan Antrian Sederhana Amazon.

Kunci data

Kunci (DEK) bertanggung jawab untuk mengenkripsi konten pesan Amazon SQS.

Untuk informasi selengkapnya, lihat Kunci Data di Panduan AWS Key Management Service Pengembang di Panduan AWS Encryption SDK Pengembang.

Periode penggunaan kembali kunci data

Lamanya waktu, dalam hitungan detik, Amazon SQS dapat menggunakan kembali kunci data untuk mengenkripsi atau mendekripsi pesan sebelum menelepon lagi. AWS KMS Bilangan bulat yang mewakili detik, antara 60 detik (1 menit) dan 86.400 detik (24 jam). Defaultnya adalah 300 (5 menit). Untuk informasi selengkapnya, lihat Memahami periode penggunaan kembali kunci data.

catatan

Jika tidak dapat menjangkau AWS KMS, Amazon SQS terus menggunakan kunci data yang di-cache hingga koneksi dibuat kembali.

ID kunci KMS

Alias, alias ARN, ID kunci, atau ARN kunci dari kunci KMS AWS terkelola atau kunci KMS kustom—di akun Anda atau di akun lain. Sementara alias kunci KMS AWS terkelola untuk Amazon SQS alias/aws/sqs selalu, alias kunci KMS kustom dapat, misalnya,. alias/MyAlias Anda dapat menggunakan kunci KMS ini untuk melindungi pesan di antrian Amazon SQS.

catatan

Ingatlah hal-hal berikut ini:

  • Jika Anda tidak menentukan kunci KMS kustom, Amazon SQS menggunakan kunci KMS AWS terkelola untuk Amazon SQS.

  • Pertama kali Anda menggunakan AWS Management Console untuk menentukan kunci KMS AWS terkelola untuk Amazon SQS untuk antrean AWS KMS , membuat AWS kunci KMS terkelola untuk Amazon SQS.

  • Atau, saat pertama kali Anda menggunakan SendMessageBatch tindakan SendMessage atau pada antrian dengan SSE diaktifkan, AWS KMS membuat kunci KMS AWS terkelola untuk Amazon SQS.

Anda dapat membuat kunci KMS, menentukan kebijakan yang mengontrol bagaimana kunci KMS dapat digunakan, dan mengaudit penggunaan kunci KMS menggunakan bagian Kunci terkelola Pelanggan di AWS KMS konsol atau tindakan. CreateKey AWS KMS Untuk informasi selengkapnya, lihat kunci KMS dan Membuat Kunci di Panduan AWS Key Management Service Pengembang. Untuk lebih banyak contoh pengidentifikasi kunci KMS, lihat KeyIddi Referensi AWS Key Management Service API. Untuk informasi tentang menemukan pengidentifikasi kunci KMS, lihat Menemukan ID Kunci dan ARN di Panduan Pengembang.AWS Key Management Service

penting

Ada biaya tambahan untuk penggunaan AWS KMS. Untuk informasi selengkapnya, lihat Memperkirakan biaya AWS KMS dan Harga AWS Key Management Service.

Enkripsi Amplop

Keamanan data terenkripsi Anda sebagian bergantung pada perlindungan kunci data yang dapat mendekripsi itu. Amazon SQS menggunakan kunci KMS untuk mengenkripsi kunci data dan kemudian kunci data terenkripsi disimpan dengan pesan terenkripsi. Praktik menggunakan kunci KMS untuk mengenkripsi kunci data ini dikenal sebagai enkripsi amplop.

Untuk informasi selengkapnya, lihat Enkripsi envelope di Panduan Developer AWS Encryption SDK .